SlideShare ist ein Scribd-Unternehmen logo
F ra u n h ofer - I nstit u t f ü r A n g ewandte u nd I nte g rierte S ic h er h eit

Newsletter
2013

Cyber-Sicherheit
NEWSTICKER +++ NEWSTICKER

VERTRAUE NIEMANDEM !?

ZWO, DREI, 4.0

Kurznachrichten rund um das
Fraunhofer AISEC.

Lässt sich Vertrauen in die IKT nach
NSA & Co. zurückgewinnen?

IT-Sicherheit in der Industrie 4.0.







Seite 2

Seite 3

Seite 4

vorzugehen. Viele direkt einsetzbare Lösungen sind bereits vorhanden und auch die
Politik zeigt u. a. im Koalitionsvertrag ihre Bereitschaft, in Sicherheitstechnologie und
den Kompetenz­ usbau zu investieren. Ein weiteres Thema, das uns im nächsten Jahr
a
beschäftigen wird, ist Industrie 4.0. Darunter versteht man den komplexen Transformationsprozess hin zu einer durchgehenden Vernetzung von Produkten, Maschinen,
Anlagen und Automationsprozessen sowie Diensten. Dazu finden Sie interessante
Lektüre ab Seite 4.
Liebe Leserinnen und Leser,

Auch in diesem Newsletter werden Ihnen wie gewohnt einige innovative Lösungen

der Zeit, zurückzublicken. Aus Sicht der
IT-Sicherheit lässt sich sagen, dass ein
sehr ereignisreiches Jahr 2013 hinter uns
liegt. Die Spionageaffären fremder Ge-

aus unserem Hause vorgestellt. Unser Analyse-Tool App-Ray sorgt dafür, dass keine
Apps auf mobile Endgeräte in einem Unternehmensumfeld kommen, die gegen die
im Unternehmen geltenden Sicherheitsrichtlinien verstoßen (Seite 7). Die bei uns
entwickelte Schutzfolie für Elektronische Geräte, PEP, schützt eingebettete Systeme
vor Manipulation und Nachbau – eine wichtige Innovation im Kampf gegen Pro-

heimdienste haben die Schlagzeilen do-

duktpiraterie (Seite 8).

miniert und für große Verunsicherung in

Im kommenden Jahr werden wir weiterhin mit unserer Expertise Unternehmen da-

Gesellschaft, Wirtschaft und Politik ge-

bei unterstützen, ihre Produkte und Dienste sicherer zu machen, um so ihre Innova-

sorgt. Das Vertrauen in die Informations-

tionsstärke nachhaltig zu bewahren. Dazu werden wir gemeinsam mit der Baye-

und Kommunikationstechnik als Innova-

rischen Staatsregierung unsere Kompetenzen und Angebote gezielt weiter

tionsmotor für die Wirtschaft auf dem

ausbauen und in einem IT-Sicherheitszentrum an unserem Standort Garching bün-

Weg in die Digitalisierung, hat sehr stark

deln. Hier werden wir unser Sicherheitstest- und Analyselabors weiter ausbauen,

gelitten. Der Artikel ab Seite 3 dieses

um Unternehmen ein noch breiteres Spektrum an Sicherheitsuntersuchungen mit

Newsletter zeigt Ihnen aber auch, dass

neuesten Testumgebungen und Analysemethoden sowie Schulungen anbieten zu

diese Vertrauenskrise sogar neue Chan-

können. Das nächste Jahr verspricht also, spannend zu werden.

cen bietet, denn aus Sicht der angewandten IT-Sicherheitsforschung sind die

Ich wünsche Ihnen besinnliche Weihnachtstage und ein sicheres Jahr 2014.

Voraussetzungen sehr gut, sogar noch
gestärkt aus der aktuellen Situation her-

Viel Vergnügen bei der Lektüre Ihre

Ich glaub‘, es hackt!

DER RÖNTGENBLICK

DA IST PEP DRIN

Sicherheitskonzepte für die
Industrie 4.0.

Analyse-Tool App-Ray prüft Apps
auf Herz und Nieren.

Schutzfolie für elektronische
Geräte und gegen Produktpiraten.







Seite 5

Seite 7

Seite 9

www.aisec.fraunhofer.de

kurz vor Jahresende ist es traditionell an
Dies ist kein Spiel!

IT-Sicherheit wird in Garching institutionalisiert
Das Fraunhofer AISEC am Standort Garching-Hochbrück
ist am 1.12. 2013 in ein eigenständiges Fraunhofer-Institut
überführt worden. Damit folgte der Fraunhofer-Senat den
Empfehlungen der externen Gutachter, die der Fraunhofer
Einrichtung für Angewandte und Integrierte Sicherheit
(AISEC) im Juni ein exzellentes wissenschaftliches Profil
und eine hervorragende Zusammenarbeit mit der Industrie

fotolia © Alterfalter

Im Auftrag der im Verband der Deut-

bescheinigten. Im Zuge der Digitalisierungsstrategie »Digi-

schen Automatenindustrie (VDAI e.V.)

tal Bavaria« des bayerischen Wirtschaftsministeriums soll das AISEC als Kompetenz-

organisierten Unternehmen hat das

zentrum für IT-Sicherheit von Europäischer Bedeutung weiter ausgebaut werden.

Fraunhofer-Institut für Angewandte

Vollständige Meldung unter http://ais.ec/Institut

und Integrierte Sicherheit (AISEC) ein
Sicherheitskonzept zum Schutz der

Hardware-Sicherheitsevalutierung

Buchungsdaten von Geldspielgeräten

Das Fraunhofer AISEC analysiert die Hard-

erarbeitet. Das Konzept sieht nun erst-

ware-Sicherheit von Produkten und Syste-

mals einen leistungsfähigen elektro-

men. In einem hochmodernen Hardware-Si-

nischen Manipulationsschutz dieser

cherheitslabor werden dazu Angriffsanalysen

Daten vor, der dem neuesten Stand

in White- und Black-Box Szenarien durchgeführt. Das Leistungsspektrum im Analyse-

der Technik entspricht.

bereich erstreckt sich von einfacheren praktischen Angriffen, wie dem Auslesen von

Vollständige Meldung unter	

Speichern, bis zu sehr komplexen Seitenkanalanalysen oder Fehlerangriffen.

http://ais.ec/VDAI

Übrigens: Projekte zur Sicherheitsevaluierung und Verbesserung mit Industriepart-

FRAUNHOFER RESEARCH INSTITUTION FOR
A P P L I E D A N D I N T E G R AT E D S E C U R I T Y A I S E C

nternehmen aus dem Indus-

e Behörden bei der Absiche-

Produkte und Angebote. Für

ofer AISEC qualitativ hoch-

Erhöhung der Verlässlichkeit,

tionssicherheit von IT-basier-

90 wissenschaftliche und

tarbeiter des Fraunhofer AIS-

onzepte und Lösungen. Die

modernsten Geräten ausge-

nern unterliegen der Geheimhaltung.

MOBILE SECURITY

Sicherheit mobiler Endgeräte im
Cyberraum

n und analysieren im Kun-

Weitere Infos unter http://ais.ec/hws

Leitfaden zur

kten, Hardware-Komponen-

en und Anwendungen. Zu

AISEC gehört die Absicherung

Sicherheit mo-

ebenso wie sichere Soft-

Die Umstellung auf die digi-

für Behörden

biler Geräte, Dienste und An-

ELSTERONLINE

biler Endgeräte

dded Systems) ebenso wie die

tale Steuererklärung mit Hilfe

ütte

ng
229986 173
86 299

e@aisec.fraunhofer.de
obile

fotolia

und KMU.

Der Leitfaden wurde im Rahmen der
länderoffenen Arbeitsgruppe Cybersicherheit der IMK durch Fraunhofer
AISEC erstellt. Mitgewirkt haben die
Länder Bayern (Federführung), Baden-

www.elsteronline.de

von Elster Formular soll das

Ausfüllen leichter und den Versand ans Finanzamt

Digital Star 2014
FOCUS
sucht den
Digital
Star 2014!
Gewinnen Sie den
Award für digitale Innovationen
aus Deutschland.

papierloser machen. Und natürlich soll es auch
s
­ icher sein. Deshalb unterstützt das Fraunhofer
A
­ ISEC das Dienstleistungsportal der Finanzverwaltung bei der Java-Script-Sicherheit.

In Kooperation mit

Presenting Partner

www.focus.de/digitalstar

Württemberg, Hamburg, Hessen, Me-

Das am Fraunhofer AISEC

cklenburg-Vorpommern, Rheinlandp-

entwickelte Analyse-Tool

falz, Sachsen-Anhalt und Thüringen.

App-Ray ist für den Focus
Digital Star 2014 nominiert.

http://ais.ec/Leitfaden

Der Preis wird jährlich an herausragende digitale Innova-

Cloud Migration

tion aus Deutschland verliehen. AISEC drückt dem
App-Ray-Entwickler Team
um Dr. Julian Schütte, die

AISEC in den Medien

Daumen, dass es klappt.

Alles, was man über die Cloud wissen

Die Sicherheitsexperten des Fraunhofer AISEC

muss. Das Buch, an dessen Entstehung

waren im Jahr 2013 mit Beiträgen und Facharti-

Infos zum Digital Star unter

AISEC-Experten mitwirkten, gibt es

keln zum Thema IT-Sicherheit in zahlreichen Zei-

http://ais.ec/digstar

auch als Webedition unter

tungen, Zeitschriften und Blogs vertreten.

Infos zu Appr-Ray unter

www.cloud-migration.eu

Auswahl unter http://ais.ec/pressespiegel

http://ais.ec/appray

2

www.aisec.fraunhofer.de

R AISEC
Cyber-Sicherheit – eine Vision für Europa
V ertra u en in die IK T mu ss wieder steigen
Ende November 2013 wählte der Verein
Deutsche Sprache den Spruch »Yes, we
scan!« zur Schlagzeile des Jahres 2013
– in Anlehnung an den uns allen bekannten Slogan des Präsidentschafts-

Internetnutzer
verlieren das Vertrauen
Wie schätzen Sie die Sicherheit Ihrer persönlichen Daten im Internet ein?

kandidaten Barack Obama im US-Wahl-

3%

kampf 2008. Doch der Satz wurde nicht
nur für den feinen Wortwitz zum Besten

5%

42%

5%

29%

16%

des Jahres gewählt, sondern weil er DAS
bestimmende Thema des Jahres auf-

07/2013

2011

greift – die NSA-Spionage-Affäre. Bür-

11/2013

ger, Verwaltungen und Unternehmen
sorgen sich seit Bekanntwerden der Spionageangriffe durch ausländische Ge-

66%

55%

79%

heimdienste noch stärker um ihre Daten, insbesondere auch vor dem
Hintergrund der Wirtschaftsspionage –

Sehr sicher/sicher

eher unsicher/völlig unsicher

weiß nicht

Qulle: BITKOM, Dezember 2013 (http://www.bitkom.org/78135_78131.aspx . Abrufdatum, 10.12.2013)

Chance für die deutsche

eine BITKOM-Umfrage aus dem Nov.

opa? Die Forderungen nach deutschem

2013 zeigt den dramatischen Vertrau-

bzw. europäischem Routing hat eine

­IKT-Wirtschaft

ensverlust. Während die Politik versucht,

Diskussion eröffnet, an deren Ende die

Eine digitale Vision für Europa muss da-

verloren gegangenes Vertrauen auf dem

Chance steht, mit der Entwicklung von

rauf abzielen, durch die Umsetzung der

Weg von internationalen Abkommen

Standards und Lösungen »made in Ger-

Digitalen Agenda die vorhandenen Stär-

(No-Spy) zurück zu gewinnen, schlägt

many« oder »made in Europe« das Ver-

ken der Wirtschaftsnationen Europas

die IT-Wirtschaft technologische Lö-

trauen der Gesellschaft und der Wirt-

weiter auszubauen und zu stärken.

sungen vor. So sollen Mails mit Deut-

schaft in die Informations- und

Schlüsselbranchen sind neben der IKT-In-

schen Absender und Empfänger nur

Kommunikationstechnik (IKT) nachhaltig

dustrie besonders die Automobil- und

über Deutsche Router geleitet werden,

zu stärken und Kräf-

oder im europäischen Kontext soll die

te in der IT-Sicher-

Ein wichtiger Schritt in die stär-

stark mittelständisch

Weiterleitung (das Routing) auf den

heitsindustrie und in

kere digitale Souveränität wäre

geprägte Maschinen

Schengen-Raum beschränkt werden.

der Politik zu mobili-

die Entwicklung von vertrau-

und Anlagenbau, aber

Cloud-Anbieter propagieren eine EU-

sieren. Dies erfor-

enswürdigen IT-Sicherheits-

auch die Energiewirt-

oder Deutschland-Cloud und die Fach-

dert aber auch ein

Bausteinen, deren Vertrauens-

schaft und der Ge-

medien schreiben Nachrufe auf die Pu-

konsequentes Inve-

würdigkeit von neutralen

sundheitssektor. Diese

blic Cloud. In der Tat ein ereignisreiches

stieren in die Ent-

Stellen überprüft wird.

