Präsentation zum Thema "Innovation braucht Sicherheit - Sicherheit braucht Forschung", gehalten von Prof. Claudia Eckert am 3. September 2012 auf der Fachtagung "Innovation als Schlüssel zu mehr Sicherheit" der Hanns-Seidel-Stiftung in München
Beitrag von Frau Prof. Eckert unter dem Titel "Marktchancen mit IT-Sicherheit" zur Konferenz "Digital Bavaria - die wirtschaftliche Zukunft Bayerns" am 13. Juni 2013 in Nürnberg
Vortrag von Prof. Dr. Claudia Eckert vor Journalisten bei einem Presseworkshop an der TU München.
Frau Prof. Dr. Claudia Eckert leitet den Lehrstuhl für Sicherheit in der Informatik an der TUM und ist Leiterin der Fraunhofer-Einrichtung für angewandte und integrierte Sicherheit AISEC.
www.aisec.fraunhofer.de
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin
Informationen aus der IT-Sicherheitsforschung. Themen wie Cyber-Sicherheit, Industrie 4.0, Mobile Sicherheti und Produktschutz bzw. Schutz von eingebetteten Systemen.
Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren.
Video auf youtube:
https://youtu.be/Sfs-plMfB1s
Blogbeitrag:
https://cbrell.de/blog/informationssicherheitsmanagement/
Prof. Dr. Claus Brell
Präsentation zum Thema "Innovation braucht Sicherheit - Sicherheit braucht Forschung", gehalten von Prof. Claudia Eckert am 3. September 2012 auf der Fachtagung "Innovation als Schlüssel zu mehr Sicherheit" der Hanns-Seidel-Stiftung in München
Beitrag von Frau Prof. Eckert unter dem Titel "Marktchancen mit IT-Sicherheit" zur Konferenz "Digital Bavaria - die wirtschaftliche Zukunft Bayerns" am 13. Juni 2013 in Nürnberg
Vortrag von Prof. Dr. Claudia Eckert vor Journalisten bei einem Presseworkshop an der TU München.
Frau Prof. Dr. Claudia Eckert leitet den Lehrstuhl für Sicherheit in der Informatik an der TUM und ist Leiterin der Fraunhofer-Einrichtung für angewandte und integrierte Sicherheit AISEC.
www.aisec.fraunhofer.de
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin
Informationen aus der IT-Sicherheitsforschung. Themen wie Cyber-Sicherheit, Industrie 4.0, Mobile Sicherheti und Produktschutz bzw. Schutz von eingebetteten Systemen.
Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren.
Video auf youtube:
https://youtu.be/Sfs-plMfB1s
Blogbeitrag:
https://cbrell.de/blog/informationssicherheitsmanagement/
Prof. Dr. Claus Brell
Der EdgeRank steuert bei Facebook, wer was wie oft und wie lange im eigenen Newsfeed zu sehen bekommt. Dieses Prinzip muss man kennen, verstehen und für sich und das eigene Facebook Marketing ausnutzen! Hier gibt es die Anleitung dazu.
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
Gehalten auf der Abschlussveranstaltung der LERNET 2.0 - eLearning Roadshow am 12.11.2009 in Berlin.
Weitere Informationen und Ressourcen zu Wissensmanagement u. E-Learning im Mittelstand: http://www.lernetblog.de
Lecture on IT Security and Technical Data Protection
Part 3: Security Models
Summer term 2016
(in German: 3 Sicherheitsmodelle
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
Der EdgeRank steuert bei Facebook, wer was wie oft und wie lange im eigenen Newsfeed zu sehen bekommt. Dieses Prinzip muss man kennen, verstehen und für sich und das eigene Facebook Marketing ausnutzen! Hier gibt es die Anleitung dazu.
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
Gehalten auf der Abschlussveranstaltung der LERNET 2.0 - eLearning Roadshow am 12.11.2009 in Berlin.
