SlideShare ist ein Scribd-Unternehmen logo
1 von 34
Downloaden Sie, um offline zu lesen
Prof. Claudia Eckert
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC)
Hamburger IT-Strategie-Tage, Februar 2015
Internet of (Every)thing
Gliederung
1. IoT: Daten-zentrierte Wertschöpfung
2. Bedrohungslage
3. Lösungen jenseits von Firewalls, VPN, PKI, …
4. Take Home Message
Digitalisierung ist nicht neu, aber
 Vernetzung
 Internet der Dinge und Dienste
 Vernetzung von Industrial IT und Business IT
 Unternehmensübergreifend
 Vom Sensor in die Cloud
It‘s all about Data
Vielzahl von Daten:
 Produktions-, Produktdaten,
 Wartungs-, Logistik-, Kundendaten
Digitalisierung
 Horizontale und vertikale Integration
der Wertschöpfungsprozesse
„Who owns the data wins the war“
BigData und Vernetzung:
Neue Geschäftsmodelle
COPYRIGHT beachten!
Bilder und Grafiken nur für internen Gebrauch!
Data-driven Innovations
Gliederung
1. Daten-zentrierte Wertschöpfung
2. Bedrohungslage
3. Lösungen jenseits von Firewalls, VPN, PKI, …
4. Take Home Message
2. Bedrohungslage
Zunehmende Verwundbarkeit
 Manipulation
 Datendiebstahl
 Wirtschaftsspionage
 Sabotage
 Produktpiraterie
Safety-Probleme durch IT-Security-Incidents!
 > 37 % der Sicherheitsvorfälle
2014 wird Schwachstellen in
Anwendungen oder deren
Konfiguration zugeordnet
 > 50 % der Organisationen
verwenden keinen sicheren
Softwarelebenszyklus
 Größte Hürden zur Verbesserung
der Softwaresicherheit:
 Geringe Kenntnisse
 Fehlende Werkzeuge
 Unpassende Methoden
96%der untersuchten Anwendungen
hat Sicherheitsschwachstellen.
14Sicherheitsschwachstellen pro
Anwendung identifiziert.
Dabei wurden im Mittel
Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a.
2. Bedrohungslage: Unsichere Software
Attack Scenarios
 Reverse Engineering
 Product Counterfeiting
 Intellectual Property Theft
 Unauthorized Spare Parts
 Espionage / Hardware
Trojan
2. Bedrohungen: Unsichere smarte Produkte
Attack Scenarios
 Altering / Tampering
 Hardware Trojan
Attack Scenarios
 Reverse Engineering
 Product Counterfeiting
 Intellectual Property Theft
Attack Scenarios
 Firmware Manipulation
 Software Piracy
Attack Scenarios
 Reverse Engineering
 Cloning (Example in 2008: UFS912)
 Circumventing of Copy Protection
 Firmware Manipulation
Attack Scenarios
 Reverse Engineering
 Product Counterfeiting
 IP Theft
 Cloning (N97: Nokia vs Nokla)
 Firmware Manipulation
 Software Piracy
Attack Scenarios
 Firmware Reverse Engineering
 Circumventing of Copy Protection
 Manipulation (firmware, hardware)
 Software / iracy
Scale
Set-top box
Game
Console
Mobile Phone /
PDA
Satnav
EC Terminal
Industrial Automation &
Equipment
Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a.
2. Bedrohungslage: Ungeschützte Anlagen
Zugriff auf Steuergeräten in Industrieanlagen
Beispiel:
Fernwärmekraftwerke:
Versorgung mit Mausklick
manipulierbar
Standard-IT Security nicht direkt übertragbar:
Sicherheits-Management ist notwendig!
Office ITIndustrial IT
Application of patches
Availability requirement
Security testing / audit
Physical Security
Security Awareness
Anti-virus
Component Lifetime
Real time requirement
Security Standards
Regular / scheduled
Medium, delays accepted
Scheduled and mandated
High (for critical IT)
High
Common / widely used
3-5 years
Delays accepted
Existing
Slow
Very high
Occasional
Very much varying
Increasing
Uncommon / hard to deploy
Up to 20 years
Critical
Under development
2. Bedrohungslage: IoT
Unsichere Produkte (Hardware)
Unsichere (eingebettete) Software,
Unsichere Anlagen (Produktion...)
 Unsichere Fernwartung,
 Unsichere mobile Geräte,
 Gefährdung der Betriebssicherheit
 Unsicherer Einsatz von Standard-IT
Gliederung
1. Daten-zentrierte Wertschöpfung
2. Bedrohungslage
3. Lösungen jenseits von Firewalls, VPN, PKI, …
4. Take Home Message
1. Software-Sicherheit über Lebenszyklus
2. Sicherheits-Analysen
3. App-Sicherheit
4. Mobile Device-Sicherheit
3. Lösungsansätze
3.1 Software-Sicherheit
 Vorschläge sind heterogen, isoliert und (die Werkzeuge) unreif
 Integration, Konkretisierung und Parametrisierung erforderlich
Integration konsolidierter Maßnahmen für
 Konstruktion,
 Analyse und Überwachung
 Werkzeugunterstützung im gesamten
Lebenszyklus
Iterativ inkrementelle Optimierung über
 Audit, Zielbestimmung, Umsetzung und Überwachung des
Lebenszyklus
Nutzen: Messbare Verbesserung gemäß individuellem Risikoprofil,
einheitliche Bewertungs-Standards
3.1 Software-Sicherheit
Lebenszyklus
3.2 Sicherheitsanalyse
Beispiel: Hardware/Sensorik/Produkte
Fragestellungen: u.a.
 Krypto-Schlüssel extrahierbar?
 Verhalten gezielt beeinflussbar?
 Hardware-Trojaner implantiert?
Analyse-Techniken: u.a.
 Hochauflösende Magnetfeldmessungen
 Multisonden-Messungen
 Fehler-Injektion: Mehrfach-Laser-Aufbau
3.2 Beispiel:
Sicherheitsanalyse eines Industrie-Roboters
Fernzugriff auf Roboter-Controller via Netzverbindung
 Controller akzeptiert Befehle über die Netzwerkverbindung
z.B. Auslesen von Benutzerinformationen: Name, Passwort
 Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)
 Fehlende Überprüfung von FTP-Benutzer und Passwort!
 Aktivierung der Debug-Schnittstelle von VxWorks (WDB)
 volle Kontrolle über das Betriebssystem!
Engineering
Station im
Büronetz
3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters
Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung
Rechner des
Angreifers
im Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Angreifer schickt Phishing E-Mail mit Link
Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Mitarbeiter öffnet Link in Browser
Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Browser-Exploit ermöglicht
Laden einer Payload des
Angreifers in den Arbeitsspeicher
Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Die Payload baut ausgehend vom internen Netz
eine Verbindung zum Server des Angreifers auf
Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Der Angreifer kann nun über den infizierten Rechner
sämtliche genannten Schwachstellen des Roboters ausnutzen
3.3 App-Sicherheit
Trusted-App-Store: unternehmensintern
Probleme:
 Informationslecks? Compliance?
 Speichern von Zugangsdaten?
für Amazon, Twitter, Facebook
Analyse-Framework AppRay:
 Informationsflussanalysen
 Verhaltensanalyse in simulierter Umgebung
 Code-Instrumentierung, u.a. Überwachen von zur
Laufzeit konstruierten Zugangs-Tokens
Check von 10.000 Android Apps
(aus Google PlayStore)
 Untersuchung von 10.000 Android Apps
im 1. Quartal 2014
 69% der Apps kommunizieren
unverschlüsselt
 26% nutzen SSL-Verbindungen, sind
jedoch nicht sicher umgesetzt
 49% der Apps ermitteln den genauen
Standort des Geräts
 448 Apps versenden eine eindeutige
Gerätekennung (u.a. IMEI)
 Noch vor der Vergabe von Privilegien
funken zahlreiche Apps bereits
Informationen ins Internet
Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
Nutzen: Betrieb eines Trusted-AppStores
Kontroll- und Datenflussanalysen, Compliance-Check
Telefonnummer
des Nutzers
Weiterleitung
an App
Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen:
Originale App speichert Notizen im Klartext:
Instrumentierte App speichert verschlüsselt:
Weitere Beispiele:
 Kopierschutz, Internet Proxy einfügen
 bekannte Schwachstellen, Werbung, … entfernen
Unternehmens-interner Trusted-AppStore
Automatisierte App Härtung, Bsp SimpleNotepad
Dies ist eine Testnotiz
MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A
q5Av73LBsm
6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
3.4 Mobile Sicherheit
Sichere Android-Plattformen: CeBIT2015
Problem:
 Datenlecks durch unsichere mobile Geräte: Smartphone,
Tablet, …
Ursachen:
 Fehlende Isolation, fehlende Kontrollen
Lösung: trust|x
 Android-basiert + Secure Element
 Kontexte: Business, Produktion, HR, privat, …: einfach,
flexibel, isoliert
Sicherer Speicher für Schlüssel, PINs
 Sicherer Speicher durch secure Element, z.B.
sichere microSD Karte
 Sicheres Speichern von kryptographischen
Schlüsseln, PINs, Passworten, Zertifikaten,
Prüfwerten, z.B. Schlüssel für VPN, Mail
Transparentes VPN
 kein direkter ´Internet Zugriff,
 Vollständig kontrollierte Netzanbindung
für Sicherheits-Container
3.4 Mobile Sicherheit
Sichere Android-Plattformen
3.4 Mobile Sicherheit
Sichere Android-Plattformen
Sicheres Geräte-Management
 Remote Verwaltung der Geräte durch IT-Abteilung
 Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen
Endgeräten;
 Zentralisiertes Einspielen von
Software-Updates
 Sichere Verbindung zum Backend
U.a. remote Wipe für Sicherheits-
Container, nicht für private Umgebungen
(Datenschutz)
Kontextverwaltung: Szenario: Auslandsaufenthalt
(1) Isolierter Container
auf trust|x Gerät erzeugt
(2) Kontext-Transfer
(3) Nutzen
(4) Synchronisieren
(5) Bei Bedarf: Recovery
3.4 Mobile Sicherheit
Sichere Android-Plattform
(1)
(2)
(3)
(4)
(5)
4. Take Home Message
IoT: Erweiterte Anforderungen an das Sicherheits-
Management:
 Produktion, Produkt, Business-Security:
Wechselwirkungen, Safety!
Kritische Handlungsfelder:
 Sichere Software über Lebenszyklus
 Schwachstellen-Analysen (Systemsicht)
 Mobile Sicherheit: kontrollierbar, managed
Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer-Institut AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: info@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de
Twitter: @FraunhoferAISEC

Weitere ähnliche Inhalte

Was ist angesagt?

4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandelnDidactum
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...Didactum
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityJonathan Weiss
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Bechtle
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren WM-Pool Pressedienst
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGrunerAxel S. Gruner
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerDidactum
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 

Was ist angesagt? (18)

4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGruner
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
CCPP
CCPPCCPP
CCPP
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 

Ähnlich wie Internet of (Every)Thing

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieFlorian Brunner
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things ArchitectureChristian Waha
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012jenny_splunk
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzFraunhofer AISEC
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLeonieDelphineReschr
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 

Ähnlich wie Internet of (Every)Thing (20)

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte Industrie
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 

Mehr von Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthFraunhofer AISEC
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsFraunhofer AISEC
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceFraunhofer AISEC
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Fraunhofer AISEC
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftFraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity ManagementFraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportFraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
 

Internet of (Every)Thing

  • 1. Prof. Claudia Eckert Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Hamburger IT-Strategie-Tage, Februar 2015 Internet of (Every)thing
  • 2. Gliederung 1. IoT: Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 3. Digitalisierung ist nicht neu, aber  Vernetzung  Internet der Dinge und Dienste  Vernetzung von Industrial IT und Business IT  Unternehmensübergreifend  Vom Sensor in die Cloud
  • 4. It‘s all about Data Vielzahl von Daten:  Produktions-, Produktdaten,  Wartungs-, Logistik-, Kundendaten Digitalisierung  Horizontale und vertikale Integration der Wertschöpfungsprozesse „Who owns the data wins the war“
  • 5. BigData und Vernetzung: Neue Geschäftsmodelle COPYRIGHT beachten! Bilder und Grafiken nur für internen Gebrauch! Data-driven Innovations
  • 6. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 7. 2. Bedrohungslage Zunehmende Verwundbarkeit  Manipulation  Datendiebstahl  Wirtschaftsspionage  Sabotage  Produktpiraterie Safety-Probleme durch IT-Security-Incidents!
  • 8.  > 37 % der Sicherheitsvorfälle 2014 wird Schwachstellen in Anwendungen oder deren Konfiguration zugeordnet  > 50 % der Organisationen verwenden keinen sicheren Softwarelebenszyklus  Größte Hürden zur Verbesserung der Softwaresicherheit:  Geringe Kenntnisse  Fehlende Werkzeuge  Unpassende Methoden 96%der untersuchten Anwendungen hat Sicherheitsschwachstellen. 14Sicherheitsschwachstellen pro Anwendung identifiziert. Dabei wurden im Mittel Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Unsichere Software
  • 9. Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft  Unauthorized Spare Parts  Espionage / Hardware Trojan 2. Bedrohungen: Unsichere smarte Produkte Attack Scenarios  Altering / Tampering  Hardware Trojan Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft Attack Scenarios  Firmware Manipulation  Software Piracy Attack Scenarios  Reverse Engineering  Cloning (Example in 2008: UFS912)  Circumventing of Copy Protection  Firmware Manipulation Attack Scenarios  Reverse Engineering  Product Counterfeiting  IP Theft  Cloning (N97: Nokia vs Nokla)  Firmware Manipulation  Software Piracy Attack Scenarios  Firmware Reverse Engineering  Circumventing of Copy Protection  Manipulation (firmware, hardware)  Software / iracy Scale Set-top box Game Console Mobile Phone / PDA Satnav EC Terminal Industrial Automation & Equipment
  • 10. Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Ungeschützte Anlagen Zugriff auf Steuergeräten in Industrieanlagen Beispiel: Fernwärmekraftwerke: Versorgung mit Mausklick manipulierbar
  • 11. Standard-IT Security nicht direkt übertragbar: Sicherheits-Management ist notwendig! Office ITIndustrial IT Application of patches Availability requirement Security testing / audit Physical Security Security Awareness Anti-virus Component Lifetime Real time requirement Security Standards Regular / scheduled Medium, delays accepted Scheduled and mandated High (for critical IT) High Common / widely used 3-5 years Delays accepted Existing Slow Very high Occasional Very much varying Increasing Uncommon / hard to deploy Up to 20 years Critical Under development
  • 12. 2. Bedrohungslage: IoT Unsichere Produkte (Hardware) Unsichere (eingebettete) Software, Unsichere Anlagen (Produktion...)  Unsichere Fernwartung,  Unsichere mobile Geräte,  Gefährdung der Betriebssicherheit  Unsicherer Einsatz von Standard-IT
  • 13. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 14. 1. Software-Sicherheit über Lebenszyklus 2. Sicherheits-Analysen 3. App-Sicherheit 4. Mobile Device-Sicherheit 3. Lösungsansätze
  • 15. 3.1 Software-Sicherheit  Vorschläge sind heterogen, isoliert und (die Werkzeuge) unreif  Integration, Konkretisierung und Parametrisierung erforderlich
  • 16. Integration konsolidierter Maßnahmen für  Konstruktion,  Analyse und Überwachung  Werkzeugunterstützung im gesamten Lebenszyklus Iterativ inkrementelle Optimierung über  Audit, Zielbestimmung, Umsetzung und Überwachung des Lebenszyklus Nutzen: Messbare Verbesserung gemäß individuellem Risikoprofil, einheitliche Bewertungs-Standards 3.1 Software-Sicherheit Lebenszyklus
  • 17. 3.2 Sicherheitsanalyse Beispiel: Hardware/Sensorik/Produkte Fragestellungen: u.a.  Krypto-Schlüssel extrahierbar?  Verhalten gezielt beeinflussbar?  Hardware-Trojaner implantiert? Analyse-Techniken: u.a.  Hochauflösende Magnetfeldmessungen  Multisonden-Messungen  Fehler-Injektion: Mehrfach-Laser-Aufbau
  • 18. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Fernzugriff auf Roboter-Controller via Netzverbindung  Controller akzeptiert Befehle über die Netzwerkverbindung z.B. Auslesen von Benutzerinformationen: Name, Passwort  Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)  Fehlende Überprüfung von FTP-Benutzer und Passwort!  Aktivierung der Debug-Schnittstelle von VxWorks (WDB)  volle Kontrolle über das Betriebssystem! Engineering Station im Büronetz
  • 19. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz
  • 20. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Angreifer schickt Phishing E-Mail mit Link
  • 21. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Mitarbeiter öffnet Link in Browser
  • 22. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Browser-Exploit ermöglicht Laden einer Payload des Angreifers in den Arbeitsspeicher
  • 23. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Die Payload baut ausgehend vom internen Netz eine Verbindung zum Server des Angreifers auf
  • 24. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Der Angreifer kann nun über den infizierten Rechner sämtliche genannten Schwachstellen des Roboters ausnutzen
  • 25. 3.3 App-Sicherheit Trusted-App-Store: unternehmensintern Probleme:  Informationslecks? Compliance?  Speichern von Zugangsdaten? für Amazon, Twitter, Facebook Analyse-Framework AppRay:  Informationsflussanalysen  Verhaltensanalyse in simulierter Umgebung  Code-Instrumentierung, u.a. Überwachen von zur Laufzeit konstruierten Zugangs-Tokens
  • 26. Check von 10.000 Android Apps (aus Google PlayStore)  Untersuchung von 10.000 Android Apps im 1. Quartal 2014  69% der Apps kommunizieren unverschlüsselt  26% nutzen SSL-Verbindungen, sind jedoch nicht sicher umgesetzt  49% der Apps ermitteln den genauen Standort des Geräts  448 Apps versenden eine eindeutige Gerätekennung (u.a. IMEI)  Noch vor der Vergabe von Privilegien funken zahlreiche Apps bereits Informationen ins Internet Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
  • 27. Nutzen: Betrieb eines Trusted-AppStores Kontroll- und Datenflussanalysen, Compliance-Check Telefonnummer des Nutzers Weiterleitung an App
  • 28. Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen: Originale App speichert Notizen im Klartext: Instrumentierte App speichert verschlüsselt: Weitere Beispiele:  Kopierschutz, Internet Proxy einfügen  bekannte Schwachstellen, Werbung, … entfernen Unternehmens-interner Trusted-AppStore Automatisierte App Härtung, Bsp SimpleNotepad Dies ist eine Testnotiz MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A q5Av73LBsm 6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
  • 29. 3.4 Mobile Sicherheit Sichere Android-Plattformen: CeBIT2015 Problem:  Datenlecks durch unsichere mobile Geräte: Smartphone, Tablet, … Ursachen:  Fehlende Isolation, fehlende Kontrollen Lösung: trust|x  Android-basiert + Secure Element  Kontexte: Business, Produktion, HR, privat, …: einfach, flexibel, isoliert
  • 30. Sicherer Speicher für Schlüssel, PINs  Sicherer Speicher durch secure Element, z.B. sichere microSD Karte  Sicheres Speichern von kryptographischen Schlüsseln, PINs, Passworten, Zertifikaten, Prüfwerten, z.B. Schlüssel für VPN, Mail Transparentes VPN  kein direkter ´Internet Zugriff,  Vollständig kontrollierte Netzanbindung für Sicherheits-Container 3.4 Mobile Sicherheit Sichere Android-Plattformen
  • 31. 3.4 Mobile Sicherheit Sichere Android-Plattformen Sicheres Geräte-Management  Remote Verwaltung der Geräte durch IT-Abteilung  Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen Endgeräten;  Zentralisiertes Einspielen von Software-Updates  Sichere Verbindung zum Backend U.a. remote Wipe für Sicherheits- Container, nicht für private Umgebungen (Datenschutz)
  • 32. Kontextverwaltung: Szenario: Auslandsaufenthalt (1) Isolierter Container auf trust|x Gerät erzeugt (2) Kontext-Transfer (3) Nutzen (4) Synchronisieren (5) Bei Bedarf: Recovery 3.4 Mobile Sicherheit Sichere Android-Plattform (1) (2) (3) (4) (5)
  • 33. 4. Take Home Message IoT: Erweiterte Anforderungen an das Sicherheits- Management:  Produktion, Produkt, Business-Security: Wechselwirkungen, Safety! Kritische Handlungsfelder:  Sichere Software über Lebenszyklus  Schwachstellen-Analysen (Systemsicht)  Mobile Sicherheit: kontrollierbar, managed
  • 34. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer-Institut AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: info@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de Twitter: @FraunhoferAISEC