Das Dokument behandelt Chancen und Risiken der Informations- und Kommunikationstechnik (IKT) sowie die Notwendigkeit von Forschung in der IT-Sicherheit. Es wird aufgezeigt, dass IKT Schlüsseltechnologie in verschiedenen Bereichen ist, jedoch auch Sicherheitsbedrohungen wie Cyberangriffe und mangelhafte Sicherheitsvorgaben bestehen. Abschließend wird betont, dass jeder zur Sicherheit beitragen kann, indem er Zugangsdaten schützt und sensibilisiert wird.

1. Chancen und Risiken der IT
Claudia Eckert
Fraunhofer AISEC
TU München
Sicherheitsgipfel der Deutschen Wirtschaft, 15.3.2013
1

2. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung

3. IKT ist Schlüsseltechnologie für
alle Branchen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance

4. Zukunft:
 Vernetzte Menschen, und Objekte
 Mobiles Internet: jederzeit, von überall
 Neue Kommunikationsformen: soziale Netze
IKT ist Innovationstreiber
• Gesundheit: z.B. personalisierte Medizin
• Mobilität: z.B. Auto
• Maschinenbau: z.B. Produktion
IKT als Chance

5. Sicherheit durch IKT-Einsatz
Koordinieren, Steuern, Überwachen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance

6. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung

7. IKT benötigt Sicherheit
Sicherheitsbedrohungen
 Daten sind ein schützenswertes Gut:
Manipulationsschutz, Datenvertraulichkeit, Privatsphäre …
 Daten steuern sicherheitskritische Abläufe/Prozesse:
Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...

8.  Unsichere Software?
 Schwache Zugangscodes?
 Mobile Endgeräte?
 Faktor Mensch?
 Fehlende Sicherheitsvorgaben?
 Verletzliche Hardware?
 Cloud-Computing?
Top-Bedrohungen?

9. Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)
Angriffe aus Distanz und geringes Entdeckungsrisiko
 Jedes 4. Unternehmen war in 2011/12 Opfer von
Cyber-Angriffen
Veränderungen in der Täterstruktur:
 vom hochspezialisierten Einzeltäter zum
 Kriminellen ohne Fachkenntnisse
Tatwaffe Internet ist permanent verfügbar
Große Gewinne sind erzielbar
Schäden weltweit in 2012: 290 Mrd Euro
Bedrohungslage
Der weltweit durch
Cyberkriminalität
verursachte Schaden
beträgt rund
290 Mrd. €.
Damit ist das Geschäft mit
den Daten profitabler als
der globale Handel mit
Marihuana, Kokain und
Heroin zusammen.

10. Einfallstore für zunehmende Cyber-Attacken
 Zugangsdaten, Passworte
 Mobile Endgeräte, ….
 Manipulierte Hardware
 Faktor Mensch
 Unsichere Software:
Mail-Server
Bedrohungslage

11. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche
Passworte, Faktor Mensch, Mobile Endgeräte
1. Sicherheit braucht Forschung
2. Take Home Message
Gliederung

12.  90% der erfolgreichen Angriffe 2012 durch schwache
oder mehrfache verwendete Passwörter: 1 Passwort für
alles!
 61 % der verwendeten Passwörter bestehen oder sind
abgeleitet von Namen, Städten, Wörtern und Zahlen
 Vorgegebene Passworte werden notiert
 Nutzung Sozialer Netze
 Viele Daten über einzelne Nutzer verfügbar:
Vorlieben, Geburtsdaten, Namen, ….
 Automatisiertes Sammeln dieser Daten und
damit automatisiertes PasswortCracker
Problem: Zugangsdaten, Passworte

13. Technisch und organisatorisch:
 Passwort ergänzen durch zusätzlichen Mechanismus
 2-Faktor-Identitätsprüfung:
 Zusätzliche Sicherheitscodes eingeben
 Zusätzliches Token mit PIN-Code
 Passwort-Richtlinien:
 festlegen, prüfen,
 Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-
Grundschutzleitfaden des Bundesamts für Sicherheit in der IT
(BSI)
Passworte: Empfehlungen

14. Mangelndes Bewusstsein, Bequemlichkeit
 Wer interessiert sich denn schon für mich?
Einfallstor: Zugriff auf Unternehmensdaten
 Lokale Kopien sensitiver Daten: ungeschützt!
Vertrauensselig:
 Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort
 Freizügige Datenweitergabe über die Behörde,
Geschäftsabläufe, Kunden in Sozialen Netze
Sicherheitsvorgaben
 veraltet, unvollständig, unwirksam, ….
Problem: Faktor Mensch

15. Einheitliche Sicherheitsvorgabe:
 Festlegen und kontrollieren!
 Sicherheitskonzept mit abgestimmten
Maßnahmen
 Einzelmaßnahmen erzeugen
trügerisches Sicherheitsgefühl
Schulungen:
 Zielgruppenspezifisch:
 Leitungsebene wird häufig gezielt
attackiert, targeted attack
 Mitarbeiter-Background beachten
Faktor Mensch: Empfehlungen

