Zukunftstrends vonInformationstechnologie und Cyber-SicherheitProf. Dr. Michael WaidnerFraunhofer SIT und TU Darmstadtmich...
Gliederung      1.     Wieso ist IT unsicher?      2.     Security and Privacy by Design      3.     Bausteine für die Cyb...
Vier Phasen des Cyber-Raums   Zeithorizont von ca. 5 Jahren   1.                 2.                            3.         ...
Instrumentierte Welt… und meistens gibt es schon “gehackte” Beispiele                                                  ...
Eigentlich ist das IT-Sicherheitsproblem gelöst … nur                                                        © Fraunhofer-...
Eigentlich ist das IT-Sicherheitsproblem gelöst … nur(1) Wir machen immer wieder dieselben Fehler                    Sich...
(2) Angriffe werden insgesamt professioneller und gezielterIndustrialisierung + Zielorientierung (“APT”)                  ...
(3) Sicherheit hat ihre „natürlichen“ Grenzen              Komplexität von IT                Menschen machen Fehler:    ...
Gliederung      1.     Wieso ist IT unsicher?      2.     Security and Privacy by Design      3.     Bausteine für die Cyb...
Security and Privacy by DesignSicherheit wird umso kostengünstiger, je früher sie hergestellt wird                        ...
BMBF-Finanziertes Zentrum fürCybersecurity-Forschung (2011 – 2019) TU Darmstadt + Fraunhofer SIT Wissenschaftliche Exzel...
Security Design – A Systematic ApproachMake no mistake during development or operation alongthe entire supply chainSupply ...
Security Design – A Systematic ApproachOur Vision: a systematic approachto secure software development                    ...
Example: Threat Modeling, Promise & RealityExperiment at Fraunhofer SIT                                                   ...
Risikofreundliche IT-ArchitekturenArchitekturen können mehr oder weniger „überlebensfähig“ sein         High-risk Architec...
Gliederung      1.     Wieso ist IT unsicher?      2.     Security and Privacy by Design      3.     Bausteine für die Cyb...
Vertrauen in Systeme 1: BizzTrust for Android                           BYOD without reducing usability and appeal        ...
Vertrauen in Systeme 2: Trust in Execution using TPMs Trust in network configuration information (e.g., CASED) Trust in ...
Kryptographie 1: OmniCloudMotivation: Storage clouds today Security problems of current offerings (*) Provide has full a...
Kryptographie 2: Fully Homomorphic Encryption & Friends                                                     Computes enc(F...
Gliederung      1.     Wieso ist IT unsicher?      2.     Security and Privacy by Design      3.     Bausteine für die Cyb...
Zusammenfassung Wieso ist IT unsicher?   Wohlbekannte Fehler   Angriffs-Industrie   Harte Grenzen Security and Privac...
Forschung zur IT-Sicherheit in DeutschlandSeveral strong security and privacy research institutes and groups   CASED Darm...
Prof. Dr. Michael Waidnermichael.waidner@sit.fraunhofer.deFraunhofer-Institut fürSichere InformationstechnologieRheinstras...
Nächste SlideShare
Wird geladen in …5
×

Zukunftstrends von Informationstechnologie und Cyber-Sicherheit

1.975 Aufrufe

Veröffentlicht am

Fraunhofer SIT-Institutsleiter Prof. Michael Waidner präsentiert auf der Fachkonferenz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 30. Mai 2012 in Bonn Kooperationsmodelle und Lösungsansätze in der Cyber-Sicherheit.

Veröffentlicht in: Technologie, Business
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.975
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
724
Aktionen
Geteilt
0
Downloads
27
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Zukunftstrends von Informationstechnologie und Cyber-Sicherheit

  1. 1. Zukunftstrends vonInformationstechnologie und Cyber-SicherheitProf. Dr. Michael WaidnerFraunhofer SIT und TU Darmstadtmichael.waidner@sit.fraunhofer.de Fraunhofer-Gesellschaft 2011 ©© Fraunhofer-Gesellschaft 2012 Cyber-Sicherheit – Kooperationsmodelle und Lösungsansätze BSI Fachkonferenz, Bonn, 30. Mai 2012 Page 1 of 24
  2. 2. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 2 of 24
  3. 3. Vier Phasen des Cyber-Raums Zeithorizont von ca. 5 Jahren 1. 2. 3. 4. Data Center Outsourcing, User-gen. Content, Instrumentierte Welt, Public Cloud Social Networks, Big Data Massive Info-Sharing „Morgenstadt“ + Mobile IT + BYOD Offen © Fraunhofer-Gesellschaft 2012In Forschung Im Einsatz Page 3 of 24
  4. 4. Instrumentierte Welt… und meistens gibt es schon “gehackte” Beispiele         © Fraunhofer-Gesellschaft 2012   Page 4 of 24
  5. 5. Eigentlich ist das IT-Sicherheitsproblem gelöst … nur © Fraunhofer-Gesellschaft 2012 Page 5 of 24
  6. 6. Eigentlich ist das IT-Sicherheitsproblem gelöst … nur(1) Wir machen immer wieder dieselben Fehler  Sicherheit oft nachgeordnetes Ziel  Vulnerabilities = Fehler  in Design, Code, Configs  im Sicherheitsmodell  in der Integration (Kontext, Identitäten, Events)  Menschen: Entwickler, Administratoren, Endnutzer  Überfordert und unmotiviert  Neugierde, Effizienz, Vertrauen  Schlechtes IT-Management, kein Überblick, keine Frühwarnfähigkeiten © Fraunhofer-Gesellschaft 2012  Mangelndes Fachwissen bei Entwicklern & Admins Page 6 of 24
  7. 7. (2) Angriffe werden insgesamt professioneller und gezielterIndustrialisierung + Zielorientierung (“APT”) © Fraunhofer-Gesellschaft 2012 + Privatsphäre vs. Facebook, Google, Big Data? Page 7 of 24
  8. 8. (3) Sicherheit hat ihre „natürlichen“ Grenzen  Komplexität von IT  Menschen machen Fehler: Unmöglich, SW/HW fehlerfrei herzustellen oder zu nutzen  Sicherheitsaufwand muss Risiko angemessen sein, 80/20  Unsichere Systeme  Unsichere Attribution von Angreifern  Möglicherweise unsicheres Verhalten ist oft gewollt oder notwendig und darf nicht verhindert werden  Nutzung von IT braucht im allg. Freiheitsgrade  IT mit zu starken Einschränkungen wird umgangen  Überwachung schafft neue Risiken © Fraunhofer-Gesellschaft 2012  Überwachungsmechanismen sind neues Angriffsziel  Erschwert Schutz der Privatsphäre  Online Social Networks als freiwillige (?) Überwachung Page 8 of 24
  9. 9. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 9 of 24
  10. 10. Security and Privacy by DesignSicherheit wird umso kostengünstiger, je früher sie hergestellt wird 7600 Security by Patching Security by Design 960 80 240 © Fraunhofer-Gesellschaft 2012 Code Build QA Deployed Average costs per defect (in USD) -- Source: IBM 2009 Page 10 of 24
  11. 11. BMBF-Finanziertes Zentrum fürCybersecurity-Forschung (2011 – 2019) TU Darmstadt + Fraunhofer SIT Wissenschaftliche Exzellenz Security & Privacy by Design  Trends  Anwendungen und Architekturen  Methoden (stat/dyn Analyse, Patterns, …)  Bausteine (Krypto, Policy, Hardware) Fokus auf exzellente Nachwuchsgruppen  Claude Shannon Fellows  Stand: 2 von ca. 6 CSF’s besetzt © Fraunhofer-Gesellschaft 2012 Schwesterzentren in Karlsruhe, Saarbrücken http://www.ec-spride.dePage 11 of 24
  12. 12. Security Design – A Systematic ApproachMake no mistake during development or operation alongthe entire supply chainSupply chain Development process Operation Components incl. OSS Develop Integrate as part of Products Develop Integrate as part of Solutions Develop Operate IncidentAssure quality Know what can go wrong, Deploy and use Know how to do it right properly © Fraunhofer-Gesellschaft 2012 Testing, Review  Awareness and training Documentation of Approval  Analysis and design methods security properties and Standardization  Good practices, patterns assumptions Page 12 of 24
  13. 13. Security Design – A Systematic ApproachOur Vision: a systematic approachto secure software development Security concept documentationSecurityconceptartifactsCompletesecurity Practicalanalysis methodsDevelop- Security design and implementationment © Fraunhofer-Gesellschaft 2012process Secure product Page 13 of 24
  14. 14. Example: Threat Modeling, Promise & RealityExperiment at Fraunhofer SIT Subject 1 Consistent assessments including partial matches Three experienced security engineers, products and threat modelling techniques Subject 3 Subject 2 © Fraunhofer-Gesellschaft 2012 Each subject identified about 30 valid threats, over 70 in total There is surprisingly little overlap Page 14 of 24
  15. 15. Risikofreundliche IT-ArchitekturenArchitekturen können mehr oder weniger „überlebensfähig“ sein High-risk Architecture Low-risk Architecture Plain data Rich meta data (rights, (without metadata) obligations, retention, …) Single Layer of Defense Multiple Layers of Defense Access Control Usage Control Centralized data repositories & Distributed and client-side data processing repositories & processing, fine- grained protection and isolation Real identity, Pseudonyms, attributes, early identification late identification © Fraunhofer-Gesellschaft 2012 Broad permissions, Least privilege, opt-in by default security and privacy by default Page 15 of 24
  16. 16. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 16 of 24
  17. 17. Vertrauen in Systeme 1: BizzTrust for Android BYOD without reducing usability and appeal  BizzTrust Development is based on requirement analysis with many enterprises  Platform Security & Privacy: Isolate domains, e.g., “private” from “business”  Instantiation of a generic Security Architecture XManDroid  MAC with coloring of all resources  TOMOYO Linux or SELinux (SEAndroid by NSA)  Management: Device only one part of the solution  Infrastructure: VPN, TNC, app certification, … © Fraunhofer-Gesellschaft 2012  Mobile device management  App securityhttp://www.bizztrust.de/ & Page 17 of 24
  18. 18. Vertrauen in Systeme 2: Trust in Execution using TPMs Trust in network configuration information (e.g., CASED) Trust in execution of code (e.g., Flicker/ CMU, Softcard/CASED) … © Fraunhofer-Gesellschaft 2012 Page 18 of 24
  19. 19. Kryptographie 1: OmniCloudMotivation: Storage clouds today Security problems of current offerings (*) Provide has full access to client data Risk of vendor lock inOmniCloud Cloud Broker & Gateway Unified access to multiple clouds  ftp, scp, S3, Rackspace, Nirvanix, … For now focused on cloud backup Improves security  Compression, deduplication & encryption at OmniCloud gateway Improves portability © Fraunhofer-Gesellschaft 2012 Gateways can be local or shared *On the Security of Cloud Storage Services, Fraunhofer SIT, 2012 http://www.sit.fraunhofer.de/de/medien-publikationen/technical-reports.html Page 19 of 24
  20. 20. Kryptographie 2: Fully Homomorphic Encryption & Friends Computes enc(F(data)) without the ability to enc(data) decrypt enc(data). enc(F(data))  One of several cryptographic patterns for extending trust and confidence into the Cloud  General FHE is very inefficient, more efficient solutions exist in Secure Function Evaluation / Secure Multiparty Computations  Usability through model-driven approaches (EC-SPRIDE) © Fraunhofer-Gesellschaft 2012  Hot and primising area for basic and applied research. Page 20 of 24
  21. 21. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 21 of 24
  22. 22. Zusammenfassung Wieso ist IT unsicher?  Wohlbekannte Fehler  Angriffs-Industrie  Harte Grenzen Security and Privacy by Design  Einziger Ansatz für Sicherheit zu vertretbaren Kosten Bausteine für die IT-Sicherheit – Praxis und Theorie © Fraunhofer-Gesellschaft 2012  Vertrauen in Systeme  Kryptographie Page 22 of 24
  23. 23. Forschung zur IT-Sicherheit in DeutschlandSeveral strong security and privacy research institutes and groups  CASED Darmstadt; CISPA Saarbrücken; ECSPRIDE Darmstadt; Fraunhofer Bonn, Darmstadt, Karlsruhe, München; HGI Bochum; KASTEL Karlsruhe; …  Several individual groups and researchersGlobal context for German IT industry  Strong positions: e.g., embedded IT, business software, services, privacy & trust  Depends on global supply chain for base hardware and softwareDomestic D/EU market offers strong position in setting standardsSuggests research focus on © Fraunhofer-Gesellschaft 2012  Strong positions (embedded IT, business software, …)  Standards: interoperability, integration, assurance, …  Engineering: security by design, trust from untrusted components Page 23 of 24
  24. 24. Prof. Dr. Michael Waidnermichael.waidner@sit.fraunhofer.deFraunhofer-Institut fürSichere InformationstechnologieRheinstrasse 7564295 Darmstadt, Germanywww.sit.fraunhofer.deTechnische Universität DarmstadtCASED/EC-SPRIDE & Lehrstuhl Sicherheit in der ITMornewegstrasse 3064289 Darmstadt, Germany © Fraunhofer-Gesellschaft 2012www.sit.tu-darmstadt.dewww.cased.dewww.ec-spride.de Page 24 of 24

×