Branchen benötigen

Jahr aus Sicht der IT- und Datensicher-

wicklung nationaler

heit. Was können wir aus diesem Jahr

IT-Sicherheits-Schlüsseltechnologien, wie

Produkte und einheitliche Regelungen.

ins nächste nehmen? Was können wir

vertrauenswürdige Hardware-Bausteine,

Politische Anstrengungen in Bezug auf

lernen? Welche Chancen bieten die Er-

sichere eingebettete Betriebssysteme

solche Regelungen, wie einheitliche Da-

eignisse der letzten Monate für die Digi-

oder auch vertrauenswürdige Lösungen

tenschutzrichtlinien, sind wichtig, rei-

tale Wirtschaft in Deutschland und Eur-

für eine sichere Identität.

chen aber nicht aus. Gemäß dem be-

vertrauenswürdige IKT-

kannten Spruch »Vertrauen ist gut,

Cyber Security

Kontrolle ist besser« müssen deshalb die

Unter dem Begriff Cyber-Sicherheit oder auch Cyber Security werden allgemein

Forschungs- und Entwicklungsausgaben

die Herausforderungen in Bezug auf die IT-Sicherheit zusammengefasst, die sich

im Bereich der IT-Sicherheitstechnologie

aus der Vernetzung von IKT-Systemen und den zunehmenden Abhängigkeiten

sowohl auf nationaler als auch auf euro-

von vernetzten, sicherheitskritischen Infrastrukturen ergeben. Cyber-Sicherheit

päischer Ebene substantiell erhöht wer-

beschreibt die Ausweitung der Aufgaben der klassischen IT-Sicherheit auf diese

den. Ein wichtiger Schritt in die stärkere

komplexen, auch mit der physischen Welt sehr stark vernetzten Systeme.

digitale Souveränität wäre die Entwicklung von vertrauenswürdigen IT-Sicher-

3

www.aisec.fraunhofer.de

Zuliefererindustrie, der
heits-Bausteinen, deren Vertrauenswür-

opa weiterhin ein großer Teil der benöti-

die Deutsche IKT-Wirtschaft eröffnet sich

digkeit von neutralen Stellen überprüft

gten IKT auf dem Weltmarkt eingekauft

dadurch die große Chance, im Jahr

wird. Diese müssten dann standardmä-

werden müssen. Ein starkes Digitales Eu-

2014 gestärkt aus der IT-Vertrauenskrise

ßig in Produkte integriert und über ver-

ropa muss deshalb verbindliche Mindest-

hervorzugehen. Sie kann mit qualitativ

trauenswürdige Software-Kerne ange-

standards entwickeln sowie technische

hochwertigen Schlüsseltechnologien in-

bunden werden, so dass sie als

Methoden erarbeiten, um die Einhaltung

ternationale Standards mitbestimmen

verlässliche, nicht umgehbare Vertrau-

der Mindeststandards zu prüfen, bzw.

und frühzeitig in den Markt einführen.

ensanker, z. B. als integrierte Sicher-

die Hersteller von Produkten müssten

heitschips, nutzbar sind, jedoch die ge-

nachweisen, dass die Einhaltung der

wohnten Abläufe nicht behindern.

Standards von einer unabhängigen In-

Jedoch wird auch in einem digitalen Eur-

stanz geprüft und bestätigt wurde. Für

Prof. Dr. Claudia Eckert,
Leiterin Frauhofer AISEC

n

IT-Sicherheit in Industrie 4.0
D ie revo l u tionä re E volu tion
Auch wenn der Begriff Industrie 4.0 sehr vielschichtig ist und noch
viele Fragen, wie die Frage der IT-Sicherheit, unbeantwortet sind,
ist bereits heute eine Veränderung der Industrielandschaft in
Deutschland bemerkbar. Eine Transformation findet statt, in deren Mittelpunkt die intelligente Vernetzung von Produkten, Maschinen und Produktions- und auch der Wartungsprozesse steht.
Die vormals strikte Trennung zwischen den ehemals getrennten
IKT-Bereichen der Produktions-IT und der Business-IT wird aufgehoben; die Welten wachsen zusammen. Dadurch werden in der Industrie 4.0 IT-Systeme mit ganz unterschiedlichen Sicherheitsanforderungen verbunden. Daraus ergeben sich neue Verwundbarkeiten und
miteinander zu kommunizieren. Sichere

dringen und Schäden auch in der physischen Welt zu verursachen. So

und überprüfbare Identitäten von Ma-

können sich beispielsweise Computer-Viren, die man von Desktop-PCs

schinen, der Schutz vor gefälschten und

kennt, auf Produktionsanlagen ausbreiten, oder Maschinen werden

nachgemachten Produkten und die si-

zur Fernwartung freigegeben, ohne diese Zugänge ausreichend abzu-

chere Maschine-zu-Maschine Kommuni-

sichern.

kation sind neue und wichtige Herausforderungen für die IT-Sicherheit in der

Viele Komponenten dieser komplex ver-

nende, einfache Absicherung be-

Industrie 4.0. Benötigt werden neue Si-

netzten Systeme sind beschränkt hin-

schränkter, vernetzter Komponenten im

cherheitstechniken, wie vertrauenswür-

sichtlich ihrer Speicherkapazität oder

Automatisierungs- und Produktionsum-

dige Betriebssystem-Kerne für die be-

auch ihrer Rechenfähigkeit und ihrem

feld geeignet. Das heißt, bekannte Tech-

schränkten Komponenten, oder aber

Energieverbrauch. Sie müssen rund um

niken wie Viren-Scanner, Firewalls, VPNs

auch leichtgewichtige, aber dennoch

die Uhr ihre Aufgaben erfüllen, oft unter

oder SSL/TLS-verschlüsselte Kommunika-

starke Sicherheitsmechanismen, um

Einhaltung strikter zeitlicher Vorgaben.

tion zwischen Browsern und Servern,

M
­ anipulationen zu verhindern bzw. un-

Sie sind zudem häufig zertifiziert, so dass

oder aber auch Techniken zur Identifika-

schädlich zu machen.

es in der Regel nicht möglich ist, im Re-

tion von agierenden Nutzern, wie Zu-

gelbetrieb Sicherheits-Patches oder Up-

gangscodes und Berechtigungsausweise

Maschinen und Anlagen in der Industrie

dates, wie aus der Business-IT bekannt,

sind nicht ohne weiteres im Produktions-

sind für einen langjährigen Einsatz oft in

aufzuspielen, oder die Komponenten

und Automatisierungs-Umfeld einsetz-

der Größenordnung von zwanzig Jahren

neu zu starten, oder neu zu konfigurie-

bar. Die Komponenten in Industrie 4.0

und darüber hinaus vorgesehen. Die Mi-

ren. Klassische Sicherheitstechnologie,

Szenarien müssen in der Lage sein, sich

gration von der heutigen industriellen

wie man sie in heutiger Business-IT fin-

untereinander sicher zu identifizieren,

Produktion auf die nächste Generation

det, sind nicht für die ressourcenscho-

Manipulationen zu erkennen und sicher

muss also schrittweise, in weiten Be-

4

www.aisec.fraunhofer.de

den Angreifern eröffnen sich neue Möglichkeiten, in Systeme einzu-
reichen eher evolutionär als revolutionär

spiel auch ein durchgängiges Berechti-

nischer Ebene – erforscht und umge-

gestaltet werden, auch wenn man bei

gungsmanagement. Damit wird klar

setzt werden. Die Bereitstellung von Si-

Industrie 4.0 von einer Revolution u. a. in

geregelt, wer welche Aktionen an dem

cherheitsbausteinen, wie beispielsweise

Bezug auf die Gestaltung des gesamten

jeweiligen System vornehmen darf. Ne-

vertrauenswürdige Hardware-Module,

Produkt-Lebenszyklus

ben dem Schutz vor

manipulationsgeschützte Firmware,

ausgeht. Das Nachrü-

Sichere und überprüfbare

Angriffen über das In-

Krypto-Boxen oder auch Sicherheits-

sten von industriellen

Identitäten von Maschinen,

ternet muss auch die

Gateways zur Absicherung von Schnitt-

Komponenten um Si-

der Schutz vor gefälschten

Sicherheit bei physika-

stellen und Kommunikationsverbin-

cherheitsmaßnahmen,

und nachgemachten Produk-

lischen Angriffen ge-

dungen zusammen mit Regelwerken

wie etwa mit krypto-

ten und die sichere Maschine- währleistet sein. Dies

und Vorgaben für deren sichere Integra-

graphischen Verfahren

zu-Maschine Kommunikation

lässt sich durch die In-

tion in bestehende Systemlandschaften

zum vertraulichen und

sind neue und wichtige Her-

tegration von sicheren

könnten pragmatische erste Schritte auf

manipulationsgeschütz- ausforderungen für die IT-Si-

Hardware-Bausteinen

dem Weg zur sicheren Industrie 4.0

cherheit in der Industrie 4.0.

erreichen, so dass sich

sein. Aber auch die sichere Integration

ein System beispiels-

mobiler Geräte und die einfache Bedien-

ten Datenaustausch ist
keine Standardaufga-

be. So müssen zum einen die Sicher-

weise nicht mehr booten lässt, wenn

barkeit der Sicherheitstechnologien ge-

heitslösungen mit den bestehenden

eine manipulierte oder gefälschte Kom-

hören zu den zentralen Herausforde-

Standards der Systeme kompatibel sein.

ponente in das System eingebracht wur-

rungen der nächsten Jahre. Fraunhofer

Zum anderen laufen die Industriesy-

de. Die Gewährleistung der Daten- und

AISEC hat in all diesen Bereichen bereits

steme meist unter sehr strikten Echtzeit-

Informationssicherheit wird ein entschei-

Lösungsansätze entwickelt, die in einem

bedingungen. Das Zeitfenster für die

dender Faktor für den Erfolg von Indus-

nächsten Schritt mit Industriepartnern

Ver- und Entschlüsselung der Daten oder

trie 4.0 sein. Existierende Technologien

ausgearbeitet und zur Marktreife ge-

die Authentifizierung von Nutzern und

müssen an die neuen Anforderungen

bracht werden sollen.

Geräten ist äußerst klein. Erforderlich ist

angepasst und innovative, vertrauens-

die Entwicklung von Sicherheits-Konzep-

würdige Schutzkonzepte – sowohl auf

ten für alle Ebenen: Dazu zählt zum Bei-

organisatorischer als auch auf tech-

n

Ich glaub, es hackt!
S ich erh eitskonzepte fü r die Ind ustrie 4.0
Die Vernetzungen von Maschinen und Produktionsanlagen untereinander und mit den Büronetzen der
Unternehmen bilden das Nervensystem unserer Industrie der Zukunft. Sicherheitstechnisch sind heutige
Geräte und Systeme darauf allerdings nicht vorbereitet. Für das »Internet der Dinge« müssen alle Komponenten vernetzter Industrieanlagen umfassend geschützt werden – gegen Cyberkriminelle ebenso wie gegen physische Angriffe auf das darin enthaltene Know-how. Im Security-Labor der Fraunhofer AISEC hacken sich die Forscher durch Schwachstellen industrieller IT-Komponenten und entwickeln
Schutzmaßnahmen für die sichere Weiterentwicklung von Industriesteuerungen in Richtung Industrie 4.0.
Der Greifer nimmt aus der Vorratskiste

gleich nebenan wird das Geschehen mit

AISEC, über eine Backdoor in das Steu-

das nächste Bauteil auf, fährt herum

einem zufriedenen Lächeln registriert.

ersystem des Industrieroboters gehackt

zum Arbeitstisch und positioniert es mil-

Der Stillstand des Roboterarmes ist in

und ihn während des laufenden Ferti-

limetergenau an seinem Bestimmungs-

diesem Fall keine unerwünschte Produk-

gungsprozess über dessen Online-An-

ort. Im Sekundentakt erledigt der Ro-

tionspanne, sondern das Ergebnis er-

bindung sabotiert.