Weitere Informationen und Ressourcen zu Wissensmanagement u. E-Learning im Mittelstand: http://www.lernetblog.de
Lecture on IT Security and Technical Data Protection
Part 3: Security Models
Summer term 2016
(in German: 3 Sicherheitsmodelle
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)
Walter Khom, MBA (bit media e-solutions)Praxistage
Digitalisierung versus Security. Kann die Sicherheit mit der Geschwindigkeit der Digitalisierung noch Schritt halten? Hr. Walter Khom, MBA (bit media e-solutions GmbH).
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld von Reto Zbinden, Rechtsanwalt und CEO, Swiss Infosec AG
https://www.facebook.com/internetbriefing
Ein Selfdefending Network ermöglicht Security Prognaosen zur Früherkennung von Attacken. Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden. Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche Personen sich an unsere Netze anschließen. Ein Selfdefending Network schützt vor infizierten, schlecht gesicherten Geräten durch den Security-Check der angeschlossenen Geräte, durch Aktualität der Antiviren-Signaturen, durch richtige Konfiguration und Einstellung. Zugang zum internen Netz erfolgt erst nach Authentifizierung (entsprechend dem Standard 802.1x), auch durch generelle Authentifizierung und Zuordnung der adäquaten Netzwerkberechtigung abhängig von der Rolle des Benutzers.
Aufgrund der zahlreichen Sicherheitslücken in den IT-Systemen und Unternehmen bleibt die Sicherheitslage in Deutschland weiterhin kritisch. Diesen Lücken stehen eine immer größer werdende Anzahl an Angreifern gegenüber, die diese aus der Anonymität des globalen Cyber-Raums für Ihre Zwecke auszunutzen bereit sind.
Im Fokus der Angreifer stehen, wenn auch aus verschiedenen Motiven heraus, Bürgerinnen und Bürger, staatliche Stellen, Wirtschaftsunternehmen und Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland.
Leider ist es weiterhin so, dass viele Unternehmer diese Lage verharmlosen und immer wieder diesselben Ausreden zu hören sind, trotz IT-Sicherheitsgesetz.
Erfolgreiche IT-Sicherheit erfordert eigenverantwortliches und kompetentes Handeln. Wenngleich dadurch die Sensibilität für dieses Thema sprunghaft zunimmt, ergeben sich private Nutzer – aber auch professionelle Anwender - immer häufiger in einer subjektiven Situation der Machtlosigkeit gegenüber den anscheinend übermächtigen Bedrohungen. Mitunter werden dann in resignativer Stimmung nicht einmal mehr die durchaus verfügbaren und leistbaren Sicherheitsmaßnahmen ausgeschöpft, mit denen schon ein beachtliches Schutzniveau zu erreichen ist, das bis zu 95 Prozent der gängigen Angriffe abwehrt. Damit bleiben aber Potenziale ungenutzt und verschärfen unnötig die IT-Sicherheitslage.
Quelle: https://www.bsi.bund.de
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Security-Anforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security-Aware-Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.
Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt.
Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013
Cyberrisiken in der Zahnarztpraxis - Prophylaxejiricejka
Ein böswilliger Hackerangriff kann die gesamte Zahnarztpraxis lahmlegen. Solche Attacken lassen sich zwar nie ganz vermeiden, Praxisinhaber können sich jedoch wappnen. Das Konzept dazu dürfte Zahnärzten bestens bekannt sein: Der beste Schutz vor Cyberrisiken ist Prophylaxe.
Cloud und Security – Yin und Yang, oder doch eher wie Feuer und Wasser? Vieles in dieser Diskussion sind Halbwahrheiten und Emotionen. Wir halten uns lieber an die Fakten. In einer Stunde beleuchten wir die Risiken und wie Sie heute mit Cloudprodukten Ihre ICT Sicherheit mit wenig Aufwand markant steigern können.
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
Einführung
Wenn Ihr Arbeitsplatz mobil ist, wird Ihr Unternehmen dann mitgerissen?