16. Milieus, Sinus-Studie 2011

17. Verlust / Diebstahl des Gerätes:
 Alle gespeicherten Daten in Händen Dritter
 E-Mails, Kontakte, SMS, Dokumente
Unbemerkte Manipulation:
 Versenden gespeicherten Daten an Angreifer
 Mithören von Umgebungsgesprächen, Telefonaten
Niedriges Schutzniveau :
 Angriffssoftware im Internet frei verfügbar
 Einfache Infektion des Zielobjektes über bösartige Apps
Problem: Mobile Endgeräte

18. Flexispy für iPhone, Android
Überwachen von Mobiltelefonen:
 Live mithören,
 SMS-lesen,
 Mails lesen,
 Raumüberwachung
 Facebook Chat,
 WhatsApp Chat
 Telefonprotokoll,
 GPS Ortung
Mobile Endgeräte

19. Organisatorisch:
 Regelungen zum Gebrauch von mobilen Geräten
 Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung
 BYOD: dienstlichen Nutzung von privaten Geräten festlegen
Technisch: Gerätekonfiguration u.a.
 Benutzeridentifizierung: SIM/PIN, Gerätepasswort
 Speicherverschlüsselung, eMail-Verschlüsselung
 Fernwartung: MDM, RemoteWipe etc.
 VPN
Mobile Endgeräte: Empfehlungen

20. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung

21. Sichere IKT braucht
innovative Lösungen
Sicherheit braucht Forschung

22. Beispiel: Sensorik (Steuereinheiten) im Auto
 Viele vernetzte Steuereinheiten
 GSM-Modul: Ferndiagnose
Software-Updates
 Problem: fehlende Kontrollen
Manipulieren, Betriebssicherheit stören
Herausforderungen:
 Manipulationsresistente Hardware
 Sichere Komponenten-Identifikation
Problem: Unsichere Sensorik, Komponenten

23. Lösungsansätze:
• Angriffs-resistente(re) Architekturen
• Z.B. Gegen so genannte Seitenkanalangriffe
• Verschleiern von Verhaltens-Charakteristika
• Energie-sparende Verschlüsselung
• Entwicklung robuster
• Hardware-Sicherheitschips
z.B. im Fahrzeug
Forschung:
Sichere Eingebettete Komponenten

24. Problem
Nachbau von High-Tech Komponente
Lösung
Secure Element als Hardwareanker für Firmware
Authentifizierung zwischen Firmware und Hardware
Software Obfuskation für Firmware
Forschung: Konkrete Lösungen
Beispiel Produktschutz

25. Beispiel: Web-Anwendungen
 Problem: Programmierung
Einschleusen von Viren, Trojanern
 Problem: mangelhafte Kontrollen
Identitätsdiebstahl, Datenzugriffe
Herausforderungen:
 Zuverlässige Abschottungen (Kaskadeneffekte)
 Selbst-Überwachung (Aufbau eines ‘Immunsystems’)
 Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
Problem: Unsichere Software

26. Lösungsansätze:
• Isolierung von kritischen Anwendungen
• Monitor-Komponente:
• Erkennt Manipulationen
• Erkennt Einbruchsversuche
• Leitet Abwehrmaßnahmen ein
• Sichere Ein-/Ausgabe
• u.a. kein Phishing
Forschung:
Sichere Software-Architekturen
z.B. L4Linux
mit Android Patches
z.B. Android
Plattform
Hypervisor mit VMI Monitor
Hardware, z.B. HSM, Multi-Core
z.B. Apps
Sicheres
Betriebssystem

27. Sicherheitslösung für Mobile Endgeräte
Trust | me (http://ais.ec/trustme)
 Einrichtung verschiedener isolierter
Umgebungen für den privaten und
geschäftlichen Bereich
 Einfacher Wechsel zwischen den
Umgebungen
 Vertrauliche Daten bleiben vor dem
Zugriff Dritter geschützt.
 Sicherheitsrelevante Daten wie PINs und
Passwörter werden verschlüsselt in zB
einer MicroSD-Karte abgelegt.
Forschung: Konkrete Lösungen
Beispiel: Trust | me

28. Sicherheitscheck für Android-Apps
Forschung: Konkrete Lösungen
Beispiel: AppRay

29. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung

30. IKT ist Innovationsmotor
Energie, Mobilität, Gesundheit, Produktion
IKT ist verletzlich
Verletzlichkeit der Nutzer, der Gesellschaft
IKT benötigt IT-Sicherheit
Jeder kann beitragen: Zugangsdaten, Sensibilisierung,
Gezielte Maßnahmen mit großen Effekten!
Take Home Message
Sicherheit benötigt Forschung
Sichere Hardware, Sichere Software-Architekturen, Analysen

31. Bitte beachten
Sinnvolle Integration, überprüfte Wirksamkeit

32. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de