boterarm immer exakt gleich und ohne

folgreicher Forschertätigkeit von Sicher-

Pausen seinen Arbeitsauftrag. Plötzlich

heitsexperten. Vom Internet-PC aus hat

Szenarien wie diese werden im Security-

bleibt er inmitten seines Arbeitsflusses

sich Dr. Martin Hutle, Leiter der Projekt-

Labor von Fraunhofer AISEC bald schon

stehen – der gerade noch eifrig arbei-

gruppe »Sicherheit in der Industrieauto-

alltäglich sein. Das Forscherteam erwei-

tende Industrieroboter steht still. Am

mation« am Fraunhofer-Institut für An-

tert dazu gerade die Ausstattung seiner

Bildschirmarbeitsplatz im selben Raum

gewandte und Integrierte Sicherheit

Test- und Demonstrationsumgebung mit

5

www.aisec.fraunhofer.de

Prof. Dr. Claudia Eckert,
Leiterin Frauhofer AISEC
Robotiksystemen wie sie etwa in der Au-

nicht als Revolution, sondern vielmehr

dings nicht ohne weiteres in den indus-

tomobilindustrie standardmäßig im Ein-

als Evolution stattfinden. »Die Heraus-

triellen Kontext übertragen. »Zum einen

satz sind. Bereits seit Jahren entwickeln

forderung ist daher auch, Konzepte,

müssen die Sicherheitslösungen mit den

die Forscher Methoden und Techniken

Maßnahmen und Technologien auf der

bestehenden Standards der Systeme

zum Schutz von Know-how und zur Si-

Grundlage der heute üblichen Standards

kompatibel sein. Zum anderen laufen

cherheit eingebetteter Komponenten.

und Systeme zu entwickeln, um ausrei-

die Industriesysteme unter sehr strikten

Dabei nutzen die Forscher das Labor, um

chend Sicherheit der Systeme für einen

Echtzeitbedingungen. Das Zeitfenster

Angriffe auf die einzelnen Steuerungs-

Einsatz in der Industrie 4.0 zu errei-

für die Ver- und Entschlüsselung der Da-

und Kommunikationskomponenten von

chen«, so Hutle.

ten oder die Authentifizierung von Nut-

Industrieanlagen durchzuführen und

zern und Geräten ist äußerst klein«, so

Gegenmaßnahmen zu entwickeln. Mit

Die Voraussetzung zur Lösung dieser

Hutle. Zudem ist die Sicherheit der

der Erweiterung des Labors lässt sich

Aufgabenstellung ist zunächst einmal

Kommunikation zwischen den Industrie-

künftig auch das Zusammenspiel der

das Wissen um die Schwachstellen der

komponenten nur ein Bereich der zu lösenden Aufgabenstellung. Die
Fraunhofer-Forscher
arbeiten an SecurityKonzepten für alle
Ebenen: Dazu zählt zum
Beispiel auch ein durchgängiges Berechtigungsmanagement. Damit
wird klar geregelt, wer
welche Aktionen an
dem jeweiligen Industriesystem vornehmen darf und kann. Neben dem Schutz

unterschiedlichen Komponenten und

vor Angriffen über das Internet muss

gungsprozessen analysieren und testen.

Systeme. Im Security-Labor werden die

auch die Sicherheit bei physikalischen

Komponenten dazu unterschiedlichsten

Angriffen gewährleistet sein. Durch Ver-

Das Ziel der Forscher ist es, die sicher-

Hackerangriffen ausgesetzt und gezielt

wendung von Hardware Security Modu-

heitstechnischen Voraussetzungen zu

nach möglichen Sicherheitslücken der

len etwa kann erreicht werden, dass ein

schaffen für die Industrie 4.0. »Sicher-

Geräte gesucht. Gleichzeitig dient die

System sich nicht mehr booten lässt,

heitskonzepte und Standards nach dem

Testumgebung der Fraunhofer AISEC zur

wenn eine manipulierte oder gefälschte

Postulat von Security by Design für neue

Evaluation der Wirksamkeit der entwi-

Komponente in das System eingebracht

Maschinen und Anlagen zu entwerfen,

ckelten Sicherheitslösungen und schließ-

wurde. Außerdem beschäftigen sich die

die über die Werkshalle hinaus mit der

lich zur Demonstration der Funktions-

Forscher mit dem Schutz des in Kompo-

firmeneigenen Büro-IT, aber auch über

weise von Konzepten und Sicherheits-

nenten, Systemen und Produkten ent-

Internetschnittstellen mit dem Support

maßnahmen für die Industrie 4.0 bei

haltenen Know-hows. Passwörter oder

der Hersteller, mit Fertigungspartnern

unterschiedlichsten Hackerangriffen

kryptographische Schlüssel dürfen eben-

oder sogar Kunden vernetzt sind, ist für

oder Manipulationsversuchen.

so wenig auslesbar sein, wie in Steuer-

uns aber nur ein Teil der Aufgabenstel-

geräten oder Industrieanlagen gespei-

lung«, erklärt Hutle. Maschinen und An-

Die Nachrüstung der Netzwerkschnitt-

lagen in der Industrie sind für einen

stellen von industriellen Komponenten

langjährigen Einsatz oft in der Größen-

etwa mit kryptographischen Verfahren

ordnung von zwanzig Jahren vorgese-

zum Schutz des Datenaustausches ist

hen. Die Migration von der heutigen

keine Standardaufgabe. Zwar gibt es

I
­ndustrie 3.0 auf die nächste, von inten-

ausreichend bewährte Konzepte in der

siver Vernetzung zum »Internet der Din-

klassischen IT-Welt, etwa im Bereich des

ge« geprägten, Generation wird also

Zahlungsverkehrs. Diese lassen sich aller6

cherte geheime Firmeninformationen.

Kontakt:
Dr. Martin Hutle, Leiter Sicherheit in der
Industrieautomation
Zuerst erschienen auf
www.innovisions.de 

n

www.aisec.fraunhofer.de

Komponenten bei kompletten Ferti-
Apps auf Herz und Nieren prüfen
App - R ay kontro lliert A ndroid- Apps
au f die E inh a lt u n g von S ic h erheitskriterien
Derzeit werden über 700.000 Apps
für Android im Google Play Store
angeboten, von einfachen Tools
über aufwändige Spiele bis hin
zu umfangreichen Business
Suites. Viele davon werden von
Privatpersonen entwickelt – eine
systematische Qualitätskontrolle
findet faktisch nicht statt. Der
Nutzer der App hat per se keine
Möglichkeit, zu erfahren, welche
Aktionen die App auf seinem Telefon ausführt. Auf welche Funktionen des mobilen Endgeräts
greift die App zu? Welche Daten
werden an Dritte gesendet? Im
Unternehmensumfeld bekommen
diese Fragen eine noch größere
Bedeutung. Denn bei der Nutzung von privaten Geräten im Beruf (Bring Your Own Device) muss
die Unternehmens-IT sicherstellen, dass eine App nicht auf sensisant an. Rund 70 Prozent der im

Auch dezidierte Firmenhandys sind vor

Zudem geben Unternehmen ih-

vergangenen Jahr in Deutschland ver-

dem Befall mit Schadsoftware nicht ge-

rerseits maßgeschneiderte Apps

kauften Handys sind Smartphones. Laut

schützt. Viele beliebte Apps werden un-

in Auftrag, die sie an Mitarbeiter

einer Erhebung des Marktforschungsun-

ter unzureichender Qualitätskontrolle

herausgeben und auf deren Inte-

ternehmens comScore (comScore Mobi-

entwickelt. Über lange Zeit unentdeckt

grität sie sich verlassen müssen.

Lens 2012) ist ­ ndroid derzeit die am
A

verrichten Apps ihren Dienst, die auf-

Mit App-Ray, einer Entwicklung

stärksten verbreitete Smartphone-Platt-

grund fehlerhafter Programmierung und

von Fraunhofer AISEC ist dies nun

form in Deutschland. Demnach laufen

mangelhafter Qualitätskontrolle sensible

möglich.

50 Prozent aller derzeit genutzten

Daten preisgeben.Es ist daher sehr

Smartphones in Europa mit dem Be-

schwierig zu beurteilen, welche Risiken

triebssystem von Google.

eine App in sich verbirgt. Immer wieder

App-Ray untersucht Android-Apps voll-

werden Apps entdeckt, die aktiv versu-

automatisch gemäß sicherheitsrele-

Problematisch wird dieser Trend im Un-

chen den Benutzer auszuspionieren wie

vanter Kriterien. Den Katalog der Krite-

ternehmensumfeldImmer mehr Ange-

jene »Taschenlampen«-App, die uner-

rien kann der Anwender selbst

stellte nutzen privat Smartphones und

kannt Adressdaten auf fremde Internet-

festlegen, so dass Apps genau auf die

Tablet-Computer, die sie auch beruflich

server sandte.

unternehmensspezifischen Anforderun-

einsetzen wollen. Dem Unternehmen

gen hin untersucht werden. App-Ray lie-

entstehen dadurch bisher unbekannte

App-Ray von Fraunhofer AISEC schließt

fert eine genaue Einschätzung der App

Probleme, etwa beim Datenschutz. Ein

gleich zwei Sicherheitslücken: Zum ei-

und darüber ­ inaus detaillierte Untersuh

radikales Verbot der privaten Geräte am

nen entdeckt das Tool alle Sicherheitslü-

chungsdaten, die von Experten (z. B.

Arbeitsplatz ist nicht immer die beste

cken einer App, die bewusst unerlaubt

Pentester) für eine eingehende manuelle

Lösung. Klare Regeln zum Einsatz von

Daten auf dem Smartphone abgreifen

Prüfung weiterverwendet werden kön-

privaten Smartphones sowie Hilfsmittel

oder gar Veränderungen auf dem Be-

nen. Denn der Einsatz mobiler Endge-

wie App-Ray können die Sicherheitsri-

triebssystem vornehmen. Zum anderen

räte im Unternehmensumfeld steigt ra-

siken deutlich verkleinern.

kann das Tool zur Qualitätskontrolle he-

7

www.aisec.fraunhofer.de

ble Unternehmensdaten zugreift.
So lassen sich gezielt nur die Anwendungen auf den Geräten installieren, die
den unternehmensinternen Sicherheitsstandards entsprechen«
App-Ray kombiniert dazu statische und
dynamische Analyseverfahren. Bei statischen Verfahren wird der eingespielte
Code der App eingehend auf seine
Funktionen und etwaige Schwachstellen
untersucht. In der dynamischen Analyse
führt App-Ray die Anwendung zusätzrangezogen werden, wenn durch Pro-

getestet werden, die im Unternehmen

lich in einer Sandbox aus und analysiert

grammierfehler Risiken entstehen. So

eingesetzt werden. Der Regelsatz lässt

dabei jeden Arbeitsschritt.

kann es nämlich vorkommen, dass eine

sich auf mehreren Detailgraden definie-

App, der eine Verbindung zum Internet

ren, z. B. »Erzeugt diese App Benutzer-

App-Ray liefert eine übersichtliche Ein-

gestattet ist, eine verschlüsselte Verbin-

profile?«, »Verwendet diese App Wer-

schätzung der App in Bezug auf die Un-

dung vorgaukelt, die Analyse jedoch

bung?« oder »Enthält diese App

tersuchungskriterien und darüber hinaus

eindeutig zeigt, dass diese Verbindung

Programmierfehler, die Zugriff auf meine

detaillierte Auswertungsdaten, die von

nicht sicher ist.

Kontaktdaten ermöglichen?«. Ebenso

Experten (z. B. Pentester) für eine einge-

lässt sich ein Regelwerk aufsetzen, das

hende manuelle Prüfung weiterverwen-

App-Ray untersucht vollautomatisch die

nach den Erfordernissen der Unterneh-

det werden können.

Sicherheit der auf Android-Smartphones

menssicherheit, etwa Compliance-Re-

und Tablets eingesetzten Apps und do-

geln, gestaltet ist.

kumentiert den Status auf der Basis frei
Die Benutzung von App-Ray ist denkbar

Katalog der Kriterien kann der Anwen-

einfach: App-Ray kann sowohl als Si-

der selber festlegen.

cherheitsdienst in einen unternehmensinternen Android-Market integriert als

Zum Beispiel kann der Tester einen Re-

auch als Webanwendung über das In-

gelsatz hinterlegen, mit dem alle Geräte

ternet direkt herangezogen werden.

