F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y    ...
PrIVIDOr – PrIVacy VIOlatION DetectOrdATE n S A M M l E r n A u F d E r S p u rWebseiten sind angereichert mit            ...
Umabasa – UNclONable materIal-baseDsecUrIty archItectUreSI C h E r E C h I p kA rT E n Fü r d IE Z ukunFTJeder von uns trä...
smart meter secUrItyI nTEll I g E n T gE n u g Fü r d IE Z u kunFT?Die zunehmende Einspeisung von                         ...
clOUD labOrMI T d E M A u T op IloT d u r C h d IE CloudViele Unternehmen zögern, ihre Da-            spezielles Verschlüs...
ImpressumHerausgeber:                                                        Redaktion:                                   ...
Nächste SlideShare
Wird geladen in …5
×

AISEC IT-Sicherheit Newsletter 1/2012

692 Aufrufe

Veröffentlicht am

Inhalt: ausgewählte Themen, an denen wir beim Fraunhofer AISEC derzeit arbeiten und in Projekten mit Partnern aus der Industrie umsetzen. Es geht natürlich um IT-Sicherheit, genauer um angewandte und integrierte IT-Sicherheit, es geht um Forschung und Innovationen.

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
692
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

AISEC IT-Sicherheit Newsletter 1/2012

  1. 1. F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y AISECNewsletter 01|12 Liebe Leserinnen und Leser, ich wünsche Ihnen ein erfolgreiches Jahr 2012. Ein Jahr, das viele SIT-München wird Fraunhofer AISEC Presseinformation 6.7.2011 Herausforderungen mit sich bringt. Ein Thema wird auch in diesem Jahr ein Dauerbrenner bleiben: die IT-Sicherheit. Die erfolgreichen Cyberangriffe auf Webseiten und Server von Unternehmen und Be- hörden haben uns zahlreiche Schwachstellen eindrucksvoll vor Au- gen geführt und mahnen uns, unsere Anstrengungen bei der Absi- cherung der IT-Systeme zu intensivieren. Daran arbeiten wir beim Fraunhofer AISEC mit Nachdruck. Im Zentrum unserer Forschungs- und Entwicklungsarbeiten in Garching bei München steht die an- Die Münchner Projektgruppe Sicherheit und Zu- verlässigkeit des Fraunhofer SIT wird zum 1. Juli gewandte und integrierte Sicherheit. Wir bieten unsere Expertise in eine selbstständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit. Dies be-Innovation braucht Sicherheit und allen Bereichen der IT-Sicherheit von Embedded Security über Au- schloss der Senat der Fraunhofer-Gesellschaft.Sicherheit braucht Forschung! In München arbeiten die Forscher daran, die Si- tomotive und Smart Grid Security bis hin zu Cloud Security und cherheit von Cloud-Computing und Eingebette-Presseinformation 14.9.2011 Produktschutz an. Mehr als 80 kompetente Mitarbeiterinnen und ten Systemen zu erhöhen. Weitere Ziele sind, Produktpiraterie zu verhindern oder vernetzte Mitarbeiter leisten im AISEC ihren Beitrag dazu. Unser Motto lautet kritische Infrastrukturen zu schützen. »Mit Sicherheit innovativ!« Wir stellen damit an uns den An- spruch, den Innovationsstandort Deutschland zu stärken und Unter- nehmen dabei zu unterstützen, ihre Produkte und Dienstleistungen gegen Angriffe jedweder Art zu schützen. Betrachten wir beispiels- weise den Bereich der Eingebetteten Systeme: Elektronische Steue-Unter dem Leitthema »Mit Sicherheit innova- rungselemente sind mittlerweile Bestandteil vieler Investitions- undtiv!