Die mobilen Geräte, die Ihre Mitarbeiter so gerne in ihrer Freizeit verwenden, sind mittlerweile auch zu Business-Tools geworden, die sie auf Ihre Kosten einsetzen. Dieses Phänomen wird in auch unseren jüngsten Studien deutlich: 65 % der befragten Unternehmen räumen ihren Mitarbeitern Netzwerkzugriff über die eigenen Geräte der Mitarbeiter ein; 80 % der Anwendungen, die diese Mitarbeiter verwenden, befinden sich nicht auf lokalen Rechnern, sondern in der Cloud; und 52 % nutzen nicht nur ein Gerät regelmäßig, sondern drei oder mehr.
Natürlich eröffnen diese mobilen Geräte – wie etwa Smartphones, Laptops und Tablets – neue Horizonte für die mobile Produktivität. Gerade aufgrund ihres mobilen Charakters jedoch schaffen sie auch neue Sicherheitslücken:
Sie riskieren Datenverlust, den Wegfall des Datenschutzes sowie die Untergrabung des Vertrauens in die Sicherheit
Ihres Unternehmensnetzwerks.
Glücklicherweise können Produktivität und Schutz aber auch gleichzeitig mobil sein – wenn Sie umfassend verstehen, welche Risiken bestehen und was Sie zur Minimierung dieser Risiken unternehmen können. In dieser Informationsschrift werden die sechs gravierendsten Bedrohungen für Ihre mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich hilfreiche Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten können, die Ihr Unternehmen braucht.
Wie können Lehrende bei der alltäglichen Nutzung von Computern und der Kommunikation übers Internet die eigene und fremde Privatsphäre besser schützen und warum das wichtig ist. Der zweite Teil behandelt die aktuellen rechtlichen Änderungen im Bildungsbereich.
Ähnlich wie Sicherheitsgipfel - Chancen und Risiken der IT (20)
Die Zukunft ist seit jeher der Antrieb für die Fraunhofer-
Gesellschaft. Unsere Forscherinnen und Forscher stellen die
richtigen Fragen – und finden neue Antworten. Lösungen,
die für die Industrie und für die Gesellschaft unmittelbar
nutzbringend sind. Wie bauen wir intelligente Maschinen,
denen jeder vertraut? Wie lassen sich Medikamente so herstellen,
dass sie schneller und günstiger den Patienten helfen?
Wie sorgen wir verantwortungsvoll dafür, dass sich jeder
sicher fühlt? Und woher wissen wir, welche Idee die richtige
ist? Als Forschende, Unternehmer und Visionäre verstehen
wir uns als Taktgeber von Wissenschaft und Gesellschaft.
Unser Erfolg wird dabei in unserer Innovationskraft sichtbar,
in unseren Partnern und Mitarbeitenden – und nicht zuletzt in
unserer 70-jährigen Geschichte.
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
Standardkomponenten und zunehmende Vernetzung ermöglichen die Optimierung von Entwicklungskosten, Senkung von Betriebs- und Wartungskosten, globale Verfügbarkeit von Produktions- und Instandhaltungsdaten.
Den Vorteilen gegenüber steht eine wachsende Verwundbarkeit aufgrund von unzureichend geschützten Systembestandteilen.
Vortrag auf der Omnicard 2014, Berlin, Großes Forum 8-1, Industrie 4.0 - Produktschutz.
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
In this talk, researchers from Fraunhofer AISEC demonstrate how Android can be made immune against all current local root exploits. The techniques detailed in this talk significantly raise the hurdles for successful potent attacks on Android devices and strongly limit the capabilities of malware. Currently, any app with Internet access can download code via the network at runtime and execute it, without the user or the system noticing. This includes malicious code such as root exploits. These flaws are addressed by the paper presented in this talk, entitled "Native Code Execution Control for Attack Mitigation on Android". The presentation was given at the 3rd Annual Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM'13), colocated with the ACM Conference on Computer and Communications Security 2013 (CCS'13) in Berlin, Germany.
If you are interested in our techreport "On the Effectiveness of Malware Protection on Android" please visit http://ais.ec/techreport
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
In this talk, given at the 8th International Conference on Malicious and Unwanted Software (MALWARE 2013), researchers from Fraunhofer AISEC present their paper "An Antivirus API for Android Malware Recognition".