Kontakt:
Dr. Julian Schütte, Leiter Mobile Security
am Fraunhofer AISEC
www.aisec.fraunhofer.de/mobile

n

PEP – Protecting Electronic Products
E lektronisch e Memb ran sch ü tzt gegen Produktpiraterie
Durch das Nachahmen oder Klonen elektronischer Produkte – sowohl im Investitions- als auch im Konsumgütermarkt – entsteht der Industrie jährlich ein Umsatzschaden in Milliardenhöhe. Mit unterschiedlichen Verfahren wie beispielsweise mit optischen Kennzeichnungssiegeln versuchen Hersteller von innovativen Produkten den Nachbau zu verhindern. Doch gerade bei elektronischen Geräten wie den
Steuerungsgeräten von Maschinen und Anlagen gehen diese Maßnahmen nicht weit genug und können
das Auslesen und Kopieren des Herzstücks dieser Geräte – der Firmware – nicht verhindern. Der Schutz
der Firmware steht im Zentrum der Produktschutzaktivitäten der Sicherheitsforscher vom Fraunhofer
A
­ ISEC. Durch Verschlüsselungs- und Verschleierungsverfahren haben sie bereits Produkte zahlreicher Hersteller schützen können. Dieser Schutz wird nun erweitert. Denn erstmals ist es ihnen gelungen, eine
Schutzfolie zu entwickeln, mit der sich elektronische Steuerungskomponenten nachhaltig gegen Produktpiraterie schützen lassen. Die elektronische Membran mit dem N amen PEP (Protecting Electronic Pro­
ducts) bietet aufgrund ihrer besonderen Eigenschaften größtmöglichen Schutz für eingebettete S ysteme.
­
Bei der kleinsten Beschädigung der Folie wird das Auslesen der Firmware blockiert und die Funktionalität
des Produkts dauerhaft deaktiviert.
8

www.aisec.fraunhofer.de

definierbarer Sicherheitskriterien. Den
jeglicher Art an der Schutzfolie vor, werden Daten wie der Programmcode der
Firmware gelöscht und das Gerät
dadurch funktionsunfähig. Auch
das Auslesen der Firmware wird
damit natürlich verhindert.
Hardwarebasierte Verschlüsselung

with protective foil

»Im Gegensatz zu anderen Abschirmungen ist PEP auch ohne Stromzufuhr

Manipulationssicher geschützt

voll funktionsfähig und hält allen An-

»Die Firmware heutiger High-Tech-Pro-

griffen stand«, ergänzt Maxim Hennig,

dukte ist das Ergebnis langjähriger Ent-

der an der Entwicklung von PEP maß-

PROTECTED EMBEDDED SYSTEM
Hochwertige elektronische Konsum-

geblich beteiligt ist. Das Produktschutz-

und Investitionsgüter wie Maschinen

len wir vor allem vor Diebstahl und

Team des Fraunhofer AISEC erhöht mit

und Anlagen, die häufig of an embedded system
Nachbau schützen«, so Bartol Filipovic,
Protects critical areas in jahrzehnte-

PEP die Sicherheit der Geräte als Ergän-

langer Entwicklungsarbeit entstehen,

Leiter des Forschungsbereichs Produkt­

zung zu den bereits realisierten Schutz-

sind heute mehr denn je durch Produkt-

schutz am Fraunhofer AISEC. Ohne den

maßnahmen durch Firmware-Verschlüs-

piraterie gefährdet. Laut einer Studie

Schutz können Fälscher, die in den Be-

selung. Durch die hardwarebasierte Ver-

des Verbandes Deutscher Maschinen-

sitz der Firmware gelangen, das Produkt

schlüsselung der Firmware und durch

Jahr 2012 entsteht der deutschen Indus-

gar 1:1 nachbauen. Ein Produktfälscher

maßnahmen wird ein sehr hohes Sicher-

trie jährlich ein Umsatzschaden von rund

wird dabei das System Stück für Stück

heitsniveau erreicht. »Die Verbindung

8 Milliarden Euro durch unerlaubten

in seine Einzelteile zerlegen, die verwen-

der PEP-Folie mit unserer Firmware-Ver-

Produktnachbau. Weltweit liegt der

deten Bauteile identifizieren (Produkt-

schlüsselung macht eine Know-how-Ex-

Schaden bei mehr als einer halben Billi-

Teardown), daraufhin das System analy-

traktion und einen Produktnachbau un-

on. Eingebettete Systeme sind beson-

sieren (Systemanalyse) und eine Schal-

möglich«, so Bartol Filipovic. Die Investi-

ders anfällig für Produktpiraterie. Die

tung mit gleichen oder äquivalenten

tion in Schutzmaßnahmen zahlt sich

Firmware des Systems beinhaltet in der

Bauteilen nachbauen. Die benötigte

aus, denn die Kosten für die Absiche-

Regel das Know-how und die Steue-

Firmware kann aus dem Original ausge-

rung der Geräte sind im Verhältnis zum

› Seals housings tamper-proof

› Disables functionality of a product ohne großen Aufwand nachahmen oder
in case of attack
und Anlagenbau e. V. (VDMA) aus dem

sors

PRODUCTlesen und in den Nachbau eingespielt
PROTECTION BY
werden.
ELECTRONIC MEMBRANE

zusätzlich verwendete Verschleierungs-

rungslogik und muss daher vor unauto-

potenziellen Schaden sehr gering. Ne-

risierten Zugriffen jeder Art geschützt

ben dem wirtschaftlichen Verlust für

werden.

1 Protective foil

Unternehmen durch Umsatzausfälle fällt

Die Innovation von PEP besteht in der

Material als Sensor

der Image-Schaden ebenso ins Gewicht,

untrennbaren Verbindung von Hard-

falls gefälschte und qualitativ niedrig-

Die elektronische Membran mit dem Na- ware und Schutzfolie. Die für die VerMembrane with integrated sensors
men PEP (Protecting Electronic Products)
schlüsselung der Firmware notwendigen
nutzt die Materialeigenschaften der

2 Measurementdieser Eigencircuit
geringsten Veränderung

Verbindung gebracht werden.

Schlüssel werden dabei aus den Folie-

Schutzhülle als Sensoren und macht diese zum festen Bestandteil ihrer MessV

wertige Bauteile mit dem Hersteller in

neigenschaften erzeugt. Sie sind bei der

c key schaltung. Die Folie ist fest mit der Hard- schaften, wie beispielsweise Form oder
geRecording of foil parameters
ware (Platine) verschweißt und macht
bei Beschädigung das Auslesen der
Firmware unmöglich. Wird das Siegel

3 Preprocess Identifikationsnum-data Filipovic, Leiter Product Protection
measured Bartol Security
stellung einzigartige
 Industrial
Oberflächenstruktur, nicht mehr ver-

wendbar. Jede Folie erhält bei der Her-

4 Key generation

Kontakt:

Digitalization and stabilization of measured values am Fraunhofer AISEC
gewollt oder ungewollt beschädigt, demern, die für die Erzeugung der kryptoaktiviert sich die Funktionalität des Pro-

grafischen Schlüssel genutzt werden.

dukts selbsttätig.

Nimmt ein Fälscher eine Manipulation

Based on foil parameters

9

Weitere Informationen:
http://ais.ec/pep

n

www.aisec.fraunhofer.de

›

wicklungsarbeit. Dieses Know-how wol-
Zu guter letzt
Schutz vor Produktpiraten. Eine übersichtliche Darstellung der
Angriffsszenarien und
Gegenmaßnahmen auf
einer Seite als Infografik. Diese befindet
sich zum direkten
Download unter
http://ais.ec/infografik

http://ais.ec/googleplus

http://www.linkedin.com/
company/fraunhofer-aisec

http://www.youtube.com/user/
FraunhoferAISEC

FRAUNHOFER RESEARCH INSTITUTION FOR
A P P L I E D A N D I N T E G R AT E D S E C U R I T Y

ON THE EFFECTIVENESS OF MALWARE
PROTECTION ON ANDROID
AN EVALUATION OF ANDROID ANTIVIRUS APPS
RAFAEL FEDLER, JULIAN SCHÜTTE, MARCEL KULICKE

04/2013

FraunhoFer InstItute
F o r a p p l I e d a n d I n t e g r at e d s e c u r I t y

UseRdRiven And fUlly AUtomAted
AndRoid App secURity Assessment
dennis titze, philipp stephAnow, dR. JUliAn schütte

Unsere am häufigsten gelesene Publikation heißt »On the Effectivness of Malware
Protection on Android« von Rafael Fedler,
Dr. Julian Schütte und Marcel Kulicke und
zeigt, dass der Schutz vor Schadsoftware
auf Android-Geräten trotzt Anti-VirenApps nicht hinreichend gewährleistet
werden kann.

@Fraunhofer AISEC –
http://twitter.com/FraunhoferAISEC

Wissenschaftliche Publikationen
zu Themen wie ­Produktschutz,
Mobile Sicherheit, Cloud Sicherheit
und vieles mehr findet sich unter
http://ais.ec/publikationen

Besuchen Sie das Fraunhofer AISEC auch in 2014 auf
den folgenden Messen und erfahren Sie das Neueste
aus der IT-Sicherheitsforschung.

26.–28. Februar 2014, Embedded World, Nürnberg
10.–14. März 2014, CeBIT, Hannover
7.–11. April 2014, Hannover Messe, Hannover Messe

Impressum
Herausgeber:

Tel.: +49 089 3229986-292

Redaktion: Viktor Deleski

Fraunhofer-Institut für Angewandte

Fax.: +49 089 3229986-299

und Integrierte Sicherheit (AISEC)

marketing@aisec.fraunhofer.de

Satz und Layout:
Marion Mayer, riondesign.de

Parkring 4

www.aisec.fraunhofer.de

85748 Garching

10

Text: Viktor Deleski,
Bernhard Münkel,
Innovisions.de
Bildnachweis:
Fraunhofer AISEC, Fotolia

www.aisec.fraunhofer.de

AppRAy:

Weitere ähnliche Inhalte

Was ist angesagt?

IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
Didactum
 

Was ist angesagt? (10)

Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THOR
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren IT
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
 
Spear-Phishing und CEO-Fraud: In der Praxis versagen die meisten Mail-Securit...
Spear-Phishing und CEO-Fraud: In der Praxis versagen die meisten Mail-Securit...Spear-Phishing und CEO-Fraud: In der Praxis versagen die meisten Mail-Securit...
Spear-Phishing und CEO-Fraud: In der Praxis versagen die meisten Mail-Securit...
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
AKCP securityProbe 5ES-X20 / X60 Alarm Server - Überwachung wichtiger Räume u...
 

Andere mochten auch

Principio basicos peluquer+¡a-canina-
 Principio basicos peluquer+¡a-canina- Principio basicos peluquer+¡a-canina-
Principio basicos peluquer+¡a-canina-
fritrozo
 
LDD Southern Summit 2013 - Adido - Creating perfect marriage between offline...
LDD Southern Summit 2013 - Adido - Creating  perfect marriage between offline...LDD Southern Summit 2013 - Adido - Creating  perfect marriage between offline...
LDD Southern Summit 2013 - Adido - Creating perfect marriage between offline...
Adido
 
Tendencias 009
Tendencias 009Tendencias 009
Tendencias 009
IPAE
 
qwest communications q_q4 04er
qwest communications q_q4 04erqwest communications q_q4 04er
qwest communications q_q4 04er
finance19
 

Andere mochten auch (20)

77777777
7777777777777777
77777777
 
ndertesat popullore korce *rafaela*
ndertesat popullore korce *rafaela*ndertesat popullore korce *rafaela*
ndertesat popullore korce *rafaela*
 
Principio basicos peluquer+¡a-canina-
 Principio basicos peluquer+¡a-canina- Principio basicos peluquer+¡a-canina-
Principio basicos peluquer+¡a-canina-
 
47 brand fall 2013 catalog
47 brand fall 2013 catalog47 brand fall 2013 catalog
47 brand fall 2013 catalog
 
LDD Southern Summit 2013 - Adido - Creating perfect marriage between offline...
LDD Southern Summit 2013 - Adido - Creating  perfect marriage between offline...LDD Southern Summit 2013 - Adido - Creating  perfect marriage between offline...
LDD Southern Summit 2013 - Adido - Creating perfect marriage between offline...
 