« feierte am Montag, den 12. September FraunhoFer research InstItutIon For a p p l I e d a n d I n t e g r at e d s e c u r I t y2011, Fraunhofer AISEC seine Eigenständigkeit Konsumgüter. Der Schaden durch Plagiate erreicht allein in Deutsch- Schutz eingebetteter SySteme vormit einem Festakt und einer Technologieausstel-lung. Die über 200 interessierten Besucher land jährlich einen dreistelligen Millionenbetrag. Zudem geht von ProduktPiraterie technologiScher hintergrund und vorbeugemaSSnahmenkonnten sich hautnah die innovativen Technolo- gefälschten Produkten eine Gefahr für die Nutzer dieser Produkte bartol FiliPoviĆ, oliver Schimmel 10/2011gien von den AISEC Forschern und Forsche-rinnen erläutern lassen (von links nach rechts: aus. Wir haben die Angriffstechniken genau analysiert undProf. Dr. Wolfgang A. Herrmann, StaatsministerMartin Zeil, Prof. Dr. Claudia Eckert, Prof. Dr. die AISEC-Forscher entwickeln Gegenmaßnahmen, um Fälschun-Hans-Jörg Bullinger und Prof. Dr. Georg Sigl). gen wirksam zu verhindern. Die Schwerpunkte unserer ange- wandten Forschung werden auch in diesem Jahr im Bereich Embe- dded Security, Netzwerksicherheit und Cloud-Sicherheit liegen. Woran wir aktuell arbeiten, können Sie stets auf unsere Webseite www.aisec.fraunhofer.de erfahren oder sich auf einer der dies- jährigen Messen informieren. Eine Übersicht mit unseren Präsenzen finden Sie am Ende dieses Newsletters. Wir würden uns über einen Besuch und den fachlichen Austausch sehr freuen. Bis dahin wün- sche ich Ihnen ein sicheres Jahr 2012 sowie eine erkenntnisstei- gernde Lektüre der folgenden Artikel. Ihre Claudia Eckert
  2. 2. PrIVIDOr – PrIVacy VIOlatION DetectOrdATE n S A M M l E r n A u F d E r S p u rWebseiten sind angereichert mit besuchte Websites in Erfahrung zu brin- onen durchführen wollen, wird das Verhal-Funktionen, um mit dem Benutzer gen, z. B. welche sozialen Netzwerke be- ten aufgezeichnet und protokolliert. Mithilfein Interaktion zu treten. Das kann sucht oder welche Onlinebanking-Dien- der angepassten Firefox-Version und einesgewünschte, aber für den Benutzer ste von einem Benutzer regelmäßig in speziellen Add-ons wird das erzeugte Lauf-auch ungewünschte Wirkung entfal- Anspruch genommen werden. zeitverhalten sowie JavaScript-Aufrufe auften. Diese reicht von einfacher Pro- n CSS History Hacks ermöglichen das Aus- DOM-Objekte festgehalten. Prividor kanntokollierung der Lesegewohnheiten lesen der Browser History auch bei deak- dabei auch unterschiedliche Browsertypenbis hin zu Drive-by Downloads von tiviertem JavaScript. simulieren, um etwa Aktionen zu erkennen,Malware. Das Forschungsvorhaben n Cookies, Flash-Cookies (auch als Local die speziell für bestimmte Browser entwi-PRIVIDOR (PRIvacy VIolation Detec- Shared Objects bekannt) sind die wohl ckelt wurden. Die gesammelten Daten wer-tOR) erstellt im Auftrag des Bundes- bekanntesten Varianten zur Identifizie- den in Berichten zusammengefasst undbeauftragten für den Datenschutz rung von Nutzern oder Systemen. Sie er- Veränderungen fortgeschrieben.und die Informationsfreiheit eine möglichen die langfristige SpeicherungLösung, um automatisiert daten- nutzerbezogener Daten.schutz-bedenkliche Vorgänge auf