SlideShare ist ein Scribd-Unternehmen logo
Chancen und Risiken der IT
Claudia Eckert
Fraunhofer AISEC
TU München
Sicherheitsgipfel der Deutschen Wirtschaft, 15.3.2013
1
1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
IKT ist Schlüsseltechnologie für
alle Branchen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance
Zukunft:
 Vernetzte Menschen, und Objekte
 Mobiles Internet: jederzeit, von überall
 Neue Kommunikationsformen: soziale Netze
IKT ist Innovationstreiber
• Gesundheit: z.B. personalisierte Medizin
• Mobilität: z.B. Auto
• Maschinenbau: z.B. Produktion
IKT als Chance
Sicherheit durch IKT-Einsatz
Koordinieren, Steuern, Überwachen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance
1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
IKT benötigt Sicherheit
Sicherheitsbedrohungen
 Daten sind ein schützenswertes Gut:
Manipulationsschutz, Datenvertraulichkeit, Privatsphäre …
 Daten steuern sicherheitskritische Abläufe/Prozesse:
Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...
 Unsichere Software?
 Schwache Zugangscodes?
 Mobile Endgeräte?
 Faktor Mensch?
 Fehlende Sicherheitsvorgaben?
 Verletzliche Hardware?
 Cloud-Computing?
Top-Bedrohungen?
Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)
Angriffe aus Distanz und geringes Entdeckungsrisiko
 Jedes 4. Unternehmen war in 2011/12 Opfer von
Cyber-Angriffen
Veränderungen in der Täterstruktur:
 vom hochspezialisierten Einzeltäter zum
 Kriminellen ohne Fachkenntnisse
Tatwaffe Internet ist permanent verfügbar
Große Gewinne sind erzielbar
Schäden weltweit in 2012: 290 Mrd Euro
Bedrohungslage
Der weltweit durch
Cyberkriminalität
verursachte Schaden
beträgt rund
290 Mrd. €.
Damit ist das Geschäft mit
den Daten profitabler als
der globale Handel mit
Marihuana, Kokain und
Heroin zusammen.
Einfallstore für zunehmende Cyber-Attacken
 Zugangsdaten, Passworte
 Mobile Endgeräte, ….
 Manipulierte Hardware
 Faktor Mensch
 Unsichere Software:
Mail-Server
Bedrohungslage
1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche
Passworte, Faktor Mensch, Mobile Endgeräte
1. Sicherheit braucht Forschung
2. Take Home Message
Gliederung
 90% der erfolgreichen Angriffe 2012 durch schwache
oder mehrfache verwendete Passwörter: 1 Passwort für
alles!
 61 % der verwendeten Passwörter bestehen oder sind
abgeleitet von Namen, Städten, Wörtern und Zahlen
 Vorgegebene Passworte werden notiert
 Nutzung Sozialer Netze
 Viele Daten über einzelne Nutzer verfügbar:
Vorlieben, Geburtsdaten, Namen, ….
 Automatisiertes Sammeln dieser Daten und
damit automatisiertes PasswortCracker
Problem: Zugangsdaten, Passworte
Technisch und organisatorisch:
 Passwort ergänzen durch zusätzlichen Mechanismus
 2-Faktor-Identitätsprüfung:
 Zusätzliche Sicherheitscodes eingeben
 Zusätzliches Token mit PIN-Code
 Passwort-Richtlinien:
 festlegen, prüfen,
 Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-
Grundschutzleitfaden des Bundesamts für Sicherheit in der IT
(BSI)
Passworte: Empfehlungen
Mangelndes Bewusstsein, Bequemlichkeit
 Wer interessiert sich denn schon für mich?
Einfallstor: Zugriff auf Unternehmensdaten
 Lokale Kopien sensitiver Daten: ungeschützt!
Vertrauensselig:
 Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort
 Freizügige Datenweitergabe über die Behörde,
Geschäftsabläufe, Kunden in Sozialen Netze
Sicherheitsvorgaben
 veraltet, unvollständig, unwirksam, ….
Problem: Faktor Mensch
Einheitliche Sicherheitsvorgabe:
 Festlegen und kontrollieren!
 Sicherheitskonzept mit abgestimmten
Maßnahmen
 Einzelmaßnahmen erzeugen
trügerisches Sicherheitsgefühl
Schulungen:
 Zielgruppenspezifisch:
 Leitungsebene wird häufig gezielt
attackiert, targeted attack
 Mitarbeiter-Background beachten
Faktor Mensch: Empfehlungen