The proposed API, if added to the main Android distribution or to third-party distributions such as Cyanogenmod, would significantly increase the effectiveness that antivirus software can achieve on Android. Currently, antivirus software on Android is very limited in its capabilities and very easy to circumvent for malware, as demonstrated by our previous work -> http://ais.ec/techreport - ON THE EFFECTIVENESS OF MALWARE PROTECTION ON ANDROID,
AN EVALUATION OF ANDROID ANTIVIRUS APPS by Rafael Fedler. These platform-based antivirus shortcomings are addressed by the paper presented in this talk.
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftFraunhofer AISEC
Vortrag von Frau Prof. Dr. Claudia Eckert auf der Veranstaltung "Sicherheit und Vertrauen im Internet" am 11. Mai 2012 in der Bayerischen Akademie der Wissenschaften in München.
Android OS Security: Risks and Limitations. AISEC Technical ReportFraunhofer AISEC
The number of Androidbased
smartphones is growing rapidly. They are increasingly
used for securitycritical
private and business applications, such as online
banking or to access corporate networks. This makes them a very valuable target
for an adversary. Up to date, significant or largescale
attacks have failed,
but attacks are becoming more sophisticated and successful. Thus, security is of
paramount importance for both private and corporate users. In this paper, we
give an overview of the current state of the art of Android security and present
our extensible automated exploit execution framework. First, we provide a summary
of the Android platform, current attack techniques, and publicly known
exploits. Then, we introduce our extensible exploit execution framework which
is capable of performing automated vulnerability tests of Android smartphones.
It incorporates currently known exploits, but can be easily extended to integrate
future exploits. Finally, we discuss how malware can propagate to Android smartphones
today and in the future, and which possible threats arise. For example,
devicetodevice
infections are possible if physical access is given.
Der Cloud-Leitstand von Fraunhofer AISEC bietet Cloud-Anbietern und Cloud-Nutzern umfassende Monitoring-Werkzeuge, um ihre Prozesse, Daten oder Anwendungen zu überwachen.
1. Chancen und Risiken der IT
Claudia Eckert
Fraunhofer AISEC
TU München
Sicherheitsgipfel der Deutschen Wirtschaft, 15.3.2013
1
2. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
3. IKT ist Schlüsseltechnologie für
alle Branchen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance
4. Zukunft:
Vernetzte Menschen, und Objekte
Mobiles Internet: jederzeit, von überall
Neue Kommunikationsformen: soziale Netze
IKT ist Innovationstreiber
• Gesundheit: z.B. personalisierte Medizin
• Mobilität: z.B. Auto
• Maschinenbau: z.B. Produktion
IKT als Chance
9. Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)
Angriffe aus Distanz und geringes Entdeckungsrisiko
Jedes 4. Unternehmen war in 2011/12 Opfer von
Cyber-Angriffen
Veränderungen in der Täterstruktur:
vom hochspezialisierten Einzeltäter zum
Kriminellen ohne Fachkenntnisse
Tatwaffe Internet ist permanent verfügbar
Große Gewinne sind erzielbar
Schäden weltweit in 2012: 290 Mrd Euro
Bedrohungslage
Der weltweit durch
Cyberkriminalität
verursachte Schaden
beträgt rund
290 Mrd. €.
Damit ist das Geschäft mit
den Daten profitabler als
der globale Handel mit
Marihuana, Kokain und
Heroin zusammen.
11. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche
Passworte, Faktor Mensch, Mobile Endgeräte
1. Sicherheit braucht Forschung
2. Take Home Message
Gliederung
12. 90% der erfolgreichen Angriffe 2012 durch schwache
oder mehrfache verwendete Passwörter: 1 Passwort für
alles!
61 % der verwendeten Passwörter bestehen oder sind
abgeleitet von Namen, Städten, Wörtern und Zahlen
Vorgegebene Passworte werden notiert
Nutzung Sozialer Netze
Viele Daten über einzelne Nutzer verfügbar:
Vorlieben, Geburtsdaten, Namen, ….
Automatisiertes Sammeln dieser Daten und
damit automatisiertes PasswortCracker
Problem: Zugangsdaten, Passworte
13. Technisch und organisatorisch:
Passwort ergänzen durch zusätzlichen Mechanismus
2-Faktor-Identitätsprüfung:
Zusätzliche Sicherheitscodes eingeben
Zusätzliches Token mit PIN-Code
Passwort-Richtlinien:
festlegen, prüfen,
Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-
Grundschutzleitfaden des Bundesamts für Sicherheit in der IT
(BSI)
Passworte: Empfehlungen
14. Mangelndes Bewusstsein, Bequemlichkeit
Wer interessiert sich denn schon für mich?
Einfallstor: Zugriff auf Unternehmensdaten
Lokale Kopien sensitiver Daten: ungeschützt!
Vertrauensselig:
Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort
Freizügige Datenweitergabe über die Behörde,
Geschäftsabläufe, Kunden in Sozialen Netze
Sicherheitsvorgaben
veraltet, unvollständig, unwirksam, ….
Problem: Faktor Mensch
15. Einheitliche Sicherheitsvorgabe:
Festlegen und kontrollieren!
Sicherheitskonzept mit abgestimmten
Maßnahmen
Einzelmaßnahmen erzeugen
trügerisches Sicherheitsgefühl
Schulungen:
Zielgruppenspezifisch:
Leitungsebene wird häufig gezielt
attackiert, targeted attack
Mitarbeiter-Background beachten
Faktor Mensch: Empfehlungen
23. Lösungsansätze:
• Angriffs-resistente(re) Architekturen
• Z.B. Gegen so genannte Seitenkanalangriffe
• Verschleiern von Verhaltens-Charakteristika
• Energie-sparende Verschlüsselung
• Entwicklung robuster
• Hardware-Sicherheitschips
z.B. im Fahrzeug
Forschung:
Sichere Eingebettete Komponenten
24. Problem
Nachbau von High-Tech Komponente
Lösung
Secure Element als Hardwareanker für Firmware
Authentifizierung zwischen Firmware und Hardware
Software Obfuskation für Firmware
Forschung: Konkrete Lösungen
Beispiel Produktschutz
26. Lösungsansätze:
• Isolierung von kritischen Anwendungen
• Monitor-Komponente:
• Erkennt Manipulationen
• Erkennt Einbruchsversuche
• Leitet Abwehrmaßnahmen ein
• Sichere Ein-/Ausgabe
• u.a. kein Phishing
Forschung:
Sichere Software-Architekturen
z.B. L4Linux
mit Android Patches
z.B. Android
Plattform
Hypervisor mit VMI Monitor
Hardware, z.B. HSM, Multi-Core
z.B. Apps
Sicheres
Betriebssystem
27. Sicherheitslösung für Mobile Endgeräte
Trust | me (http://ais.ec/trustme)
Einrichtung verschiedener isolierter
Umgebungen für den privaten und
geschäftlichen Bereich
Einfacher Wechsel zwischen den
Umgebungen
Vertrauliche Daten bleiben vor dem
Zugriff Dritter geschützt.
Sicherheitsrelevante Daten wie PINs und
Passwörter werden verschlüsselt in zB
einer MicroSD-Karte abgelegt.
Forschung: Konkrete Lösungen
Beispiel: Trust | me
29. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
30. IKT ist Innovationsmotor
Energie, Mobilität, Gesundheit, Produktion
IKT ist verletzlich
Verletzlichkeit der Nutzer, der Gesellschaft
IKT benötigt IT-Sicherheit
Jeder kann beitragen: Zugangsdaten, Sensibilisierung,
Gezielte Maßnahmen mit großen Effekten!
Take Home Message
Sicherheit benötigt Forschung
Sichere Hardware, Sichere Software-Architekturen, Analysen
32. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de