n DOM Storage erlaubt die SpeicherungWebseiten zu erkennen und zu do- von nutzerbezogenen Daten über erwei-kumentieren. Dazu hat Fraunhofer terte Funktionen des Document ObjectAISEC ein Werkzeug zur Webseiten- Models. Über DOM Storage können Da-analyse entwickelt, das auf Internet- ten in wesentlich größerem Umfang ge-seiten gezielt nach Anzeichen für speichert werden als herkömmlichenDatenschutzverstöße sucht. Cookies. Zudem können die gespeicher- ten Daten Domain-übergreifend ausgele-Das Software-Tool PRIVIDOR spürt Daten- sen werden.schutzverletzungen auf Websites auf. Mit n Formulare sammeln in vielen Fällen per-dem neuen Werkzeug will der Bundesdaten- sönliche Daten der Nutzer. Diese werdenschutzbeauftragte Peter Schaar künftig die vielfach unverschlüsselt übertragen undWebauftritte der Bundesbehörden sowie sind somit von Dritten leicht abzufangender Post- und Telekommunikationsunter- und auszuwerten.nehmen, die in seinen Aufgabenbereich fal- Manche dieser Technologien werden bereits Prividor entgeht nichts: Datenschutzverletzun-len, kontrollieren. Einige tausend öffentliche beim Aufsuchen der Seiten aktiv, andere gen auf Webseiten werden vom Software-ToolStellen mit ihren Internetangeboten kämen entfalten ihre Wirkung erst in der Interakti- aufgespürt.laut Schaar in Betracht. on mit dem Benutzer. Nach einer Testphase im eigenen Haus pla-Das Werkzeug, das von Peter Schoo, Leiter PRIVIDOR ist in der Lage, den Einsatz dieser ne der Bundesdatenschutzbeauftragte Peterdes Forschungsbereichs Netzsicherheit und Techniken zu identifizieren. Um eine Analy- Schaar, PRIVIDOR auch den Landesdaten-Frühwarnsysteme, und seinem Team entwi- se durchzuführen, simuliert PRIVIDOR das schutzbeauftragten zugänglich zu machen,ckelt wurde, prüft die Webseiten auf da- Verhalten eines normalen Nutzers. Indem erklärte er bei der Projektübergabe. Diesetenschutzrechtliche Probleme und erstellt ein automatisiert gesteuerter Firefox-Brow- sind auf Landesebene für den Schutz deranschließend detaillierte Berichte über die ser die zu prüfenden Seiten aufruft, dar- Privatsphäre im Internet zuständig. Als wei-Ergebnisse. Dabei wird die Verwendung stellt und dynamische Inhalte ausführt, kön- teren denkbaren Schritt könnte sich Schaarvon verschiedenen Techniken untersucht: nen die Aktionen der aufgerufenen Seiten auch vorstellen, das aus dem Forschungse-n Web Analytics und User Tracking proto- nachvollzogen und protokolliert werden. tat der Behörde bezahlte Werkzeug der All- kolliert das Surfverhalten von Benutzern gemeinheit zur Verfügung zu stellen. einer Seite und ermöglicht eine Korrela- Über eine Webschnittstelle legen die Prüfer tion dieser Daten über lange Zeiträume. Listen zu beobachtender Seiten und von Kontakt:n JavaScript erlaubt das Auslesen privater Webdiensten an. Diese arbeitet der präpa- peter.schoo@aisec.fraunhofer.de n Informationen wie der Browser History, rierte Browser ab. Findet er Programm- Weitere Informationen: www.prividor.eu um damit Informationen über bereits schritte, die die oben beschriebenen Akti- 2