Security
SecuritySecurity
Security
 
Erratum DS n°3 - 14/15 - Première S
Erratum DS n°3 - 14/15 - Première SErratum DS n°3 - 14/15 - Première S
Erratum DS n°3 - 14/15 - Première S
 
Mese di borsa novembre
Mese di borsa novembreMese di borsa novembre
Mese di borsa novembre
 
Isaiah 22 commentary
Isaiah 22 commentaryIsaiah 22 commentary
Isaiah 22 commentary
 
Tendencias 009
Tendencias 009Tendencias 009
Tendencias 009
 
4444444
44444444444444
4444444
 
ABUELITO QUERIDO
ABUELITO QUERIDOABUELITO QUERIDO
ABUELITO QUERIDO
 
Programa AgitAgueda Art Festival - 2015
Programa AgitAgueda Art Festival - 2015Programa AgitAgueda Art Festival - 2015
Programa AgitAgueda Art Festival - 2015
 
Coop 2011 03-per_cfsi_si_parte_def
Coop 2011 03-per_cfsi_si_parte_defCoop 2011 03-per_cfsi_si_parte_def
Coop 2011 03-per_cfsi_si_parte_def
 
Warum Python?
Warum Python?Warum Python?
Warum Python?
 
Ilar eta baben landaketa (6.A-1)
Ilar eta baben landaketa (6.A-1)Ilar eta baben landaketa (6.A-1)
Ilar eta baben landaketa (6.A-1)
 
Big Sky Developments 2013 Magazine
Big Sky Developments 2013 MagazineBig Sky Developments 2013 Magazine
Big Sky Developments 2013 Magazine
 
Viviendo con diabetes. tania apango
Viviendo con diabetes. tania apangoViviendo con diabetes. tania apango
Viviendo con diabetes. tania apango
 
qwest communications q_q4 04er
qwest communications q_q4 04erqwest communications q_q4 04er
qwest communications q_q4 04er
 
Vidhi mehta
Vidhi mehtaVidhi mehta
Vidhi mehta
 

Ähnlich wie Cyber-Sicherheit - Newsletter 2013

IFFOCUS »Aus digital wird smart«
IFFOCUS »Aus digital wird smart«IFFOCUS »Aus digital wird smart«
IFFOCUS »Aus digital wird smart«
Fraunhofer IFF
 

Ähnlich wie Cyber-Sicherheit - Newsletter 2013 (20)

abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Die Experton Big Data Studie und Splunk
Die Experton Big Data Studie und SplunkDie Experton Big Data Studie und Splunk
Die Experton Big Data Studie und Splunk
 
Mehrwert durch Konnektivität und Interoperabilität - Interview technik report...
Mehrwert durch Konnektivität und Interoperabilität - Interview technik report...Mehrwert durch Konnektivität und Interoperabilität - Interview technik report...
Mehrwert durch Konnektivität und Interoperabilität - Interview technik report...
 
Vom Internet of Things zur Industrie 4.0
Vom Internet of Things zur Industrie 4.0Vom Internet of Things zur Industrie 4.0
Vom Internet of Things zur Industrie 4.0
 
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
 
Informationssicherheit für Übersetzungsprozesse
Informationssicherheit für ÜbersetzungsprozesseInformationssicherheit für Übersetzungsprozesse
Informationssicherheit für Übersetzungsprozesse
 
BERICHT INTERNET-SICHERHEIT - Cert.at jahresbericht-2016
BERICHT INTERNET-SICHERHEIT - Cert.at jahresbericht-2016BERICHT INTERNET-SICHERHEIT - Cert.at jahresbericht-2016
BERICHT INTERNET-SICHERHEIT - Cert.at jahresbericht-2016
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
abtis veranstaltet 7. IT Symposium Mittelstand in Pforzheim
abtis veranstaltet 7. IT Symposium Mittelstand in Pforzheimabtis veranstaltet 7. IT Symposium Mittelstand in Pforzheim
abtis veranstaltet 7. IT Symposium Mittelstand in Pforzheim
 
Josef Weissinger (Soroban IT-Beratung)
Josef Weissinger (Soroban IT-Beratung)Josef Weissinger (Soroban IT-Beratung)
Josef Weissinger (Soroban IT-Beratung)
 
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisierenPforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
 
Techweek highlights nov 2019
Techweek highlights nov 2019Techweek highlights nov 2019
Techweek highlights nov 2019
 
[DE] Interview "Enterprise Information Management Jahresrückblick 2013 - Ausb...
[DE] Interview "Enterprise Information Management Jahresrückblick 2013 - Ausb...[DE] Interview "Enterprise Information Management Jahresrückblick 2013 - Ausb...
[DE] Interview "Enterprise Information Management Jahresrückblick 2013 - Ausb...
 
IFFOCUS »Aus digital wird smart«
IFFOCUS »Aus digital wird smart«IFFOCUS »Aus digital wird smart«
IFFOCUS »Aus digital wird smart«
 
ISD2016_SolutionH_Thomas_Thaler
ISD2016_SolutionH_Thomas_ThalerISD2016_SolutionH_Thomas_Thaler
ISD2016_SolutionH_Thomas_Thaler
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
 
Fn neu broschuere_mai2017
Fn neu broschuere_mai2017Fn neu broschuere_mai2017
Fn neu broschuere_mai2017
 
Thomas Schulz: Industrie 4.0 – Blaupause der digitalen Transformation In: ope...
Thomas Schulz: Industrie 4.0 – Blaupause der digitalen Transformation In: ope...Thomas Schulz: Industrie 4.0 – Blaupause der digitalen Transformation In: ope...
Thomas Schulz: Industrie 4.0 – Blaupause der digitalen Transformation In: ope...
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
 
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).
 

Mehr von Fraunhofer AISEC

PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
Fraunhofer AISEC
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
Fraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
Fraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 