Milieus, Sinus-Studie 2011
Verlust / Diebstahl des Gerätes:
 Alle gespeicherten Daten in Händen Dritter
 E-Mails, Kontakte, SMS, Dokumente
Unbemerkte Manipulation:
 Versenden gespeicherten Daten an Angreifer
 Mithören von Umgebungsgesprächen, Telefonaten
Niedriges Schutzniveau :
 Angriffssoftware im Internet frei verfügbar
 Einfache Infektion des Zielobjektes über bösartige Apps
Problem: Mobile Endgeräte
Flexispy für iPhone, Android
Überwachen von Mobiltelefonen:
 Live mithören,
 SMS-lesen,
 Mails lesen,
 Raumüberwachung
 Facebook Chat,
 WhatsApp Chat
 Telefonprotokoll,
 GPS Ortung
Mobile Endgeräte
Organisatorisch:
 Regelungen zum Gebrauch von mobilen Geräten
 Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung
 BYOD: dienstlichen Nutzung von privaten Geräten festlegen
Technisch: Gerätekonfiguration u.a.
 Benutzeridentifizierung: SIM/PIN, Gerätepasswort
 Speicherverschlüsselung, eMail-Verschlüsselung
 Fernwartung: MDM, RemoteWipe etc.
 VPN
Mobile Endgeräte: Empfehlungen
1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
Sichere IKT braucht
innovative Lösungen
Sicherheit braucht Forschung
Beispiel: Sensorik (Steuereinheiten) im Auto
 Viele vernetzte Steuereinheiten
 GSM-Modul: Ferndiagnose
Software-Updates
 Problem: fehlende Kontrollen
Manipulieren, Betriebssicherheit stören
Herausforderungen:
 Manipulationsresistente Hardware
 Sichere Komponenten-Identifikation
Problem: Unsichere Sensorik, Komponenten
Lösungsansätze:
• Angriffs-resistente(re) Architekturen
• Z.B. Gegen so genannte Seitenkanalangriffe
• Verschleiern von Verhaltens-Charakteristika
• Energie-sparende Verschlüsselung
• Entwicklung robuster
• Hardware-Sicherheitschips
z.B. im Fahrzeug
Forschung:
Sichere Eingebettete Komponenten
Problem
Nachbau von High-Tech Komponente
Lösung
Secure Element als Hardwareanker für Firmware
Authentifizierung zwischen Firmware und Hardware
Software Obfuskation für Firmware
Forschung: Konkrete Lösungen
Beispiel Produktschutz
Beispiel: Web-Anwendungen
 Problem: Programmierung
Einschleusen von Viren, Trojanern
 Problem: mangelhafte Kontrollen
Identitätsdiebstahl, Datenzugriffe
Herausforderungen:
 Zuverlässige Abschottungen (Kaskadeneffekte)
 Selbst-Überwachung (Aufbau eines ‘Immunsystems’)
 Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
Problem: Unsichere Software
Lösungsansätze:
• Isolierung von kritischen Anwendungen
• Monitor-Komponente:
• Erkennt Manipulationen
• Erkennt Einbruchsversuche
• Leitet Abwehrmaßnahmen ein
• Sichere Ein-/Ausgabe
• u.a. kein Phishing
Forschung:
Sichere Software-Architekturen
z.B. L4Linux
mit Android Patches
z.B. Android
Plattform
Hypervisor mit VMI Monitor
Hardware, z.B. HSM, Multi-Core
z.B. Apps
Sicheres
Betriebssystem
Sicherheitslösung für Mobile Endgeräte
Trust | me (http://ais.ec/trustme)
 Einrichtung verschiedener isolierter
Umgebungen für den privaten und
geschäftlichen Bereich
 Einfacher Wechsel zwischen den
Umgebungen
 Vertrauliche Daten bleiben vor dem
Zugriff Dritter geschützt.
 Sicherheitsrelevante Daten wie PINs und
Passwörter werden verschlüsselt in zB
einer MicroSD-Karte abgelegt.
Forschung: Konkrete Lösungen
Beispiel: Trust | me
Sicherheitscheck für Android-Apps
Forschung: Konkrete Lösungen
Beispiel: AppRay
1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
IKT ist Innovationsmotor
Energie, Mobilität, Gesundheit, Produktion
IKT ist verletzlich
Verletzlichkeit der Nutzer, der Gesellschaft
IKT benötigt IT-Sicherheit
Jeder kann beitragen: Zugangsdaten, Sensibilisierung,
Gezielte Maßnahmen mit großen Effekten!
Take Home Message
Sicherheit benötigt Forschung
Sichere Hardware, Sichere Software-Architekturen, Analysen
Bitte beachten
Sinnvolle Integration, überprüfte Wirksamkeit
Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de