  3. 3. Umabasa – UNclONable materIal-baseDsecUrIty archItectUreSI C h E r E C h I p kA rT E n Fü r d IE Z ukunFTJeder von uns trägt heute zahl- ihn umgebenden physikalischen, nicht re-reiche Chipkarten bei sich. Sie ver- produzierbaren Strukturen soll durch dieschaffen uns Zugang zu Gebäuden, Verwendung einer Physical Unclonablesteuern Bank- und Kreditapplikati- Function (PUF) erreicht werden. Das Verfah-onen oder legitimieren uns mit dem ren macht sich die Materialeigenschaftenneuen Personalausweis. Der Schutz der verschiedenen Bauteile einer Chipkarteder Chipkarten vor Missbrauch und als auch der umliegenden KartenstrukturenFälschung muss deshalb für die ge- zunutze. »Jedes Bauteil verfügt über einesamte Lebensdauer, auch gegen bis- Art individuellen Fingerabdruck, da bei derher unbekannte Arten von Angrif- Produktion unweigerlich kleine Unter-fen, gewährleistet werden. schiede zwischen den Komponenten ent- stehen«, erklärt Dr. Frederic Stumpf, Be-Chipkarten haben sich in der Vergangenheit reichsleiter Embedded Security & Trusted Klonen nicht möglich: Ein Chip mit einem di-bewährt. Durch neuartige Angriffsarten ist OS am Fraunhofer AISEC, den Ansatz. So gitalen Fingerabdruck ist vor Missbrauch unddie Sicherheit derzeitiger Chipgenerationen kommt es bei Leiterbahnen beispielsweise Fälschung geschützt.jedoch gefährdet. Invasive Angriffe, z.B. op- während des Fertigungsprozesses zu mini-tische Analysen oder Manipulationen mit malen Schwankungen der Dicke oder Län- Im Gegensatz zu herkömmlichen Ansätzeneinem fokussierten Ionen-Strahl, erlauben ge. Diese Abweichungen haben zwar kei- wird der geheime Schlüssel nicht in dertiefe Einblicke und gezielte Eingriffe in nen Einfluss auf die Funktionalität, können Hardware gespeichert, sondern auf Anfra-Chipkarten-Prozessoren. Findige Daten- jedoch genutzt werden, um daraus einen ge jedes Mal neu erstellt. Da der Schlüsseldiebe könnten die integrierten Schutzme- kryptographischen Schlüssel zu erstellen. direkt von den aktuellen Systemeigenschaf-chanismen durch Analyse der physika- ten abhängt, ist es deutlich schwieriger, ihnlischen Eigenschaften aushebeln. Eine Ein Beispiel dafür ist eine Schaltung mit zu extrahieren und zu klonen. Denn Atta-mögliche Lösung für die derzeitigen Pro- Verzögerungspfaden, welche durch unkon- cken auf den Chip würden physikalischebleme ist deshalb ein integrales Schutzkon- trollierbare Fabrikationsunterschiede bei der Parameter verändern – und damit auch diezept, das eine Kombination der Prozesse Chip-Herstellung entsteht. Eine solche einzigartige Struktur verfälschen oder zer-des Mikrochips mit den nicht reproduzier- Schaltung gibt für jeden damit ausgestat- stören. Der Sicherheitschip wird dadurch inbaren Strukturen der Trägerkarte vorsieht. teten Chip charakteristische Antworten auf die Lage versetzt, selbständig zu erkennen, eingegebene Anfragen bzw. Anregungen ob er in seiner Original-Trägerkarte oderGemeinsam mit dem Chiphersteller NXP und wirkt daher wie ein Schlüsselspeicher. einem manipulierten Kartenklon operiert.Semiconductors Germany GmbH und der Wird eine Manipulation erkannt, so kannBundesdruckerei GmbH bereitet das Ein PUF-Modul kann dabei prinzipiell in je- die Funktionalität der Karte blockiert wer-Fraunhofer AISEC im Rahmen des vom Bun- den Chip integriert werden. AISEC-Forscher den. Die Sicherheitsarchitektur kombiniertdesministerium für Bildung und Forschung haben in der Vergangenheit