Cyber-Sicherheit - Newsletter 2013

  • 1. F ra u n h ofer - I nstit u t f ü r A n g ewandte u nd I nte g rierte S ic h er h eit Newsletter 2013 Cyber-Sicherheit NEWSTICKER +++ NEWSTICKER VERTRAUE NIEMANDEM !? ZWO, DREI, 4.0 Kurznachrichten rund um das Fraunhofer AISEC. Lässt sich Vertrauen in die IKT nach NSA & Co. zurückgewinnen? IT-Sicherheit in der Industrie 4.0. Seite 2 Seite 3 Seite 4 vorzugehen. Viele direkt einsetzbare Lösungen sind bereits vorhanden und auch die Politik zeigt u. a. im Koalitionsvertrag ihre Bereitschaft, in Sicherheitstechnologie und den Kompetenz­ usbau zu investieren. Ein weiteres Thema, das uns im nächsten Jahr a beschäftigen wird, ist Industrie 4.0. Darunter versteht man den komplexen Transformationsprozess hin zu einer durchgehenden Vernetzung von Produkten, Maschinen, Anlagen und Automationsprozessen sowie Diensten. Dazu finden Sie interessante Lektüre ab Seite 4. Liebe Leserinnen und Leser, Auch in diesem Newsletter werden Ihnen wie gewohnt einige innovative Lösungen der Zeit, zurückzublicken. Aus Sicht der IT-Sicherheit lässt sich sagen, dass ein sehr ereignisreiches Jahr 2013 hinter uns liegt. Die Spionageaffären fremder Ge- aus unserem Hause vorgestellt. Unser Analyse-Tool App-Ray sorgt dafür, dass keine Apps auf mobile Endgeräte in einem Unternehmensumfeld kommen, die gegen die im Unternehmen geltenden Sicherheitsrichtlinien verstoßen (Seite 7). Die bei uns entwickelte Schutzfolie für Elektronische Geräte, PEP, schützt eingebettete Systeme vor Manipulation und Nachbau – eine wichtige Innovation im Kampf gegen Pro- heimdienste haben die Schlagzeilen do- duktpiraterie (Seite 8). miniert und für große Verunsicherung in Im kommenden Jahr werden wir weiterhin mit unserer Expertise Unternehmen da- Gesellschaft, Wirtschaft und Politik ge- bei unterstützen, ihre Produkte und Dienste sicherer zu machen, um so ihre Innova- sorgt. Das Vertrauen in die Informations- tionsstärke nachhaltig zu bewahren. Dazu werden wir gemeinsam mit der Baye- und Kommunikationstechnik als Innova- rischen Staatsregierung unsere Kompetenzen und Angebote gezielt weiter tionsmotor für die Wirtschaft auf dem ausbauen und in einem IT-Sicherheitszentrum an unserem Standort Garching bün- Weg in die Digitalisierung, hat sehr stark deln. Hier werden wir unser Sicherheitstest- und Analyselabors weiter ausbauen, gelitten. Der Artikel ab Seite 3 dieses um Unternehmen ein noch breiteres Spektrum an Sicherheitsuntersuchungen mit Newsletter zeigt Ihnen aber auch, dass neuesten Testumgebungen und Analysemethoden sowie Schulungen anbieten zu diese Vertrauenskrise sogar neue Chan- können. Das nächste Jahr verspricht also, spannend zu werden. cen bietet, denn aus Sicht der angewandten IT-Sicherheitsforschung sind die Ich wünsche Ihnen besinnliche Weihnachtstage und ein sicheres Jahr 2014. Voraussetzungen sehr gut, sogar noch gestärkt aus der aktuellen Situation her- Viel Vergnügen bei der Lektüre Ihre Ich glaub‘, es hackt! DER RÖNTGENBLICK DA IST PEP DRIN Sicherheitskonzepte für die Industrie 4.0. Analyse-Tool App-Ray prüft Apps auf Herz und Nieren. Schutzfolie für elektronische Geräte und gegen Produktpiraten. Seite 5 Seite 7 Seite 9 www.aisec.fraunhofer.de kurz vor Jahresende ist es traditionell an
  • 2. Dies ist kein Spiel! IT-Sicherheit wird in Garching institutionalisiert Das Fraunhofer AISEC am Standort Garching-Hochbrück ist am 1.12. 2013 in ein eigenständiges Fraunhofer-Institut überführt worden. Damit folgte der Fraunhofer-Senat den Empfehlungen der externen Gutachter, die der Fraunhofer Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) im Juni ein exzellentes wissenschaftliches Profil und eine hervorragende Zusammenarbeit mit der Industrie fotolia © Alterfalter Im Auftrag der im Verband der Deut- bescheinigten. Im Zuge der Digitalisierungsstrategie »Digi- schen Automatenindustrie (VDAI e.V.) tal Bavaria« des bayerischen Wirtschaftsministeriums soll das AISEC als Kompetenz- organisierten Unternehmen hat das zentrum für IT-Sicherheit von Europäischer Bedeutung weiter ausgebaut werden. Fraunhofer-Institut für Angewandte Vollständige Meldung unter http://ais.ec/Institut und Integrierte Sicherheit (AISEC) ein Sicherheitskonzept zum Schutz der Hardware-Sicherheitsevalutierung Buchungsdaten von Geldspielgeräten Das Fraunhofer AISEC analysiert die Hard- erarbeitet. Das Konzept sieht nun erst- ware-Sicherheit von Produkten und Syste- mals einen leistungsfähigen elektro- men. In einem hochmodernen Hardware-Si- nischen Manipulationsschutz dieser cherheitslabor werden dazu Angriffsanalysen Daten vor, der dem neuesten Stand in White- und Black-Box Szenarien durchgeführt. Das Leistungsspektrum im Analyse- der Technik entspricht. bereich erstreckt sich von einfacheren praktischen Angriffen, wie dem Auslesen von Vollständige Meldung unter Speichern, bis zu sehr komplexen Seitenkanalanalysen oder Fehlerangriffen. http://ais.ec/VDAI Übrigens: Projekte zur Sicherheitsevaluierung und Verbesserung mit Industriepart- FRAUNHOFER RESEARCH INSTITUTION FOR A P P L I E D A N D I N T E G R AT E D S E C U R I T Y A I S E C nternehmen aus dem Indus- e Behörden bei der Absiche- Produkte und Angebote. Für ofer AISEC qualitativ hoch- Erhöhung der Verlässlichkeit, tionssicherheit von IT-basier- 90 wissenschaftliche und tarbeiter des Fraunhofer AIS- onzepte und Lösungen. Die modernsten Geräten ausge- nern unterliegen der Geheimhaltung. MOBILE SECURITY Sicherheit mobiler Endgeräte im Cyberraum n und analysieren im Kun- Weitere Infos unter http://ais.ec/hws Leitfaden zur kten, Hardware-Komponen- en und Anwendungen. Zu AISEC gehört die Absicherung Sicherheit mo- ebenso wie sichere Soft- Die Umstellung auf die digi- für Behörden biler Geräte, Dienste und An- ELSTERONLINE biler Endgeräte dded Systems) ebenso wie die tale Steuererklärung mit Hilfe ütte ng 229986 173 86 299 e@aisec.fraunhofer.de obile fotolia und KMU. Der Leitfaden wurde im Rahmen der länderoffenen Arbeitsgruppe Cybersicherheit der IMK durch Fraunhofer AISEC erstellt. Mitgewirkt haben die Länder Bayern (Federführung), Baden- www.elsteronline.de von Elster Formular soll das Ausfüllen leichter und den Versand ans Finanzamt Digital Star 2014 FOCUS sucht den Digital Star 2014! Gewinnen Sie den Award für digitale Innovationen aus Deutschland. papierloser machen. Und natürlich soll es auch s ­ icher sein. Deshalb unterstützt das Fraunhofer A ­ ISEC das Dienstleistungsportal der Finanzverwaltung bei der Java-Script-Sicherheit. In Kooperation mit Presenting Partner www.focus.de/digitalstar Württemberg, Hamburg, Hessen, Me- Das am Fraunhofer AISEC cklenburg-Vorpommern, Rheinlandp- entwickelte Analyse-Tool falz, Sachsen-Anhalt und Thüringen. App-Ray ist für den Focus Digital Star 2014 nominiert. http://ais.ec/Leitfaden Der Preis wird jährlich an herausragende digitale Innova- Cloud Migration tion aus Deutschland verliehen. AISEC drückt dem App-Ray-Entwickler Team um Dr. Julian Schütte, die AISEC in den Medien Daumen, dass es klappt. Alles, was man über die Cloud wissen Die Sicherheitsexperten des Fraunhofer AISEC muss. Das Buch, an dessen Entstehung waren im Jahr 2013 mit Beiträgen und Facharti- Infos zum Digital Star unter AISEC-Experten mitwirkten, gibt es keln zum Thema IT-Sicherheit in zahlreichen Zei- http://ais.ec/digstar auch als Webedition unter tungen, Zeitschriften und Blogs vertreten. Infos zu Appr-Ray unter www.cloud-migration.eu Auswahl unter http://ais.ec/pressespiegel http://ais.ec/appray 2 www.aisec.fraunhofer.de R AISEC
  • 3. Cyber-Sicherheit – eine Vision für Europa V ertra u en in die IK T mu ss wieder steigen Ende November 2013 wählte der Verein Deutsche Sprache den Spruch »Yes, we scan!« zur Schlagzeile des Jahres 2013 – in Anlehnung an den uns allen bekannten Slogan des Präsidentschafts- Internetnutzer verlieren das Vertrauen Wie schätzen Sie die Sicherheit Ihrer persönlichen Daten im Internet ein? kandidaten Barack Obama im US-Wahl- 3% kampf 2008. Doch der Satz wurde nicht nur für den feinen Wortwitz zum Besten 5% 42% 5% 29% 16% des Jahres gewählt, sondern weil er DAS bestimmende Thema des Jahres auf- 07/2013 2011 greift – die NSA-Spionage-Affäre. Bür- 11/2013 ger, Verwaltungen und Unternehmen sorgen sich seit Bekanntwerden der Spionageangriffe durch ausländische Ge- 66% 55% 79% heimdienste noch stärker um ihre Daten, insbesondere auch vor dem Hintergrund der Wirtschaftsspionage – Sehr sicher/sicher eher unsicher/völlig unsicher weiß nicht Qulle: BITKOM, Dezember 2013 (http://www.bitkom.org/78135_78131.aspx . Abrufdatum, 10.12.2013) Chance für die deutsche eine BITKOM-Umfrage aus dem Nov. opa? Die Forderungen nach deutschem 2013 zeigt den dramatischen Vertrau- bzw. europäischem Routing hat eine ­IKT-Wirtschaft ensverlust. Während die Politik versucht, Diskussion eröffnet, an deren Ende die Eine digitale Vision für Europa muss da- verloren gegangenes Vertrauen auf dem Chance steht, mit der Entwicklung von rauf abzielen, durch die Umsetzung der Weg von internationalen Abkommen Standards und Lösungen »made in Ger- Digitalen Agenda die vorhandenen Stär- (No-Spy) zurück zu gewinnen, schlägt many« oder »made in Europe« das Ver- ken der Wirtschaftsnationen Europas die IT-Wirtschaft technologische Lö- trauen der Gesellschaft und der Wirt- weiter auszubauen und zu stärken. sungen vor. So sollen Mails mit Deut- schaft in die Informations- und Schlüsselbranchen sind neben der IKT-In- schen Absender und Empfänger nur Kommunikationstechnik (IKT) nachhaltig dustrie besonders die Automobil- und über Deutsche Router geleitet werden, zu stärken und Kräf- oder im europäischen Kontext soll die te in der IT-Sicher- Ein wichtiger Schritt in die stär- stark mittelständisch Weiterleitung (das Routing) auf den heitsindustrie und in kere digitale Souveränität wäre geprägte Maschinen Schengen-Raum beschränkt werden. der Politik zu mobili- die Entwicklung von vertrau- und Anlagenbau, aber Cloud-Anbieter propagieren eine EU- sieren. Dies erfor- enswürdigen IT-Sicherheits- auch die Energiewirt- oder Deutschland-Cloud und die Fach- dert aber auch ein Bausteinen, deren Vertrauens- schaft und der Ge- medien schreiben Nachrufe auf die Pu- konsequentes Inve- würdigkeit von neutralen sundheitssektor. Diese blic Cloud. In der Tat ein ereignisreiches stieren in die Ent- Stellen überprüft wird. Branchen benötigen Jahr aus Sicht der IT- und Datensicher- wicklung nationaler heit. Was können wir aus diesem Jahr IT-Sicherheits-Schlüsseltechnologien, wie Produkte und einheitliche Regelungen. ins nächste nehmen? Was können wir vertrauenswürdige Hardware-Bausteine, Politische Anstrengungen in Bezug auf lernen? Welche Chancen bieten die Er- sichere eingebettete Betriebssysteme solche Regelungen, wie einheitliche Da- eignisse der letzten Monate für die Digi- oder auch vertrauenswürdige Lösungen tenschutzrichtlinien, sind wichtig, rei- tale Wirtschaft in Deutschland und Eur- für eine sichere Identität. chen aber nicht aus. Gemäß dem be- vertrauenswürdige IKT- kannten Spruch »Vertrauen ist gut, Cyber Security Kontrolle ist besser« müssen deshalb die Unter dem Begriff Cyber-Sicherheit oder auch Cyber Security werden allgemein Forschungs- und Entwicklungsausgaben die Herausforderungen in Bezug auf die IT-Sicherheit zusammengefasst, die sich im Bereich der IT-Sicherheitstechnologie aus der Vernetzung von IKT-Systemen und den zunehmenden Abhängigkeiten sowohl auf nationaler als auch auf euro- von vernetzten, sicherheitskritischen Infrastrukturen ergeben. Cyber-Sicherheit päischer Ebene substantiell erhöht wer- beschreibt die Ausweitung der Aufgaben der klassischen IT-Sicherheit auf diese den. Ein wichtiger Schritt in die stärkere komplexen, auch mit der physischen Welt sehr stark vernetzten Systeme. digitale Souveränität wäre die Entwicklung von vertrauenswürdigen IT-Sicher- 3 www.aisec.fraunhofer.de Zuliefererindustrie, der
