Die Präsentation von Claudia Eckert diskutiert die wachsende Bedrohung durch Cyberangriffe, die jedes vierte Unternehmen trifft, und gibt einen Überblick über verschiedene unsichere Systeme, speziell in der vernetzten IT-Infrastruktur. Sie betont die Notwendigkeit von sicherheitsorientiertem Design, Prozessgestaltung sowie Bildung zur Verbesserung der Cyber-Sicherheit und hebt Lösungen wie die Untrennbarkeit von Hardware und Schutzfolien hervor. Abschließend werden politische und gesellschaftliche Maßnahmen gefordert, um innovative Sicherheitslösungen zu fördern und eine sichere digitale Umgebung zu schaffen.

1. Design for Security
Cyber Sicherheit gestalten!
Claudia Eckert
Fraunhofer AISEC
TU München
Cyber Security 2013, 3-te Handelsblattagung
Berlin, 10.6. 2013
1

2. Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message

3. Sicherheit durch und Sicherheit von
vernetzten IKT-Systemen
Cyber Sicherheit ist

4. Unsicherheit durch vernetzte und
unsichere IKT-Systeme
Cyber Sicherheit: Heute

5. Bedrohungslage
Cyber-Angriffe nehmen zu
 Jedes 4. Unternehmen Opfer von
Cyber-Angriffen
 Geänderte Täterstruktur:
 Vom spezialisierten Einzeltäter zum
 Kriminellen ohne Fachkenntnisse
Produktpiraterie nimmt stark zu
 VDMA Studie 2011: über 8 Milliarden
Euro Schaden für Deutsche Maschinen- und Anlagenbauer
Schäden weltweit:
290 Mrd. €.
profitabler als
globaler Handel mit
Rauschgift.

6. Sensorik
 Automobil: über 80 Sensoren
Funkschlüssel, Fernzugriff (GSM)
• Drahtlos vernetzte Medizinische Geräte:
Herzschrittmacher, Blutzuckerpumpe
 Anlagensteuerung: SCADA (Stuxnet)
Software-Systeme
 Identitätsdiebstahl, Zugangsdaten,
 Zugriff auf sensitive Daten
 BYOD: Datenverluste (jede 2-te Firma)
Bedrohungslage: Beispiele

7. Flexispy für iPhone, Android
Überwachen von Mobiltelefonen:
 Live mithören,
 SMS-lesen,
 Mails lesen,
 Raumüberwachung
 Facebook Chat,
 WhatsApp Chat
 Telefonprotokoll,
 GPS Ortung
Beispiel: Mobile Endgeräte

8. Unsichere Hardware/Sensorik:
• Physisch angreifbar
Unsichere Software-Systeme
• Manipulierbar
Ungeschützte High-Tech-Produkte
• Kopierbar
Faktor Mensch
• Sorglos, bequem
Problembereiche

9. Mangelndes Bewusstsein:
 90% der erfolgreichen Angriffe
durch schwache oder mehrfach
verwendete Passwörter: zB
Name, Geburtsdaten, …
Vertrauensselig:
 Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort
 Freizügige Datenweitergabe in
Sozialen Netzen
Beispiel: Faktor Mensch

10. Technologie gestalten:
• Sicherheitstechnologie, System-Design
Prozesse gestalten
• Leitlinien und Kultur ‚leben‘
Bildungsmaßnahmen gestalten
• Nachhaltige Sensibilisierung
Politische Rahmen gestalten
• Fordern und Fördern
These: Design4Security erforderlich

11. Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message

12. Vertrauenswürdige Hardware
• Effiziente Sicherheitsfunktionen: u.a.
energieeffiziente Verschlüsselung
• Fälschungssicherheit: u.a.
nicht clone-bare Identität (PUF),
nachweisliche Malware-Freiheit
• Angriffstolerant: u.a.
nicht manipulierbare Hardware
Technologie gestalten

13. Problem: Produktpiraterie, Know-How-Diebstahl
 Ungeschützte Elektronik-Bauteile
AISEC-Lösung
PEP Schutzfolie http://ais.ec/pep
 Untrennbare Verbindung von
Hardware und Schutzfolie
 Materialeigenschaften der Folie dienen als Sensoren
 Schlüssel aus Folieneigenschaften erzeugt
 Zerstörung der Folie: Firmware-Code wird gelöscht
 Schutz vor Nachbau, Schutz vor Know-How-Abfluss
Beispiel: Produkt- und Know-how-Schutz

14. Sichere System-Architekturen
• Prävention: u.a. Separierung
• Detektion: u.a. Selbst-Schutz:
kontinuierliches Monitoring
• Reaktion: u.a. Selbst-Heilung:
Abschalten, Re-Konfigurieren
Beispiele Secure Smart Meter
Sicheres Handy für ‘alle’
Unsichere
Plattformen
z.B. Android
Virtual Machine Introspection
Hardware, z.B. HSM, Multi-Core
Sicheres
Betriebssystem
Technologie gestalten

15. Problem
 Datenabfluss, Identitätsdiebstahl,
Schadsoftware in Unternehmen, …
AISEC-Lösung
Trust | ME: Sicheres Mobiles Endgerät
 Verschiedene isolierte Bereiche,
schneller, einfacher Wechsel
 Sicherer Speicher, sichere Eingabe
 Sicheres Geräte-Management,
differenziertes Remote Wipe etc.
Beispiel: Bring your Own Device: aber sicher!

16. Systeme testen und sicher betreiben
• Hardware Sicherheit u.a.
Hardware-Trojaner, Seitenkanäle
• Software-Sicherheit u.a.
Code-Analysen, Tainting
„Gesundheits“-Checks für Apps
• Infrastruktur-Sicherheit: u.a.
Cloud-Monitoring,
Technologie gestalten

17. Problem: Unsichere Apps
 Apps: idR zu viele Zugriffsberechtigungen:
 Informationslecks und
Einschleusen von Schadcode
AISEC-Lösung
AppRay: Sicherheitschecks für Apps
 Detaillierte Analyse der Zugriffe, Aktionen
 Abgleich mit eingestellten Sicherheitsregeln
 Testen des Verhaltens in simulierter Umgebung
 Sichere AppStores autonom aufbauen, verwalten
Beispiel: App-Analyse-Tool

18. Sicherheitscheck für Android-Apps
Beispiel: App-Analyse-Tool

19. Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message

20. Sicherheitsvorgaben:
 Festlegen und kommunizieren
 Durchgehendes
Sicherheitskonzept mit
abgestimmten Maßnahmen
 Einzelmaßnahmen erzeugen
trügerisches Sicherheitsgefühl
Kontrollieren und Sanktionieren
 Kontinuierliche Überprüfung
Prozesse gestalten

21. Bildung gestalten: Zielgruppenspezifisch

22. Fordern
 Haftungsregelungen für
Software, IT Haftpflicht?
 Regulieren:
Sicherheits-Testate, Zertifikate fordern!
Fördern
 Nationale Sicherheitsindustrie fördern
 Incentivierung:
bei nachweislich hohem Schutzniveau
Politische Rahmen gestalten

23. Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message

24. Alle gesellschaftlichen Kräfte einbinden
Chancen für die Forschung
 Innovative Sicherheitslösungen
Chancen für Unternehmen
 Security made in Germany als Label
 Marktvorteile durch Know-how Schutz
Chancen für die Politik:
 Bildungs- und Industriepolitik gestalten
Cyber Sicherheit gestalten!

25. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de