bereits zwei dabei physikalische, optische und mathe-(BMBF) geförderten Forschungsprojektes Prototypen entwickelt: einen Butterfly PUF matische Effekte als Sicherheitsmerkmale,UMABASA einen Weg für die nächsten Ge- und einen Ringoszillator PUF. Beide haben die ein nach heutigem Kenntnisstand sehrneration von hochsicheren Chipkarten vor. spezielle Eigenschaften und lassen sich in hohes Sicherheitsniveau erreichen.Die drei Partner entwickeln eine Chipkarten- Hardware-Komponenten wie FPGAs, Mi-architektur, auf denen zukünftig krypto- krochips und Smartcards implementieren.graphische Schlüssel nicht mehr binär ge- »Herzstück ist eine Messschaltung, bei-speichert werden müssen. Damit fällt ein spielsweise ein Ringoszillator: Dieser er-lukratives Angriffsziel für die Angreifer weg. zeugt ein charakteristisches Taktsignal, das Rückschlüsse auf die genauen Material-UMABASA ist ein Akronym für »Unclonable eigenschaften des Chips zulässt. SpezielleMaterial-Based Security Architecture« und Sensoren lesen diese Messdaten anschlie- Kontakt:steht für eine untrennbare kryptographi- ßend aus und generieren aus ihnen den frederic.stumpf@aisec.fraunhofer.de nsche Kopplung von Mikrochips und Träger- bauteilspezifischen Schlüssel«, erläutert Dr. Weitere Informationen: www.aisec.fraunhofer.dekarten. Diese Kopplung des Mikrochips mit Frederic Stumpf. 3
  4. 4. smart meter secUrItyI nTEll I g E n T gE n u g Fü r d IE Z u kunFT?Die zunehmende Einspeisung von und Energieversorgung zu gefährden – mitStrom aus dezentralen Energiequel- weitreichenden Folgen für die Volkswirt-len, aber auch veränderte Bedarfs- schaft.felder stellen künftige Energiever-sorgungssysteme vor ganz neue Entsprechend hoch sind die AnforderungenHerausforderungen. Abhilfe soll das an die Endgeräte. Die Kommunikation zwi-intelligen te Stromnetz Smart Grid schen den beteiligten Geräten muss vorschaffen, das eine flexiblere Ener- dem Einschleusen falscher Daten ebensogieversorgung garantiert. Wichtiger geschützt werden wie die Dienste zur Erfas-Bestandteil sind intelligente Strom- sung des Stromverbrauch und der Abrech-zähler, Smart Meter, die eine ge- nung.naue Erfassung der Stromnutzung Den Dingen auf den Grund gehen. Im Laborermöglichen. Seit Januar 2010 sind werden Schwachstellen von Hardware analy- Dr. Frederic Stumpf und sein Team haben siert – auch wenn sie tief verborgen sind.diese in Deutschland für Neubauten sich deshalb handelsübliche Smart Meterund bei Komplettsanierungen vor- nete Schutzmaßnahmen müssen von Anbe- angesehen und gezielt nach Angriffspunk-geschrieben und werden in Zukunft ginn in die Infrastrukturen integriert wer- ten gesucht. »Die Ergebnisse waren überra-in den meiseten Haushalten instal- den, um derartige Angriffe weitgehend zu schend«, so Stumpf. »Sind die Informa-liert sein. Für einen Angreifer stel- vermeiden und um zu verhindert, dass ma- tionen auf dem Übertragungsweg weitge-len Smart Meter interessante An- nipulierte Smart Meter im Smart Grid zu hend unangreifbar und durch starke krypto-griffsziele dar, um bspw. Tatwerkzeugen mutieren.« graphische Algorithmen gut geschützt, somanipulierte Verbrauchszahlen an tun sich am Stromzähler große Lücken auf.