  • 4. heits-Bausteinen, deren Vertrauenswür- opa weiterhin ein großer Teil der benöti- die Deutsche IKT-Wirtschaft eröffnet sich digkeit von neutralen Stellen überprüft gten IKT auf dem Weltmarkt eingekauft dadurch die große Chance, im Jahr wird. Diese müssten dann standardmä- werden müssen. Ein starkes Digitales Eu- 2014 gestärkt aus der IT-Vertrauenskrise ßig in Produkte integriert und über ver- ropa muss deshalb verbindliche Mindest- hervorzugehen. Sie kann mit qualitativ trauenswürdige Software-Kerne ange- standards entwickeln sowie technische hochwertigen Schlüsseltechnologien in- bunden werden, so dass sie als Methoden erarbeiten, um die Einhaltung ternationale Standards mitbestimmen verlässliche, nicht umgehbare Vertrau- der Mindeststandards zu prüfen, bzw. und frühzeitig in den Markt einführen. ensanker, z. B. als integrierte Sicher- die Hersteller von Produkten müssten heitschips, nutzbar sind, jedoch die ge- nachweisen, dass die Einhaltung der wohnten Abläufe nicht behindern. Standards von einer unabhängigen In- Jedoch wird auch in einem digitalen Eur- stanz geprüft und bestätigt wurde. Für Prof. Dr. Claudia Eckert, Leiterin Frauhofer AISEC n IT-Sicherheit in Industrie 4.0 D ie revo l u tionä re E volu tion Auch wenn der Begriff Industrie 4.0 sehr vielschichtig ist und noch viele Fragen, wie die Frage der IT-Sicherheit, unbeantwortet sind, ist bereits heute eine Veränderung der Industrielandschaft in Deutschland bemerkbar. Eine Transformation findet statt, in deren Mittelpunkt die intelligente Vernetzung von Produkten, Maschinen und Produktions- und auch der Wartungsprozesse steht. Die vormals strikte Trennung zwischen den ehemals getrennten IKT-Bereichen der Produktions-IT und der Business-IT wird aufgehoben; die Welten wachsen zusammen. Dadurch werden in der Industrie 4.0 IT-Systeme mit ganz unterschiedlichen Sicherheitsanforderungen verbunden. Daraus ergeben sich neue Verwundbarkeiten und miteinander zu kommunizieren. Sichere dringen und Schäden auch in der physischen Welt zu verursachen. So und überprüfbare Identitäten von Ma- können sich beispielsweise Computer-Viren, die man von Desktop-PCs schinen, der Schutz vor gefälschten und kennt, auf Produktionsanlagen ausbreiten, oder Maschinen werden nachgemachten Produkten und die si- zur Fernwartung freigegeben, ohne diese Zugänge ausreichend abzu- chere Maschine-zu-Maschine Kommuni- sichern. kation sind neue und wichtige Herausforderungen für die IT-Sicherheit in der Viele Komponenten dieser komplex ver- nende, einfache Absicherung be- Industrie 4.0. Benötigt werden neue Si- netzten Systeme sind beschränkt hin- schränkter, vernetzter Komponenten im cherheitstechniken, wie vertrauenswür- sichtlich ihrer Speicherkapazität oder Automatisierungs- und Produktionsum- dige Betriebssystem-Kerne für die be- auch ihrer Rechenfähigkeit und ihrem feld geeignet. Das heißt, bekannte Tech- schränkten Komponenten, oder aber Energieverbrauch. Sie müssen rund um niken wie Viren-Scanner, Firewalls, VPNs auch leichtgewichtige, aber dennoch die Uhr ihre Aufgaben erfüllen, oft unter oder SSL/TLS-verschlüsselte Kommunika- starke Sicherheitsmechanismen, um Einhaltung strikter zeitlicher Vorgaben. tion zwischen Browsern und Servern, M ­ anipulationen zu verhindern bzw. un- Sie sind zudem häufig zertifiziert, so dass oder aber auch Techniken zur Identifika- schädlich zu machen. es in der Regel nicht möglich ist, im Re- tion von agierenden Nutzern, wie Zu- gelbetrieb Sicherheits-Patches oder Up- gangscodes und Berechtigungsausweise Maschinen und Anlagen in der Industrie dates, wie aus der Business-IT bekannt, sind nicht ohne weiteres im Produktions- sind für einen langjährigen Einsatz oft in aufzuspielen, oder die Komponenten und Automatisierungs-Umfeld einsetz- der Größenordnung von zwanzig Jahren neu zu starten, oder neu zu konfigurie- bar. Die Komponenten in Industrie 4.0 und darüber hinaus vorgesehen. Die Mi- ren. Klassische Sicherheitstechnologie, Szenarien müssen in der Lage sein, sich gration von der heutigen industriellen wie man sie in heutiger Business-IT fin- untereinander sicher zu identifizieren, Produktion auf die nächste Generation det, sind nicht für die ressourcenscho- Manipulationen zu erkennen und sicher muss also schrittweise, in weiten Be- 4 www.aisec.fraunhofer.de den Angreifern eröffnen sich neue Möglichkeiten, in Systeme einzu-
  • 5. reichen eher evolutionär als revolutionär spiel auch ein durchgängiges Berechti- nischer Ebene – erforscht und umge- gestaltet werden, auch wenn man bei gungsmanagement. Damit wird klar setzt werden. Die Bereitstellung von Si- Industrie 4.0 von einer Revolution u. a. in geregelt, wer welche Aktionen an dem cherheitsbausteinen, wie beispielsweise Bezug auf die Gestaltung des gesamten jeweiligen System vornehmen darf. Ne- vertrauenswürdige Hardware-Module, Produkt-Lebenszyklus ben dem Schutz vor manipulationsgeschützte Firmware, ausgeht. Das Nachrü- Sichere und überprüfbare Angriffen über das In- Krypto-Boxen oder auch Sicherheits- sten von industriellen Identitäten von Maschinen, ternet muss auch die Gateways zur Absicherung von Schnitt- Komponenten um Si- der Schutz vor gefälschten Sicherheit bei physika- stellen und Kommunikationsverbin- cherheitsmaßnahmen, und nachgemachten Produk- lischen Angriffen ge- dungen zusammen mit Regelwerken wie etwa mit krypto- ten und die sichere Maschine- währleistet sein. Dies und Vorgaben für deren sichere Integra- graphischen Verfahren zu-Maschine Kommunikation lässt sich durch die In- tion in bestehende Systemlandschaften zum vertraulichen und sind neue und wichtige Her- tegration von sicheren könnten pragmatische erste Schritte auf manipulationsgeschütz- ausforderungen für die IT-Si- Hardware-Bausteinen dem Weg zur sicheren Industrie 4.0 cherheit in der Industrie 4.0. erreichen, so dass sich sein. Aber auch die sichere Integration ein System beispiels- mobiler Geräte und die einfache Bedien- ten Datenaustausch ist keine Standardaufga- be. So müssen zum einen die Sicher- weise nicht mehr booten lässt, wenn barkeit der Sicherheitstechnologien ge- heitslösungen mit den bestehenden eine manipulierte oder gefälschte Kom- hören zu den zentralen Herausforde- Standards der Systeme kompatibel sein. ponente in das System eingebracht wur- rungen der nächsten Jahre. Fraunhofer Zum anderen laufen die Industriesy- de. Die Gewährleistung der Daten- und AISEC hat in all diesen Bereichen bereits steme meist unter sehr strikten Echtzeit- Informationssicherheit wird ein entschei- Lösungsansätze entwickelt, die in einem bedingungen. Das Zeitfenster für die dender Faktor für den Erfolg von Indus- nächsten Schritt mit Industriepartnern Ver- und Entschlüsselung der Daten oder trie 4.0 sein. Existierende Technologien ausgearbeitet und zur Marktreife ge- die Authentifizierung von Nutzern und müssen an die neuen Anforderungen bracht werden sollen. Geräten ist äußerst klein. Erforderlich ist angepasst und innovative, vertrauens- die Entwicklung von Sicherheits-Konzep- würdige Schutzkonzepte – sowohl auf ten für alle Ebenen: Dazu zählt zum Bei- organisatorischer als auch auf tech- n Ich glaub, es hackt! S ich erh eitskonzepte fü r die Ind ustrie 4.0 Die Vernetzungen von Maschinen und Produktionsanlagen untereinander und mit den Büronetzen der Unternehmen bilden das Nervensystem unserer Industrie der Zukunft. Sicherheitstechnisch sind heutige Geräte und Systeme darauf allerdings nicht vorbereitet. Für das »Internet der Dinge« müssen alle Komponenten vernetzter Industrieanlagen umfassend geschützt werden – gegen Cyberkriminelle ebenso wie gegen physische Angriffe auf das darin enthaltene Know-how. Im Security-Labor der Fraunhofer AISEC hacken sich die Forscher durch Schwachstellen industrieller IT-Komponenten und entwickeln Schutzmaßnahmen für die sichere Weiterentwicklung von Industriesteuerungen in Richtung Industrie 4.0. Der Greifer nimmt aus der Vorratskiste gleich nebenan wird das Geschehen mit AISEC, über eine Backdoor in das Steu- das nächste Bauteil auf, fährt herum einem zufriedenen Lächeln registriert. ersystem des Industrieroboters gehackt zum Arbeitstisch und positioniert es mil- Der Stillstand des Roboterarmes ist in und ihn während des laufenden Ferti- limetergenau an seinem Bestimmungs- diesem Fall keine unerwünschte Produk- gungsprozess über dessen Online-An- ort. Im Sekundentakt erledigt der Ro- tionspanne, sondern das Ergebnis er- bindung sabotiert. boterarm immer exakt gleich und ohne folgreicher Forschertätigkeit von Sicher- Pausen seinen Arbeitsauftrag. Plötzlich heitsexperten. Vom Internet-PC aus hat Szenarien wie diese werden im Security- bleibt er inmitten seines Arbeitsflusses sich Dr. Martin Hutle, Leiter der Projekt- Labor von Fraunhofer AISEC bald schon stehen – der gerade noch eifrig arbei- gruppe »Sicherheit in der Industrieauto- alltäglich sein. Das Forscherteam erwei- tende Industrieroboter steht still. Am mation« am Fraunhofer-Institut für An- tert dazu gerade die Ausstattung seiner Bildschirmarbeitsplatz im selben Raum gewandte und Integrierte Sicherheit Test- und Demonstrationsumgebung mit 5 www.aisec.fraunhofer.de Prof. Dr. Claudia Eckert, Leiterin Frauhofer AISEC
  • 6. Robotiksystemen wie sie etwa in der Au- nicht als Revolution, sondern vielmehr dings nicht ohne weiteres in den indus- tomobilindustrie standardmäßig im Ein- als Evolution stattfinden. »Die Heraus- triellen Kontext übertragen. »Zum einen satz sind. Bereits seit Jahren entwickeln forderung ist daher auch, Konzepte, müssen die Sicherheitslösungen mit den die Forscher Methoden und Techniken Maßnahmen und Technologien auf der bestehenden Standards der Systeme zum Schutz von Know-how und zur Si- Grundlage der heute üblichen Standards kompatibel sein. Zum anderen laufen cherheit eingebetteter Komponenten. und Systeme zu entwickeln, um ausrei- die Industriesysteme unter sehr strikten Dabei nutzen die Forscher das Labor, um chend Sicherheit der Systeme für einen Echtzeitbedingungen. Das Zeitfenster Angriffe auf die einzelnen Steuerungs- Einsatz in der Industrie 4.0 zu errei- für die Ver- und Entschlüsselung der Da- und Kommunikationskomponenten von chen«, so Hutle. ten oder die Authentifizierung von Nut- Industrieanlagen durchzuführen und zern und Geräten ist äußerst klein«, so Gegenmaßnahmen zu entwickeln. Mit Die Voraussetzung zur Lösung dieser Hutle. Zudem ist die Sicherheit der der Erweiterung des Labors lässt sich Aufgabenstellung ist zunächst einmal Kommunikation zwischen den Industrie- künftig auch das Zusammenspiel der das Wissen um die Schwachstellen der komponenten nur ein Bereich der zu lösenden Aufgabenstellung. Die Fraunhofer-Forscher arbeiten an SecurityKonzepten für alle Ebenen: Dazu zählt zum Beispiel auch ein durchgängiges Berechtigungsmanagement. Damit wird klar geregelt, wer welche Aktionen an dem jeweiligen Industriesystem vornehmen darf und kann. Neben dem Schutz unterschiedlichen Komponenten und vor Angriffen über das Internet muss gungsprozessen analysieren und testen. Systeme. Im Security-Labor werden die auch die Sicherheit bei physikalischen Komponenten dazu unterschiedlichsten Angriffen gewährleistet sein. Durch Ver- Das Ziel der Forscher ist es, die sicher- Hackerangriffen ausgesetzt und gezielt wendung von Hardware Security Modu- heitstechnischen Voraussetzungen zu nach möglichen Sicherheitslücken der len etwa kann erreicht werden, dass ein schaffen für die Industrie 4.0. »Sicher- Geräte gesucht. Gleichzeitig dient die System sich nicht mehr booten lässt, heitskonzepte und Standards nach dem Testumgebung der Fraunhofer AISEC zur wenn eine manipulierte oder gefälschte Postulat von Security by Design für neue Evaluation der Wirksamkeit der entwi- Komponente in das System eingebracht Maschinen und Anlagen zu entwerfen, ckelten Sicherheitslösungen und schließ- wurde. Außerdem beschäftigen sich die die über die Werkshalle hinaus mit der lich zur Demonstration der Funktions- Forscher mit dem Schutz des in Kompo- firmeneigenen Büro-IT, aber auch über weise von Konzepten und Sicherheits- nenten, Systemen und Produkten ent- Internetschnittstellen mit dem Support maßnahmen für die Industrie 4.0 bei haltenen Know-hows. Passwörter oder der Hersteller, mit Fertigungspartnern unterschiedlichsten Hackerangriffen kryptographische Schlüssel dürfen eben- oder sogar Kunden vernetzt sind, ist für oder Manipulationsversuchen. so wenig auslesbar sein, wie in Steuer- uns aber nur ein Teil der Aufgabenstel- geräten oder Industrieanlagen gespei- lung«, erklärt Hutle. Maschinen und An- Die Nachrüstung der Netzwerkschnitt- lagen in der Industrie sind für einen stellen von industriellen Komponenten langjährigen Einsatz oft in der Größen- etwa mit kryptographischen Verfahren ordnung von zwanzig Jahren vorgese- zum Schutz des Datenaustausches ist hen. Die Migration von der heutigen keine Standardaufgabe. Zwar gibt es I ­ndustrie 3.0 auf die nächste, von inten- ausreichend bewährte Konzepte in der siver Vernetzung zum »Internet der Din- klassischen IT-Welt, etwa im Bereich des ge« geprägten, Generation wird also Zahlungsverkehrs. Diese lassen sich aller6 cherte geheime Firmeninformationen. Kontakt: Dr. Martin Hutle, Leiter Sicherheit in der Industrieautomation Zuerst erschienen auf www.innovisions.de n www.aisec.fraunhofer.de Komponenten bei kompletten Ferti-
