Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und relevantere Anzeigen zu schalten. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Cybersecurity 2013 - Design for Security

748 Aufrufe

Veröffentlicht am

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Cybersecurity 2013 - Design for Security

  1. 1. Design for SecurityCyber Sicherheit gestalten!Claudia EckertFraunhofer AISECTU MünchenCyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 20131
  2. 2. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  3. 3. Sicherheit durch und Sicherheit vonvernetzten IKT-SystemenCyber Sicherheit ist
  4. 4. Unsicherheit durch vernetzte undunsichere IKT-SystemeCyber Sicherheit: Heute
  5. 5. BedrohungslageCyber-Angriffe nehmen zu Jedes 4. Unternehmen Opfer vonCyber-Angriffen Geänderte Täterstruktur: Vom spezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseProduktpiraterie nimmt stark zu VDMA Studie 2011: über 8 MilliardenEuro Schaden für Deutsche Maschinen- und AnlagenbauerSchäden weltweit:290 Mrd. €.profitabler alsglobaler Handel mitRauschgift.
  6. 6. Sensorik Automobil: über 80 SensorenFunkschlüssel, Fernzugriff (GSM)• Drahtlos vernetzte Medizinische Geräte:Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)Software-Systeme Identitätsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)Bedrohungslage: Beispiele
  7. 7. Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungBeispiel: Mobile Endgeräte
  8. 8. Unsichere Hardware/Sensorik:• Physisch angreifbarUnsichere Software-Systeme• ManipulierbarUngeschützte High-Tech-Produkte• KopierbarFaktor Mensch• Sorglos, bequemProblembereiche
  9. 9. Mangelndes Bewusstsein: 90% der erfolgreichen Angriffedurch schwache oder mehrfachverwendete Passwörter: zBName, Geburtsdaten, …Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe inSozialen NetzenBeispiel: Faktor Mensch
  10. 10. Technologie gestalten:• Sicherheitstechnologie, System-DesignProzesse gestalten• Leitlinien und Kultur ‚leben‘Bildungsmaßnahmen gestalten• Nachhaltige SensibilisierungPolitische Rahmen gestalten• Fordern und FördernThese: Design4Security erforderlich
  11. 11. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  12. 12. Vertrauenswürdige Hardware• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit• Angriffstolerant: u.a.nicht manipulierbare HardwareTechnologie gestalten
  13. 13. Problem: Produktpiraterie, Know-How-Diebstahl Ungeschützte Elektronik-BauteileAISEC-LösungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung vonHardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlüssel aus Folieneigenschaften erzeugt Zerstörung der Folie: Firmware-Code wird gelöscht Schutz vor Nachbau, Schutz vor Know-How-AbflussBeispiel: Produkt- und Know-how-Schutz
  14. 14. Sichere System-Architekturen• Prävention: u.a. Separierung• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-KonfigurierenBeispiele Secure Smart MeterSicheres Handy für ‘alle’UnsicherePlattformenz.B. AndroidVirtual Machine IntrospectionHardware, z.B. HSM, Multi-CoreSicheresBetriebssystemTechnologie gestalten
  15. 15. Problem Datenabfluss, Identitätsdiebstahl,Schadsoftware in Unternehmen, …AISEC-LösungTrust | ME: Sicheres Mobiles Endgerät Verschiedene isolierte Bereiche,schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Geräte-Management,differenziertes Remote Wipe etc.Beispiel: Bring your Own Device: aber sicher!
  16. 16. Systeme testen und sicher betreiben• Hardware Sicherheit u.a.Hardware-Trojaner, Seitenkanäle• Software-Sicherheit u.a.Code-Analysen, Tainting„Gesundheits“-Checks für Apps• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,Technologie gestalten
  17. 17. Problem: Unsichere Apps Apps: idR zu viele Zugriffsberechtigungen: Informationslecks undEinschleusen von SchadcodeAISEC-LösungAppRay: Sicherheitschecks für Apps Detaillierte Analyse der Zugriffe, Aktionen Abgleich mit eingestellten Sicherheitsregeln Testen des Verhaltens in simulierter Umgebung Sichere AppStores autonom aufbauen, verwaltenBeispiel: App-Analyse-Tool
  18. 18. Sicherheitscheck für Android-AppsBeispiel: App-Analyse-Tool
  19. 19. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  20. 20. Sicherheitsvorgaben: Festlegen und kommunizieren DurchgehendesSicherheitskonzept mitabgestimmten Maßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlKontrollieren und Sanktionieren Kontinuierliche ÜberprüfungProzesse gestalten
  21. 21. Bildung gestalten: Zielgruppenspezifisch
  22. 22. Fordern Haftungsregelungen fürSoftware, IT Haftpflicht? Regulieren:Sicherheits-Testate, Zertifikate fordern!Fördern Nationale Sicherheitsindustrie fördern Incentivierung:bei nachweislich hohem SchutzniveauPolitische Rahmen gestalten
  23. 23. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  24. 24. Alle gesellschaftlichen Kräfte einbindenChancen für die Forschung Innovative SicherheitslösungenChancen für Unternehmen Security made in Germany als Label Marktvorteile durch Know-how SchutzChancen für die Politik: Bildungs- und Industriepolitik gestaltenCyber Sicherheit gestalten!
  25. 25. Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

×