SlideShare ist ein Scribd-Unternehmen logo
IT-Sicherheit:
            IT Sicherheit: Herausforderungen für
               Wissenschaft und Gesellschaft

                C. Eckert, TU München, Fraunhofer AISEC




C. Eckert                                                 1
Gliederung



1. Schlüsseltechnologie IKT
                    g
2. IKT benötigt Sicherheit
3.
3 Bedrohungen und Herausforderungen (Technologisch)
4. Sicherheit braucht Forschung
5. Take Home Message




C. Eckert                                             2
IKT ist Schlüsseltechnologie


     These: IKT ist Schlüsseltechnologie
      für globale Herausforderungen

    Energie   Umwelt   Mobilität   Sicherheit   Gesundheit




C. Eckert                                                    3
IKT ist Schlüsseltechnologie


     These: IKT ist Schlüsseltechnologie
      für globale Herausforderungen

    Energie   Umwelt   Mobilität   Sicherheit   Gesundheit




C. Eckert                                                    4
IKT ist Schlüsseltechnologie

Zukunft:
• Internet vernetzt Menschen, physische Objekte und Dienste

Beispiele
Energie: z.B. SmartGrids
    g
  • Steuern, Überwachen, Planen, Entscheiden

Gesundheit: z.B. personalisierte M di i
G     dh it B            li i t Medizin
  • Überwachte Vitalfunktionen

Mobilität: z.B. Individualverkehr
  • Sensorik im Fahrzeug, Car2X

C. Eckert                                                     5
IKT ist Schlüsseltechnologie


       IKT: zentrales Nervensystem
    koordinieren, steuern
    koordinieren steuern, überwachen

   Energie   Umwelt   Mobilität   Sicherheit   Gesundheit




C. Eckert                                                   6
IKT ist Schlüsseltechnologie


                It‘s all about data!




 Daten sind ein schützenswertes Gut
 D t steuern sicherheitskritische Ablä f /P
  Daten t      i h h it k iti h Abläufe/Prozesse

 Daten sind ‘Währung’ u.a. in sozialen Netzen (Facebook etc.)
                    g                          (             )

C. Eckert                                                        7
IT Sicherheit: ein sine qua non



              IKT benötigt Sicherheit




 Daten- und Informationsvertraulichkeit
 Prüfbare Identität von Personen und Objekten
 Manipulationsschutz für Daten und auch kompletten Abläufen
C. Eckert                                                      8
Bedrohungen


Beispiel: Sensorik im Auto:
 Viele vernetzte ECUs
 GSM-Modul: Ferndiagnose
  Software-Updates, ..
             p      ,
 Problem: Fehlende Kontrollen
  Einschleusen von Schad-Code, …
                               ,


Herausforderungen: u.a.
 Manipulationsresistente Hardware
 S
  Sichere Komponenten-Identifikation (
                             f       (Machine-to-Machine)
                                                        )
                                                     9
Bedrohungen

Beispiel: Web Anwendungen
          Web-Anwendungen
• Problem: Programmierung
  Einschleusen von Vi
  Ei   hl          Viren, T j
                          Trojanern
• Problem: Mangelhafte Kontrollen
  unerlaubte D t
      l bt Datenzugriffe, …
                      iff



Herausforderungen:u.a.
• Zuverlässige Abschottungen (Kaskadeneffekte verhindern)
• Selbst-Überwachung (Aufbau eines ‘Immunsystems’)
• Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
                                                     10
Sicherheit braucht Forschung




            Sichere IKT braucht
                Forschung




C. Eckert                         11
Technologie gestalten: Architekturen

 Sicherheitsarchitekturen
 Ziel: Resistent gegen Angriffe
z.B.
z B Seitenkanal-Angriff: (Pizza Index)
   • Beobachten von Verhaltens-
     Charakteristika
     Ch kt i tik

Ansatz: A iff t l
A    t Angriffs-tolerante M lti C
                           t Multi-Core-Architekturen
                                        A hit kt
• Verschleiern von Charakteristika: u.a. Randomisierungen
• Neue Algorithmen
  (parallisiert, verteilt)