  • 7. Apps auf Herz und Nieren prüfen App - R ay kontro lliert A ndroid- Apps au f die E inh a lt u n g von S ic h erheitskriterien Derzeit werden über 700.000 Apps für Android im Google Play Store angeboten, von einfachen Tools über aufwändige Spiele bis hin zu umfangreichen Business Suites. Viele davon werden von Privatpersonen entwickelt – eine systematische Qualitätskontrolle findet faktisch nicht statt. Der Nutzer der App hat per se keine Möglichkeit, zu erfahren, welche Aktionen die App auf seinem Telefon ausführt. Auf welche Funktionen des mobilen Endgeräts greift die App zu? Welche Daten werden an Dritte gesendet? Im Unternehmensumfeld bekommen diese Fragen eine noch größere Bedeutung. Denn bei der Nutzung von privaten Geräten im Beruf (Bring Your Own Device) muss die Unternehmens-IT sicherstellen, dass eine App nicht auf sensisant an. Rund 70 Prozent der im Auch dezidierte Firmenhandys sind vor Zudem geben Unternehmen ih- vergangenen Jahr in Deutschland ver- dem Befall mit Schadsoftware nicht ge- rerseits maßgeschneiderte Apps kauften Handys sind Smartphones. Laut schützt. Viele beliebte Apps werden un- in Auftrag, die sie an Mitarbeiter einer Erhebung des Marktforschungsun- ter unzureichender Qualitätskontrolle herausgeben und auf deren Inte- ternehmens comScore (comScore Mobi- entwickelt. Über lange Zeit unentdeckt grität sie sich verlassen müssen. Lens 2012) ist ­ ndroid derzeit die am A verrichten Apps ihren Dienst, die auf- Mit App-Ray, einer Entwicklung stärksten verbreitete Smartphone-Platt- grund fehlerhafter Programmierung und von Fraunhofer AISEC ist dies nun form in Deutschland. Demnach laufen mangelhafter Qualitätskontrolle sensible möglich. 50 Prozent aller derzeit genutzten Daten preisgeben.Es ist daher sehr Smartphones in Europa mit dem Be- schwierig zu beurteilen, welche Risiken triebssystem von Google. eine App in sich verbirgt. Immer wieder App-Ray untersucht Android-Apps voll- werden Apps entdeckt, die aktiv versu- automatisch gemäß sicherheitsrele- Problematisch wird dieser Trend im Un- chen den Benutzer auszuspionieren wie vanter Kriterien. Den Katalog der Krite- ternehmensumfeldImmer mehr Ange- jene »Taschenlampen«-App, die uner- rien kann der Anwender selbst stellte nutzen privat Smartphones und kannt Adressdaten auf fremde Internet- festlegen, so dass Apps genau auf die Tablet-Computer, die sie auch beruflich server sandte. unternehmensspezifischen Anforderun- einsetzen wollen. Dem Unternehmen gen hin untersucht werden. App-Ray lie- entstehen dadurch bisher unbekannte App-Ray von Fraunhofer AISEC schließt fert eine genaue Einschätzung der App Probleme, etwa beim Datenschutz. Ein gleich zwei Sicherheitslücken: Zum ei- und darüber ­ inaus detaillierte Untersuh radikales Verbot der privaten Geräte am nen entdeckt das Tool alle Sicherheitslü- chungsdaten, die von Experten (z. B. Arbeitsplatz ist nicht immer die beste cken einer App, die bewusst unerlaubt Pentester) für eine eingehende manuelle Lösung. Klare Regeln zum Einsatz von Daten auf dem Smartphone abgreifen Prüfung weiterverwendet werden kön- privaten Smartphones sowie Hilfsmittel oder gar Veränderungen auf dem Be- nen. Denn der Einsatz mobiler Endge- wie App-Ray können die Sicherheitsri- triebssystem vornehmen. Zum anderen räte im Unternehmensumfeld steigt ra- siken deutlich verkleinern. kann das Tool zur Qualitätskontrolle he- 7 www.aisec.fraunhofer.de ble Unternehmensdaten zugreift.
  • 8. So lassen sich gezielt nur die Anwendungen auf den Geräten installieren, die den unternehmensinternen Sicherheitsstandards entsprechen« App-Ray kombiniert dazu statische und dynamische Analyseverfahren. Bei statischen Verfahren wird der eingespielte Code der App eingehend auf seine Funktionen und etwaige Schwachstellen untersucht. In der dynamischen Analyse führt App-Ray die Anwendung zusätzrangezogen werden, wenn durch Pro- getestet werden, die im Unternehmen lich in einer Sandbox aus und analysiert grammierfehler Risiken entstehen. So eingesetzt werden. Der Regelsatz lässt dabei jeden Arbeitsschritt. kann es nämlich vorkommen, dass eine sich auf mehreren Detailgraden definie- App, der eine Verbindung zum Internet ren, z. B. »Erzeugt diese App Benutzer- App-Ray liefert eine übersichtliche Ein- gestattet ist, eine verschlüsselte Verbin- profile?«, »Verwendet diese App Wer- schätzung der App in Bezug auf die Un- dung vorgaukelt, die Analyse jedoch bung?« oder »Enthält diese App tersuchungskriterien und darüber hinaus eindeutig zeigt, dass diese Verbindung Programmierfehler, die Zugriff auf meine detaillierte Auswertungsdaten, die von nicht sicher ist. Kontaktdaten ermöglichen?«. Ebenso Experten (z. B. Pentester) für eine einge- lässt sich ein Regelwerk aufsetzen, das hende manuelle Prüfung weiterverwen- App-Ray untersucht vollautomatisch die nach den Erfordernissen der Unterneh- det werden können. Sicherheit der auf Android-Smartphones menssicherheit, etwa Compliance-Re- und Tablets eingesetzten Apps und do- geln, gestaltet ist. kumentiert den Status auf der Basis frei Die Benutzung von App-Ray ist denkbar Katalog der Kriterien kann der Anwen- einfach: App-Ray kann sowohl als Si- der selber festlegen. cherheitsdienst in einen unternehmensinternen Android-Market integriert als Zum Beispiel kann der Tester einen Re- auch als Webanwendung über das In- gelsatz hinterlegen, mit dem alle Geräte ternet direkt herangezogen werden. Kontakt: Dr. Julian Schütte, Leiter Mobile Security am Fraunhofer AISEC www.aisec.fraunhofer.de/mobile n PEP – Protecting Electronic Products E lektronisch e Memb ran sch ü tzt gegen Produktpiraterie Durch das Nachahmen oder Klonen elektronischer Produkte – sowohl im Investitions- als auch im Konsumgütermarkt – entsteht der Industrie jährlich ein Umsatzschaden in Milliardenhöhe. Mit unterschiedlichen Verfahren wie beispielsweise mit optischen Kennzeichnungssiegeln versuchen Hersteller von innovativen Produkten den Nachbau zu verhindern. Doch gerade bei elektronischen Geräten wie den Steuerungsgeräten von Maschinen und Anlagen gehen diese Maßnahmen nicht weit genug und können das Auslesen und Kopieren des Herzstücks dieser Geräte – der Firmware – nicht verhindern. Der Schutz der Firmware steht im Zentrum der Produktschutzaktivitäten der Sicherheitsforscher vom Fraunhofer A ­ ISEC. Durch Verschlüsselungs- und Verschleierungsverfahren haben sie bereits Produkte zahlreicher Hersteller schützen können. Dieser Schutz wird nun erweitert. Denn erstmals ist es ihnen gelungen, eine Schutzfolie zu entwickeln, mit der sich elektronische Steuerungskomponenten nachhaltig gegen Produktpiraterie schützen lassen. Die elektronische Membran mit dem N amen PEP (Protecting Electronic Pro­ ducts) bietet aufgrund ihrer besonderen Eigenschaften größtmöglichen Schutz für eingebettete S ysteme. ­ Bei der kleinsten Beschädigung der Folie wird das Auslesen der Firmware blockiert und die Funktionalität des Produkts dauerhaft deaktiviert. 8 www.aisec.fraunhofer.de definierbarer Sicherheitskriterien. Den
  • 9. jeglicher Art an der Schutzfolie vor, werden Daten wie der Programmcode der Firmware gelöscht und das Gerät dadurch funktionsunfähig. Auch das Auslesen der Firmware wird damit natürlich verhindert. Hardwarebasierte Verschlüsselung with protective foil »Im Gegensatz zu anderen Abschirmungen ist PEP auch ohne Stromzufuhr Manipulationssicher geschützt voll funktionsfähig und hält allen An- »Die Firmware heutiger High-Tech-Pro- griffen stand«, ergänzt Maxim Hennig, dukte ist das Ergebnis langjähriger Ent- der an der Entwicklung von PEP maß- PROTECTED EMBEDDED SYSTEM Hochwertige elektronische Konsum- geblich beteiligt ist. Das Produktschutz- und Investitionsgüter wie Maschinen len wir vor allem vor Diebstahl und Team des Fraunhofer AISEC erhöht mit und Anlagen, die häufig of an embedded system Nachbau schützen«, so Bartol Filipovic, Protects critical areas in jahrzehnte- PEP die Sicherheit der Geräte als Ergän- langer Entwicklungsarbeit entstehen, Leiter des Forschungsbereichs Produkt­ zung zu den bereits realisierten Schutz- sind heute mehr denn je durch Produkt- schutz am Fraunhofer AISEC. Ohne den maßnahmen durch Firmware-Verschlüs- piraterie gefährdet. Laut einer Studie Schutz können Fälscher, die in den Be- selung. Durch die hardwarebasierte Ver- des Verbandes Deutscher Maschinen- sitz der Firmware gelangen, das Produkt schlüsselung der Firmware und durch Jahr 2012 entsteht der deutschen Indus- gar 1:1 nachbauen. Ein Produktfälscher maßnahmen wird ein sehr hohes Sicher- trie jährlich ein Umsatzschaden von rund wird dabei das System Stück für Stück heitsniveau erreicht. »Die Verbindung 8 Milliarden Euro durch unerlaubten in seine Einzelteile zerlegen, die verwen- der PEP-Folie mit unserer Firmware-Ver- Produktnachbau. Weltweit liegt der deten Bauteile identifizieren (Produkt- schlüsselung macht eine Know-how-Ex- Schaden bei mehr als einer halben Billi- Teardown), daraufhin das System analy- traktion und einen Produktnachbau un- on. Eingebettete Systeme sind beson- sieren (Systemanalyse) und eine Schal- möglich«, so Bartol Filipovic. Die Investi- ders anfällig für Produktpiraterie. Die tung mit gleichen oder äquivalenten tion in Schutzmaßnahmen zahlt sich Firmware des Systems beinhaltet in der Bauteilen nachbauen. Die benötigte aus, denn die Kosten für die Absiche- Regel das Know-how und die Steue- Firmware kann aus dem Original ausge- rung der Geräte sind im Verhältnis zum › Seals housings tamper-proof › Disables functionality of a product ohne großen Aufwand nachahmen oder in case of attack und Anlagenbau e. V. (VDMA) aus dem sors PRODUCTlesen und in den Nachbau eingespielt PROTECTION BY werden. ELECTRONIC MEMBRANE zusätzlich verwendete Verschleierungs- rungslogik und muss daher vor unauto- potenziellen Schaden sehr gering. Ne- risierten Zugriffen jeder Art geschützt ben dem wirtschaftlichen Verlust für werden. 1 Protective foil Unternehmen durch Umsatzausfälle fällt Die Innovation von PEP besteht in der Material als Sensor der Image-Schaden ebenso ins Gewicht, untrennbaren Verbindung von Hard- falls gefälschte und qualitativ niedrig- Die elektronische Membran mit dem Na- ware und Schutzfolie. Die für die VerMembrane with integrated sensors men PEP (Protecting Electronic Products) schlüsselung der Firmware notwendigen nutzt die Materialeigenschaften der 2 Measurementdieser Eigencircuit geringsten Veränderung Verbindung gebracht werden. Schlüssel werden dabei aus den Folie- Schutzhülle als Sensoren und macht diese zum festen Bestandteil ihrer MessV wertige Bauteile mit dem Hersteller in neigenschaften erzeugt. Sie sind bei der c key schaltung. Die Folie ist fest mit der Hard- schaften, wie beispielsweise Form oder geRecording of foil parameters ware (Platine) verschweißt und macht bei Beschädigung das Auslesen der Firmware unmöglich. Wird das Siegel 3 Preprocess Identifikationsnum-data Filipovic, Leiter Product Protection measured Bartol Security stellung einzigartige Industrial Oberflächenstruktur, nicht mehr ver- wendbar. Jede Folie erhält bei der Her- 4 Key generation Kontakt: Digitalization and stabilization of measured values am Fraunhofer AISEC gewollt oder ungewollt beschädigt, demern, die für die Erzeugung der kryptoaktiviert sich die Funktionalität des Pro- grafischen Schlüssel genutzt werden. dukts selbsttätig. Nimmt ein Fälscher eine Manipulation Based on foil parameters 9 Weitere Informationen: http://ais.ec/pep n www.aisec.fraunhofer.de › wicklungsarbeit. Dieses Know-how wol-
  • 10. Zu guter letzt Schutz vor Produktpiraten. Eine übersichtliche Darstellung der Angriffsszenarien und Gegenmaßnahmen auf einer Seite als Infografik. Diese befindet sich zum direkten Download unter http://ais.ec/infografik http://ais.ec/googleplus http://www.linkedin.com/ company/fraunhofer-aisec http://www.youtube.com/user/ FraunhoferAISEC FRAUNHOFER RESEARCH INSTITUTION FOR A P P L I E D A N D I N T E G R AT E D S E C U R I T Y ON THE EFFECTIVENESS OF MALWARE PROTECTION ON ANDROID AN EVALUATION OF ANDROID ANTIVIRUS APPS RAFAEL FEDLER, JULIAN SCHÜTTE, MARCEL KULICKE 04/2013 FraunhoFer InstItute F o r a p p l I e d a n d I n t e g r at e d s e c u r I t y UseRdRiven And fUlly AUtomAted AndRoid App secURity Assessment dennis titze, philipp stephAnow, dR. JUliAn schütte Unsere am häufigsten gelesene Publikation heißt »On the Effectivness of Malware Protection on Android« von Rafael Fedler, Dr. Julian Schütte und Marcel Kulicke und zeigt, dass der Schutz vor Schadsoftware auf Android-Geräten trotzt Anti-VirenApps nicht hinreichend gewährleistet werden kann. @Fraunhofer AISEC – http://twitter.com/FraunhoferAISEC Wissenschaftliche Publikationen zu Themen wie ­Produktschutz, Mobile Sicherheit, Cloud Sicherheit und vieles mehr findet sich unter http://ais.ec/publikationen Besuchen Sie das Fraunhofer AISEC auch in 2014 auf den folgenden Messen und erfahren Sie das Neueste aus der IT-Sicherheitsforschung. 26.–28. Februar 2014, Embedded World, Nürnberg 10.–14. März 2014, CeBIT, Hannover 7.–11. April 2014, Hannover Messe, Hannover Messe Impressum Herausgeber: Tel.: +49 089 3229986-292 Redaktion: Viktor Deleski Fraunhofer-Institut für Angewandte Fax.: +49 089 3229986-299 und Integrierte Sicherheit (AISEC) marketing@aisec.fraunhofer.de Satz und Layout: Marion Mayer, riondesign.de Parkring 4 www.aisec.fraunhofer.de 85748 Garching 10 Text: Viktor Deleski, Bernhard Münkel, Innovisions.de Bildnachweis: Fraunhofer AISEC, Fotolia www.aisec.fraunhofer.de AppRAy: