Cybersecurity 2013 - Design for Security

637 Aufrufe

Veröffentlicht am

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
637
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
11
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cybersecurity 2013 - Design for Security

  1. 1. Design for SecurityCyber Sicherheit gestalten!Claudia EckertFraunhofer AISECTU MünchenCyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 20131
  2. 2. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  3. 3. Sicherheit durch und Sicherheit vonvernetzten IKT-SystemenCyber Sicherheit ist
  4. 4. Unsicherheit durch vernetzte undunsichere IKT-SystemeCyber Sicherheit: Heute
  5. 5. BedrohungslageCyber-Angriffe nehmen zu Jedes 4. Unternehmen Opfer vonCyber-Angriffen Geänderte Täterstruktur: Vom spezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseProduktpiraterie nimmt stark zu VDMA Studie 2011: über 8 MilliardenEuro Schaden für Deutsche Maschinen- und AnlagenbauerSchäden weltweit:290 Mrd. €.profitabler alsglobaler Handel mitRauschgift.
  6. 6. Sensorik Automobil: über 80 SensorenFunkschlüssel, Fernzugriff (GSM)• Drahtlos vernetzte Medizinische Geräte:Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)Software-Systeme Identitätsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)Bedrohungslage: Beispiele
  7. 7. Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungBeispiel: Mobile Endgeräte
  8. 8. Unsichere Hardware/Sensorik:• Physisch angreifbarUnsichere Software-Systeme• ManipulierbarUngeschützte High-Tech-Produkte• KopierbarFaktor Mensch• Sorglos, bequemProblembereiche
  9. 9. Mangelndes Bewusstsein: 90% der erfolgreichen Angriffedurch schwache oder mehrfachverwendete Passwörter: zBName, Geburtsdaten, …Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe inSozialen NetzenBeispiel: Faktor Mensch
  10. 10. Technologie gestalten:• Sicherheitstechnologie, System-DesignProzesse gestalten• Leitlinien und Kultur ‚leben‘Bildungsmaßnahmen gestalten• Nachhaltige SensibilisierungPolitische Rahmen gestalten• Fordern und FördernThese: Design4Security erforderlich
  11. 11. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  12. 12. Vertrauenswürdige Hardware• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit• Angriffstolerant: u.a.nicht manipulierbare HardwareTechnologie gestalten
  13. 13. Problem: Produktpiraterie, Know-How-Diebstahl Ungeschützte Elektronik-BauteileAISEC-LösungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung vonHardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlüssel aus Folieneigenschaften erzeugt Zerstörung der Folie: Firmware-Code wird gelöscht Schutz vor Nachbau, Schutz vor Know-How-AbflussBeispiel: Produkt- und Know-how-Schutz
  14. 14. Sichere System-Architekturen• Prävention: u.a. Separierung• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-KonfigurierenBeispiele Secure Smart MeterSicheres Handy für ‘alle’UnsicherePlattformenz.B. AndroidVirtual Machine IntrospectionHardware, z.B. HSM, Multi-CoreSicheresBetriebssystemTechnologie gestalten
  15. 15. Problem Datenabfluss, Identitätsdiebstahl,Schadsoftware in Unternehmen, …AISEC-LösungTrust | ME: Sicheres Mobiles Endgerät Verschiedene isolierte Bereiche,schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Geräte-Management,differenziertes Remote Wipe etc.Beispiel: Bring your Own Device: aber sicher!
  16. 16. Systeme testen und sicher betreiben• Hardware Sicherheit u.a.Hardware-Trojaner, Seitenkanäle• Software-Sicherheit u.a.Code-Analysen, Tainting„Gesundheits“-Checks für Apps• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,Technologie gestalten
  17. 17. Problem: Unsichere Apps Apps: idR zu viele Zugriffsberechtigungen: Informationslecks undEinschleusen von SchadcodeAISEC-LösungAppRay: Sicherheitschecks für Apps Detaillierte Analyse der Zugriffe, Aktionen Abgleich mit eingestellten Sicherheitsregeln Testen des Verhaltens in simulierter Umgebung Sichere AppStores autonom aufbauen, verwaltenBeispiel: App-Analyse-Tool
  18. 18. Sicherheitscheck für Android-AppsBeispiel: App-Analyse-Tool
  19. 19. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  20. 20. Sicherheitsvorgaben: Festlegen und kommunizieren DurchgehendesSicherheitskonzept mitabgestimmten Maßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlKontrollieren und Sanktionieren Kontinuierliche ÜberprüfungProzesse gestalten
  21. 21. Bildung gestalten: Zielgruppenspezifisch
  22. 22. Fordern Haftungsregelungen fürSoftware, IT Haftpflicht? Regulieren:Sicherheits-Testate, Zertifikate fordern!Fördern Nationale Sicherheitsindustrie fördern Incentivierung:bei nachweislich hohem SchutzniveauPolitische Rahmen gestalten
  23. 23. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  24. 24. Alle gesellschaftlichen Kräfte einbindenChancen für die Forschung Innovative SicherheitslösungenChancen für Unternehmen Security made in Germany als Label Marktvorteile durch Know-how SchutzChancen für die Politik: Bildungs- und Industriepolitik gestaltenCyber Sicherheit gestalten!
  25. 25. Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

×