                                                       12
Technologie gestalten: Systeme


Selbst‐überwachende Systeme
• Sicherer Betriebssystem-Kern als ‘Überwacher’
   • Sammelt Verhaltensdaten
      z.B syscall traces
           y                                             z.B.
                                                         z B Apps
   • Klassifiziert Aktivitäten:                         z.B. Android
      Normalverhalten                                     Plattform
                                     Sicheres           z.B. L4Linux
   • Reagiert: Abschalten
                                  Betriebssystem    mit Android Patches
      von Diensten Schließen
          Diensten,                      Virtual Machine Monitor
      von Ports, …                           Multi-core (SoC)



                                                                13
Sicherer Betrieb: Sichere Objekt-Identität
                          Objekt Identität

Biometrie für Objekte
Physical Unclonable Function (PUF)
• Nicht fälschbare Material-Eigenschaften
• PUF: liefert auf eine
   Anregung (Challenge) eine nicht
   vorhersagbare Antwort : einzigartig ID
Problem:
• Alterung, Verschmutzung verändern das PUF-Verhalten
Forschung:
• Korrekturdaten (Helper data), Toleranzschwellen
• N t
   Nutzen der PUF Eigenschaften i S ft
           d       Ei      h ft in Software-Produkten
                                            P d kt
C. Eckert                                         14
Sicherer Betrieb: Angriffserkennung

Problem:
 Erkennen von Verhaltens-Abweichungen
Lösungg
 Maschinelles Lernen: Klassifikation
 Honey-Net: Lernen von Angriffstechniken
       y                   g




                                            15
Sicherer Betrieb: Angriffserkennung

Idee: Definition von Topics: Semantische Zusammenhänge

Beispiel: Topic1 Graphikprogramm        Topic 2 Netzverbindung
            Topic 3 Dateiverarbeitung
              p                     g   Topic 4 Bildverarbeitung
                                          p                    g
Machinelles Lernen: Clustern von Events zu Topics (Normalverhalten)




C. Eckert                                                             16
Ein Blick hinter die Kulissen: Parameter
Estimation with Gibbs Sampling

             D                                  T      V                        T                   V                 V
                                                                                         Γ(
                                                                                          (                  βv )
                                                                                                                             ψz ,vv− 1 dΨ
                                                                                                                              β
                                                                mz
                   P ( d |d θ) ×
                     (y |d,                                    ψz , v , v                      V
                                                                                                    v= 1

            d= 1                               z= 1 v= 1                    z= 1               v= 1     Γ(βv )       v= 1
                             D      T     T                        D        T                   T                    T
                                                    n d,z ,z                            Γ(
                                                                                         (               αz )                  α    −1
                   ×                            φd, z , z                                    T
                                                                                                z= 1
                                                                                                                             φd,zz , z      dΦ
                            d= 1 z = 1 z = 1                     d= 1 z = 1                  z= 1   Γ(α z )      z =1
                                           V                T                           T                DT              D
                                   Γ(
                                    (               βv )                    Γ(
                                                                             (                 αz )
                            =           V
                                           v= 1
                                                                  ×              T
                                                                                        z= 1
                                                                                                                ×              P ( d |d θ)
                                                                                                                                 (y |d,
                                        v= 1   Γ(βv )                            z= 1    Γ(α z )                      d= 1
                        T           V                                               D     T              T
                                           mz + β − 1                                                            n             + αz − 1
                   ×                      ψz , v , v v dΨ               ×                                      φd,z, ,zz, z
                                                                                                                 d
                                                                                                                                            dΦ
                       z= 1        v= 1                                         d= 1 z = 1              z =1
                             D                          T                                V          T
                                                                               −1        v = 1 Γ(m z , v
                                                                                                (                                        + βv )
                       ∝           [1 + exp(−
                                           (              θz , z n d, z , z )]
                            d= 1                      z,z                         z= 1 Γ( V= 1 m z , v
                                                                                             v                                           + βv )
                                                                                    D     T   T
                                                                                              z = 1 Γ(n d z ,z
                                                                                                        d, z                       + αz )
                                                                                                                                              .
                                                                                 d= 1 z = 1
                                                                                            Γ( T = 1 n d, z , z
                                                                                                 z                                  + αz )
C. Eckert                                                                                                                                         17
Take h
T k home Message
         M


                   Zukunft b ö i IKT
                     k f benötigt
              Koordinierung, Steuerung, Kontrolle
                          g,         g,