Weitere ähnliche Inhalte

Andere mochten auch

Sergio
SergioSergio
Fotos clonación
Fotos clonaciónFotos clonación
Fotos clonación
pabloyjorge
 
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
pastoralvocacionaljerico
 
Íconos mundiales de noche, Majed Khalil
Íconos mundiales de noche, Majed KhalilÍconos mundiales de noche, Majed Khalil
Íconos mundiales de noche, Majed Khalil
Majed Khalil
 
TESTIMONIAL semere b September 2016
TESTIMONIAL semere b September 2016TESTIMONIAL semere b September 2016
TESTIMONIAL semere b September 2016
Sue Davies
 
G Lumsden testimonial August 2015
G Lumsden testimonial August 2015G Lumsden testimonial August 2015
G Lumsden testimonial August 2015
Sue Davies
 
2 donati, metropolitana e riqualificazione urbana a napoli
2   donati, metropolitana e riqualificazione urbana a napoli2   donati, metropolitana e riqualificazione urbana a napoli
2 donati, metropolitana e riqualificazione urbana a napoliBiennale spazio pubblico
 
Izurieta
IzurietaIzurieta
Izurieta
teresa_espinoza
 
Introducción
IntroducciónIntroducción
Introducción
Hans Eduardo Lanchipa
 
Tema 4 actividad 2
Tema 4   actividad 2Tema 4   actividad 2
Tema 4 actividad 2
Vane López Ruiz
 
Tarea 3.
Tarea 3.Tarea 3.
Tarea 3.
mariarlira
 
Conociendo el Apetito de Riesgo- final
Conociendo el Apetito de Riesgo- finalConociendo el Apetito de Riesgo- final
Conociendo el Apetito de Riesgo- final
Angel Luis Rivera Landa
 
alexandra pereira testimonial oct 2016
alexandra pereira testimonial oct 2016 alexandra pereira testimonial oct 2016
alexandra pereira testimonial oct 2016
Sue Davies
 
Facebook EdgeRank: Kennen, verstehen, ausnutzen
Facebook EdgeRank: Kennen, verstehen, ausnutzenFacebook EdgeRank: Kennen, verstehen, ausnutzen
Facebook EdgeRank: Kennen, verstehen, ausnutzen
Björn Tantau
 
Poliedros y cuerpos redondos jorgeypablo
Poliedros y cuerpos redondos jorgeypabloPoliedros y cuerpos redondos jorgeypablo
Poliedros y cuerpos redondos jorgeypablo
Pablo Huerta
 
Grupo 9
Grupo 9Grupo 9
Grupo 9
Etrasa
 
CONTRATACIONES ESTATALES
CONTRATACIONES ESTATALESCONTRATACIONES ESTATALES
CONTRATACIONES ESTATALES
Hans Eduardo Lanchipa
 
Prácticas expresión plástica
Prácticas expresión plásticaPrácticas expresión plástica
Prácticas expresión plástica
Tania García Martín
 
07 observation
07 observation07 observation
07 observation
JY LEE
 

Andere mochten auch (20)

Sergio
SergioSergio
Sergio
 
Fotos clonación
Fotos clonaciónFotos clonación
Fotos clonación
 
Aules 2.0
Aules 2.0Aules 2.0
Aules 2.0
 
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
ACTIVIDADES PASTORAL VOCACIONAL DE JERICÓ 2012
 
Íconos mundiales de noche, Majed Khalil
Íconos mundiales de noche, Majed KhalilÍconos mundiales de noche, Majed Khalil
Íconos mundiales de noche, Majed Khalil
 