«den Energieversorger zu senden. Die Angriffsszenarien in einem von dezen- So sind die Schnittstellen zwischen den Ge-Das Smart Grid Security Testlabor tral erzeugten Informationen abhängigen, rätekomponenten häufig leicht zu umge-am Fraunhofer AISEC hat deshalb rückgekoppelten Netz sind vielfältig: Beim hen und dadurch ausgetauschte Daten undmarktübliche Smart Meter gezielt Verbraucher installierte Smart Meter und Protokolle einfach mitzulesen – und zu ma-auf die Möglichkeiten der Kompro- Gateways können beispielsweise zum nipulieren. Besonders einfach und damitmittierung untersucht – und zahl- Stromdiebstahl missbraucht werden. Sie gefährlich, wird der Angriff, wenn bis aufreiche Schwachstellen gefunden. könnten aber auch im schlimmsten Fall, das Betriebssystem hinab zugegriffen wer- ähnlich einem Botnet, in großer Zahl dazu den kann. In diesem Fall liegen alle Routi-Smart Meter sind in ein Kommunikations- herangezogen werden, ein Stromnetz nen offen; einer gezielten Manipulationnetz eingebunden. Das heißt, sie stehen in durch manipulierte Erzeuger- oder Ver- steht nichts mehr im Weg. Sogar die kryp-permanentem Kontakt mit den Stromnetz- brauchsdaten zum kollabieren zu bringen tographischen Schlüssel sind damit zugäng-betreibern und werden von diesen fernaus- lich und können beliebig kopiert und gege-gelesen. Smart Meter werden aber in Zu- benenfalls manipuliert werden.kunft nicht nur Informationen liefern,sondern könnten auch steuernde Funkti- Die Forscher am Fraunhofer AISEC analysie-onen übernehmen. Das gibt ihnen eine be- ren existierende Smart Grid Komponenten,sondere sicherheitstechnische Bedeutung, entwickeln sichere Smart Meter auf derzumal sie sich physisch an Orten befinden, Basis des Schutzprofils des Bundesamts fürdie sich der Kontrolle und Aufsicht der Sicherheit in der Informationstechnik (BSI),Stromnetzbetreiber entziehen. konzipieren Smart Grid Referenzarchitektu- ren und beraten Bedarfsträger beim Aufbau»Wie der Stuxnet Wurm Mitte 2010 ein- und Betrieb sicherer Smart Grids.drucksvoll gezeigt hat, sind auch formal ab-geschottete Steuerungsnetze wie industri- Kontakt: Smart Meter sind ein Baustein des Intelligentenelle Steuerungsanlagen nicht automatisch Stromnetzes (Smart Grid). Deren Sicherheit so- frederic.stumpf@aisec.fraunhofer.de ngegen erfolgreiche Angriffe resistent«, gibt wie die Sicherheit der gesamten IT-Infrastruktur Weitere Informationen: sind entscheidend für den Erfolg von Smart www.aisec.fraunhofer.deDr. Frederic Stumpf zu bedenken. »Geeig- Grid. 4
  5. 5. clOUD labOrMI T d E M A u T op IloT d u r C h d IE CloudViele Unternehmen zögern, ihre Da- spezielles Verschlüsselungskonzept, dasten oder gar kritische Teile ihrer IT- Informationen vor dem unbefugten Zu-Infrastruktur einem Cloud-Anbieter griff Dritter schützt und nur bei Bedarfzu übergeben. Grund dafür sind oft diejenigen Informationen entschlüsselt,Unsicherheit und Unerfahrenheit in die wirklich benötigt werden. Zur Mes-Sachen Datensicherheit, Compliance sung der Sicherheit von Cloud-Dienstenund Verfügbarkeit. haben die Entwickler Kennwerte ermit-Damit Anbieter technische und or- telt. Diese beinhalten Messwerte zur Ver-ganisatorische Sicherheitsanforde- fügbarkeit und anderen überprüfbaren Den Überblick behalten: Im Dasboard des Cloud-Leitstand laufen alle wichtigen Kenn-rungen entsprechend der Compli- Sicherheitsmaßnahmen, mit denen das Si- zahlen zusammen und bieten dem Anwender einen klaren, umfassenden Überblick über dasance-Anforderungen ihrer Kunden cherheitsniveau des Anbieters festgestellt System und den Status seiner Prozesse.auch in der Cloud erfüllen können, werden kann. Dadurch können Unterneh-hat das Fraunhofer AISEC unlängst men prüfen, ob das jeweilige System den ei- möglicht. Die große Schwierigkeit für denein Cloud-Labor in Betrieb genom- genen Anforderungen genügt. Falls nicht, Anwender bestehe vor allem darin, gegen-men. Dort testet das Team um Be- lassen sich die Daten speziell abgesichert über den undurchsichtigen Cloud-Struk-reichsleiter Mario Hoffmann ver- von einer Cloud in eine andere verschieben. turen Vertrauen in deren Sicherheit aufzu-schiedene Aspekte der System- und bauen. Das gelingt am einfachsten, wennSicherheitsarchitektur der zugrunde In einer Studie, die das Team am Fraunhofer der Nutzer eine Definition seiner individu-liegenden Cloud-Betriebssysteme AISEC vor kurzem abgeschlossen hat, stel- ellen Sicherheitsanforderungen aufstellt,aus dem kommerziellen und dem len die Forscher systematisch einen »Ver- damit er die Sicherheitsfunktionen alterna-Open Source Bereich, aber auch die gleich der Sicherheit traditioneller IT-Syste- tiver Anbieter vergleichen kann.Zuverlässigkeit von Standardfunkti- me und Public Cloud Computing Systeme«onen wie virtuellen Instanzen oder an. Darin stellen sie fest, dass Sicherheitsa- Um solche Vergleiche zu ermöglichen aberFail-over auf Belastungen wie etwa spekte von Cloud-Anbietern meist zurück- auch um den aktuellen Sicherheitslevel ei-Denial of Service-Angriffe (DOS). haltend behandelt werden. »Hervorgeho- ner Cloud bestimmen zu können, trägt das ben wird stets die betriebswirtschaftliche Fraunhofer AISEC in seiner jüngsten Entwick-Das Cloud-Labor des Fraunhofer AISEC be- Vorteilhaftigkeit von Cloud-Services, Sicher- lung, dem sogenannten »Cloud-Leitstand«,gnügt sich nicht nur mit der Analyse der heitsimplikationen hingegen werden oft Kennzahlen zusammen, die für ein bestimm-bestehenden Betriebs- und Anwendungssy- unsystematisch und per se nachteilig darge- tes Cloud-Ökosystem zur Verfügung stehen.steme. Es entwickelt ebenfalls Lösungen stellt. Auf diesem Wege werden bereits im Diese werden sodann gefiltert, aggregiertzur Datenverschlüsselung, Datenüberwa- Vorhinein weitergehende Auseinanderset- und interpretiert und schließlich zu aussage-chung und automatischen Datenverschie- zungen mit der Sicherheit in Cloud Compu- kräftigen Statusmeldungen über das Gesamt-bung in der Cloud. Cloud Computing bietet ting Systemen verhindert. Daraus entsteht system zusammengefasst. »In der Praxis er-Anwendern die Möglichkeit, ihre Prozesse in der Eindruck, dass die Sicherheit von SaaS möglichen wir so vom Administrator bis zumvirtualisierten Arbeitsumgebungen auszu- Anwendungen keinerlei Vorteile gegenüber Manager eine zielgruppengerechte Aufberei-führen, die transparent für den Anwender On-Premise-Lösungen besitzt.