                     IKT ist verletzlich
            Verletzlichkeit der Nutzer, der Gesellschaft


                 IKT benötigt Sicherheit
 Technologie Gestaltung, Forschung, Bildung, Kultur

C. Eckert                                                  18
Herausforderungen 
H     f d         

Wissenschaft:
• Technologiegestaltung: sicher, nutzbar, nachhaltig

Politik:
• Rahmenvorgaben: Zuckerbrot und Peitsche
                  Anreizmodelle und gesetzliche Auflagen

Wirtschaft:
Wi t h ft
• Vertrauen schaffen: Transparenz und Kontrollierbarkeit

Gesellschaft:
• Sicherheitskultur: Ausbildung Wertvorstellungen
                     Ausbildung,

C. Eckert
Und zu guter Letzt …


            Herausforderung:   Herausforderung:
                Sinnvoll        Angemessen
                                   g




C. Eckert
Vielen Dank für Ihre Aufmerksamkeit




                     Claudia Eckert


                     TU München, Lehrstuhl für Sicherheit in der
                                   Informatik
                     Fraunhofer AISEC, München



                     E-Mail:      claudia.eckert@sec.in.tum.de
                     Internet:    http://www.sec.in.tum.de
                                  http://www.aisec.fraunhofer.de




C. Eckert

Weitere ähnliche Inhalte

Andere mochten auch

Proyecto práctica final_v7
Proyecto práctica final_v7Proyecto práctica final_v7
Proyecto práctica final_v7VeroFrank
 
Avances y proyecciones
Avances y proyeccionesAvances y proyecciones
Avances y proyeccionesvivilei1995
 
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9Johann HUMER
 
Globaloka päsentation vertrieb online kurz
Globaloka päsentation vertrieb online kurzGlobaloka päsentation vertrieb online kurz
Globaloka päsentation vertrieb online kurzReinhold Helm
 
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...Johann HUMER
 
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch GladbachEntwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch GladbachBürgerportal Bergisch Gladbach
 
Imágenes desde el Telescopio Espacial Hubble
Imágenes desde el Telescopio Espacial HubbleImágenes desde el Telescopio Espacial Hubble
Imágenes desde el Telescopio Espacial HubbleMajed Khalil
 
GALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPTGALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPTJohann HUMER
 
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013Johann HUMER
 
Neurociencia y educación
Neurociencia y educaciónNeurociencia y educación
Neurociencia y educaciónHaydee Cunyas
 

Andere mochten auch (19)

Proyecto práctica final_v7
Proyecto práctica final_v7Proyecto práctica final_v7
Proyecto práctica final_v7
 
Avances y proyecciones
Avances y proyeccionesAvances y proyecciones
Avances y proyecciones
 
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9
Feldfutterbau Versuchserträge in Niederösterreich, Johann HUMER,ed2013jan9
 
Globaloka päsentation vertrieb online kurz
Globaloka päsentation vertrieb online kurzGlobaloka päsentation vertrieb online kurz
Globaloka päsentation vertrieb online kurz
 
Paradigma ambientalista
Paradigma ambientalistaParadigma ambientalista
Paradigma ambientalista
 
F 06-christ
F 06-christF 06-christ
F 06-christ
 
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...
Die Bodenkultur, Literaturverzeichnis 1983 bis1995, Publikationsschrift der U...
 
Día del planeta tierra
Día del planeta tierraDía del planeta tierra
Día del planeta tierra
 
F 06-christ
F 06-christF 06-christ
F 06-christ
 
Gli Achei
Gli AcheiGli Achei
Gli Achei
 
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch GladbachEntwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
 
Imágenes desde el Telescopio Espacial Hubble
Imágenes desde el Telescopio Espacial HubbleImágenes desde el Telescopio Espacial Hubble
Imágenes desde el Telescopio Espacial Hubble
 
1st unit hp
1st unit hp1st unit hp
1st unit hp
 
GALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPTGALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPT
 
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013
Humer Qualitätsverbesserung Futterwiesen Lichtenau f153v186 13apr2013
 
Schulstatistik Bergisch Gladbach 2014/2015
Schulstatistik Bergisch Gladbach 2014/2015Schulstatistik Bergisch Gladbach 2014/2015
Schulstatistik Bergisch Gladbach 2014/2015
 
Kriminalitätsstatistik Rheinisch-Bergischer Kreis 2013
Kriminalitätsstatistik Rheinisch-Bergischer Kreis 2013Kriminalitätsstatistik Rheinisch-Bergischer Kreis 2013
Kriminalitätsstatistik Rheinisch-Bergischer Kreis 2013
 
Neurociencia y educación
Neurociencia y educaciónNeurociencia y educación
Neurociencia y educación
 
Otros géneros cinematográficos
Otros géneros cinematográficosOtros géneros cinematográficos
Otros géneros cinematográficos
 

Mehr von Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthFraunhofer AISEC
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 

IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft

  • 1. IT-Sicherheit: IT Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft C. Eckert, TU München, Fraunhofer AISEC C. Eckert 1
  • 2. Gliederung 1. Schlüsseltechnologie IKT g 2. IKT benötigt Sicherheit 3. 3 Bedrohungen und Herausforderungen (Technologisch) 4. Sicherheit braucht Forschung 5. Take Home Message C. Eckert 2
  • 3. IKT ist Schlüsseltechnologie These: IKT ist Schlüsseltechnologie für globale Herausforderungen Energie Umwelt Mobilität Sicherheit Gesundheit C. Eckert 3
  • 4. IKT ist Schlüsseltechnologie These: IKT ist Schlüsseltechnologie für globale Herausforderungen Energie Umwelt Mobilität Sicherheit Gesundheit C. Eckert 4
  • 5. IKT ist Schlüsseltechnologie Zukunft: • Internet vernetzt Menschen, physische Objekte und Dienste Beispiele Energie: z.B. SmartGrids g • Steuern, Überwachen, Planen, Entscheiden Gesundheit: z.B. personalisierte M di i G dh it B li i t Medizin • Überwachte Vitalfunktionen Mobilität: z.B. Individualverkehr • Sensorik im Fahrzeug, Car2X C. Eckert 5
  • 6. IKT ist Schlüsseltechnologie IKT: zentrales Nervensystem koordinieren, steuern koordinieren steuern, überwachen Energie Umwelt Mobilität Sicherheit Gesundheit C. Eckert 6
  • 7. IKT ist Schlüsseltechnologie It‘s all about data!  Daten sind ein schützenswertes Gut  D t steuern sicherheitskritische Ablä f /P Daten t i h h it k iti h Abläufe/Prozesse  Daten sind ‘Währung’ u.a. in sozialen Netzen (Facebook etc.) g ( ) C. Eckert 7
  • 8. IT Sicherheit: ein sine qua non IKT benötigt Sicherheit  Daten- und Informationsvertraulichkeit  Prüfbare Identität von Personen und Objekten  Manipulationsschutz für Daten und auch kompletten Abläufen C. Eckert 8
  • 9. Bedrohungen Beispiel: Sensorik im Auto:  Viele vernetzte ECUs  GSM-Modul: Ferndiagnose Software-Updates, .. p ,  Problem: Fehlende Kontrollen Einschleusen von Schad-Code, … , Herausforderungen: u.a.  Manipulationsresistente Hardware  S Sichere Komponenten-Identifikation ( f (Machine-to-Machine) ) 9
  • 10. Bedrohungen Beispiel: Web Anwendungen Web-Anwendungen • Problem: Programmierung Einschleusen von Vi Ei hl Viren, T j Trojanern • Problem: Mangelhafte Kontrollen unerlaubte D t l bt Datenzugriffe, … iff Herausforderungen:u.a. • Zuverlässige Abschottungen (Kaskadeneffekte verhindern) • Selbst-Überwachung (Aufbau eines ‘Immunsystems’) • Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ ) 10
  • 11. Sicherheit braucht Forschung Sichere IKT braucht Forschung C. Eckert 11
  • 12. Technologie gestalten: Architekturen Sicherheitsarchitekturen Ziel: Resistent gegen Angriffe z.B. z B Seitenkanal-Angriff: (Pizza Index) • Beobachten von Verhaltens- Charakteristika Ch kt i tik Ansatz: A iff t l A t Angriffs-tolerante M lti C t Multi-Core-Architekturen A hit kt • Verschleiern von Charakteristika: u.a. Randomisierungen • Neue Algorithmen (parallisiert, verteilt) 12
  • 13. Technologie gestalten: Systeme Selbst‐überwachende Systeme • Sicherer Betriebssystem-Kern als ‘Überwacher’ • Sammelt Verhaltensdaten z.B syscall traces y z.B. z B Apps • Klassifiziert Aktivitäten: z.B. Android Normalverhalten Plattform Sicheres z.B. L4Linux • Reagiert: Abschalten Betriebssystem mit Android Patches von Diensten Schließen Diensten, Virtual Machine Monitor von Ports, … Multi-core (SoC) 13
  • 14. Sicherer Betrieb: Sichere Objekt-Identität Objekt Identität Biometrie für Objekte Physical Unclonable Function (PUF) • Nicht fälschbare Material-Eigenschaften • PUF: liefert auf eine Anregung (Challenge) eine nicht vorhersagbare Antwort : einzigartig ID Problem: • Alterung, Verschmutzung verändern das PUF-Verhalten Forschung: • Korrekturdaten (Helper data), Toleranzschwellen • N t Nutzen der PUF Eigenschaften i S ft d Ei h ft in Software-Produkten P d kt C. Eckert 14
  • 15. Sicherer Betrieb: Angriffserkennung Problem:  Erkennen von Verhaltens-Abweichungen Lösungg  Maschinelles Lernen: Klassifikation  Honey-Net: Lernen von Angriffstechniken y g 15
  • 16. Sicherer Betrieb: Angriffserkennung Idee: Definition von Topics: Semantische Zusammenhänge Beispiel: Topic1 Graphikprogramm Topic 2 Netzverbindung Topic 3 Dateiverarbeitung p g Topic 4 Bildverarbeitung p g Machinelles Lernen: Clustern von Events zu Topics (Normalverhalten) C. Eckert 16
  • 17. Ein Blick hinter die Kulissen: Parameter Estimation with Gibbs Sampling D T V T V V Γ( ( βv ) ψz ,vv− 1 dΨ β mz P ( d |d θ) × (y |d, ψz , v , v V v= 1 d= 1 z= 1 v= 1 z= 1 v= 1 Γ(βv ) v= 1 D T T D T T T n d,z ,z Γ( ( αz ) α −1 × φd, z , z T z= 1 φd,zz , z dΦ d= 1 z = 1 z = 1 d= 1 z = 1 z= 1 Γ(α z ) z =1 V T T DT D Γ( ( βv ) Γ( ( αz ) = V v= 1 × T z= 1 × P ( d |d θ) (y |d, v= 1 Γ(βv ) z= 1 Γ(α z ) d= 1 T V D T T mz + β − 1 n + αz − 1 × ψz , v , v v dΨ × φd,z, ,zz, z d dΦ z= 1 v= 1 d= 1 z = 1 z =1 D T V T −1 v = 1 Γ(m z , v ( + βv ) ∝ [1 + exp(− ( θz , z n d, z , z )] d= 1 z,z z= 1 Γ( V= 1 m z , v v + βv ) D T T z = 1 Γ(n d z ,z d, z + αz ) . d= 1 z = 1 Γ( T = 1 n d, z , z z + αz ) C. Eckert 17
  • 18. Take h T k home Message M Zukunft b ö i IKT k f benötigt Koordinierung, Steuerung, Kontrolle g, g, IKT ist verletzlich Verletzlichkeit der Nutzer, der Gesellschaft IKT benötigt Sicherheit Technologie Gestaltung, Forschung, Bildung, Kultur C. Eckert 18
  • 19. Herausforderungen  H f d   Wissenschaft: • Technologiegestaltung: sicher, nutzbar, nachhaltig Politik: • Rahmenvorgaben: Zuckerbrot und Peitsche Anreizmodelle und gesetzliche Auflagen Wirtschaft: Wi t h ft • Vertrauen schaffen: Transparenz und Kontrollierbarkeit Gesellschaft: • Sicherheitskultur: Ausbildung Wertvorstellungen Ausbildung, C. Eckert
  • 20. Und zu guter Letzt … Herausforderung: Herausforderung: Sinnvoll Angemessen g C. Eckert
  • 21. Vielen Dank für Ihre Aufmerksamkeit Claudia Eckert TU München, Lehrstuhl für Sicherheit in der Informatik Fraunhofer AISEC, München E-Mail: claudia.eckert@sec.in.tum.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de C. Eckert