Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin
5. Bedrohungslage
Cyber-Angriffe nehmen zu
Jedes 4. Unternehmen Opfer von
Cyber-Angriffen
Geänderte Täterstruktur:
Vom spezialisierten Einzeltäter zum
Kriminellen ohne Fachkenntnisse
Produktpiraterie nimmt stark zu
VDMA Studie 2011: über 8 Milliarden
Euro Schaden für Deutsche Maschinen- und Anlagenbauer
Schäden weltweit:
290 Mrd. €.
profitabler als
globaler Handel mit
Rauschgift.
12. Vertrauenswürdige Hardware
• Effiziente Sicherheitsfunktionen: u.a.
energieeffiziente Verschlüsselung
• Fälschungssicherheit: u.a.
nicht clone-bare Identität (PUF),
nachweisliche Malware-Freiheit
• Angriffstolerant: u.a.
nicht manipulierbare Hardware
Technologie gestalten
13. Problem: Produktpiraterie, Know-How-Diebstahl
Ungeschützte Elektronik-Bauteile
AISEC-Lösung
PEP Schutzfolie http://ais.ec/pep
Untrennbare Verbindung von
Hardware und Schutzfolie
Materialeigenschaften der Folie dienen als Sensoren
Schlüssel aus Folieneigenschaften erzeugt
Zerstörung der Folie: Firmware-Code wird gelöscht
Schutz vor Nachbau, Schutz vor Know-How-Abfluss
Beispiel: Produkt- und Know-how-Schutz
14. Sichere System-Architekturen
• Prävention: u.a. Separierung
• Detektion: u.a. Selbst-Schutz:
kontinuierliches Monitoring
• Reaktion: u.a. Selbst-Heilung:
Abschalten, Re-Konfigurieren
Beispiele Secure Smart Meter
Sicheres Handy für ‘alle’
Unsichere
Plattformen
z.B. Android
Virtual Machine Introspection
Hardware, z.B. HSM, Multi-Core
Sicheres
Betriebssystem
Technologie gestalten
15. Problem
Datenabfluss, Identitätsdiebstahl,
Schadsoftware in Unternehmen, …
AISEC-Lösung
Trust | ME: Sicheres Mobiles Endgerät
Verschiedene isolierte Bereiche,
schneller, einfacher Wechsel
Sicherer Speicher, sichere Eingabe
Sicheres Geräte-Management,
differenziertes Remote Wipe etc.
Beispiel: Bring your Own Device: aber sicher!
16. Systeme testen und sicher betreiben
• Hardware Sicherheit u.a.
Hardware-Trojaner, Seitenkanäle
• Software-Sicherheit u.a.
Code-Analysen, Tainting
„Gesundheits“-Checks für Apps
• Infrastruktur-Sicherheit: u.a.
Cloud-Monitoring,
Technologie gestalten
17. Problem: Unsichere Apps
Apps: idR zu viele Zugriffsberechtigungen:
Informationslecks und
Einschleusen von Schadcode
AISEC-Lösung
AppRay: Sicherheitschecks für Apps
Detaillierte Analyse der Zugriffe, Aktionen
Abgleich mit eingestellten Sicherheitsregeln
Testen des Verhaltens in simulierter Umgebung
Sichere AppStores autonom aufbauen, verwalten
Beispiel: App-Analyse-Tool
22. Fordern
Haftungsregelungen für
Software, IT Haftpflicht?
Regulieren:
Sicherheits-Testate, Zertifikate fordern!
Fördern
Nationale Sicherheitsindustrie fördern
Incentivierung:
bei nachweislich hohem Schutzniveau
Politische Rahmen gestalten
24. Alle gesellschaftlichen Kräfte einbinden
Chancen für die Forschung
Innovative Sicherheitslösungen
Chancen für Unternehmen
Security made in Germany als Label
Marktvorteile durch Know-how Schutz
Chancen für die Politik:
Bildungs- und Industriepolitik gestalten
Cyber Sicherheit gestalten!
25. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de