« tung des jeweiligen Sicherheitsstatus einervon Server zu Server transportiert werden Cloud«, stellt Mario Hoffmann fest. »Mitund damit auch unbemerkt Rechenzen- In der Untersuchung kommen die Forscher dem Cloud-Leitstand gelingt es uns, die intrums- und Ländergrenzen überschreiten zu einem differenzierten Ergebnis. Es wird einem Cloud-Ökosystem zur Verfügung ste-können, was nicht nur bei regulatorischen deutlich, dass fortwährende Investitionen henden Informationen über den Systemzu-Anforderungen ein großes Problem darstel- der Anbieter auf allen technologischen Ebe- stand übersichtlich darzustellen. So wird Si-len kann. Damit Unternehmen das Risiko für nen eines Cloud Computing Systems zu cherheit für Anbieter wie für Anwenderihre Daten dennoch einschätzen und kon- einem ansteigenden Automatisierungsgrad selbstverständlicher Teil der Cloud-Nutzung.«trollieren können, haben Mitarbeiter des führen. Im Vergleich zu traditionellen IT-Sys-Fraunhofer AISEC Lösungen entwickelt, mit temen wird auf diese Weise vor dem Hin- Kontakt: mario.hoffmann@aisec.fraunhofer.de ndenen sich das Sicherheitsniveau von Cloud- tergrund der Arbeitsteilung und Spezialisie- Weitere Informationen:Angeboten messen und Daten auch in der rung ein effektiverer und effizienterer Um- www.cloudsecuritylab.de www.aisec.fraunhofer.deCloud schützen lassen. Grundlage bildet ein gang mit Bedrohungen der Sicherheit er- 5
  6. 6. ImpressumHerausgeber: Redaktion: Bildnachweise:Fraunhofer Research Institution for Applied and Viktor Deleski Volker Steger: 4Integrated Security AISEC Getty Images: 3Parkring 4, Satz und Layout: Fotolia: 185748 Garching m@riondesign.deTel.: +49 089 3229986-133Fax.: +49 089 3229986-299 Text:presse@aisec.fraunhofer.de Bernhard Münkelwww.aisec.fraunhofer.deMESSEN / VERANSTALTUNGEN +++ RSA Conference, 27.2.–2.3.2012, San Francisco +++ Embedded World, 28.2.–1.3.2012, Nürnberg +++ Mobile World Congress, 27.2.–1.3.2012, Barcelona +++ CeBIT, 6.3.–10.3.2012, Hannover +++ Hannover Messe Industrie 23.4.–27.4.2012, Hannover +++ Aktuelle Termine zu Messen, Kongressen, Symposien unter: http://www.aisec.fraunhofer.de/de/messen-veranstaltungen.htmlTHREAT VECTORS 2012 BITKOM: HIGHTECH-TRENDS 2012Die amerikanische Zeitschrift infosecurity befragte mehr als 20 IT-Si-cherheits-Unternehmen nach den größten Bedrohungen für 2012. mobile APT social engeneering Iinfrastructure BYOD targeted social media SQL/XSS DOoS privacy othersQuelle: eigene Grafik, erstellt nach http://www.infosecurity-magazine.com/view/22567/2012-threat- Quelle: http://www.bitkom.org/de/presse/8477_70999.aspxpredictions-an-industry-roundup/FRAUNHOFER AISEC IN DEN SOCIAL MEDIA Fraunhofer AISEC @FraunhoferAISEC München | Munich Hier twittert das PR-Team der Fraunhofer Research Institution for Applied and Integrated Security AISEC | http://bit.ly/AISEC_impressum http://www.aisec.fraunhofer.de http://gplus.cm/FraunhoferAISEC LINKS n Studie: Smart Grid Communications 2020 http://www.esk.fraunhofer.de/de/publikationen/studien/SmartGrid2020.html n Infomaterial: Produktschutz (Verband Deutscher Maschinen- und Anlagenbau e.V.) http://www.vdma.org/wps/portal/Home/de/Branchen/K/KUG/Produktschutz?WCM_GLOBAL_CONTEXT=/vdma/Home/de/ Branchen/K/KUG/Produktschutz n Video: »Der Spion im Keller« – Bayerischer Rundfunk (Kontrovers) http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/kontrovers/111109-kontrovers-smartmeter104.html

×