TESTIMONIAL semere b September 2016
TESTIMONIAL semere b September 2016TESTIMONIAL semere b September 2016
TESTIMONIAL semere b September 2016
 
G Lumsden testimonial August 2015
G Lumsden testimonial August 2015G Lumsden testimonial August 2015
G Lumsden testimonial August 2015
 
2 donati, metropolitana e riqualificazione urbana a napoli
2   donati, metropolitana e riqualificazione urbana a napoli2   donati, metropolitana e riqualificazione urbana a napoli
2 donati, metropolitana e riqualificazione urbana a napoli
 
Izurieta
IzurietaIzurieta
Izurieta
 
Introducción
IntroducciónIntroducción
Introducción
 
Tema 4 actividad 2
Tema 4   actividad 2Tema 4   actividad 2
Tema 4 actividad 2
 
Tarea 3.
Tarea 3.Tarea 3.
Tarea 3.
 
Conociendo el Apetito de Riesgo- final
Conociendo el Apetito de Riesgo- finalConociendo el Apetito de Riesgo- final
Conociendo el Apetito de Riesgo- final
 
alexandra pereira testimonial oct 2016
alexandra pereira testimonial oct 2016 alexandra pereira testimonial oct 2016
alexandra pereira testimonial oct 2016
 
Facebook EdgeRank: Kennen, verstehen, ausnutzen
Facebook EdgeRank: Kennen, verstehen, ausnutzenFacebook EdgeRank: Kennen, verstehen, ausnutzen
Facebook EdgeRank: Kennen, verstehen, ausnutzen
 
Poliedros y cuerpos redondos jorgeypablo
Poliedros y cuerpos redondos jorgeypabloPoliedros y cuerpos redondos jorgeypablo
Poliedros y cuerpos redondos jorgeypablo
 
Grupo 9
Grupo 9Grupo 9
Grupo 9
 
CONTRATACIONES ESTATALES
CONTRATACIONES ESTATALESCONTRATACIONES ESTATALES
CONTRATACIONES ESTATALES
 
Prácticas expresión plástica
Prácticas expresión plásticaPrácticas expresión plástica
Prácticas expresión plástica
 
07 observation
07 observation07 observation
07 observation
 

Ähnlich wie Sicherheitsgipfel - Chancen und Risiken der IT

Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
lernet
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
Sven Wohlgemuth
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
Praxistage
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
Werner Buhre
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Fraunhofer AISEC
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis  - ProphylaxeCyberrisiken in der Zahnarztpraxis  - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
jiricejka
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Fraunhofer AISEC
 
Integriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile GeraeteIntegriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile Geraete
Sven Wohlgemuth
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
Daniel Lohninger
 

Ähnlich wie Sicherheitsgipfel - Chancen und Risiken der IT (20)

Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis  - ProphylaxeCyberrisiken in der Zahnarztpraxis  - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
Integriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile GeraeteIntegriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile Geraete
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
 

Mehr von Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
Fraunhofer AISEC
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
Fraunhofer AISEC
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
Fraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
Fraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
Fraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
Fraunhofer AISEC
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
Fraunhofer AISEC
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
Fraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
Fraunhofer AISEC
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
Fraunhofer AISEC
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
Fraunhofer AISEC
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
Fraunhofer AISEC
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
Fraunhofer AISEC
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
Fraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
Fraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
Fraunhofer AISEC
 
Product Protection
Product ProtectionProduct Protection
Product Protection
Fraunhofer AISEC
 
Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012
Fraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
 
Product Protection
Product ProtectionProduct Protection
Product Protection
 
Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012Cloud-Leitstand CeBIT 2012
Cloud-Leitstand CeBIT 2012
 

Sicherheitsgipfel - Chancen und Risiken der IT

  • 1. Chancen und Risiken der IT Claudia Eckert Fraunhofer AISEC TU München Sicherheitsgipfel der Deutschen Wirtschaft, 15.3.2013 1
  • 2. 1. IKT als Chance 2. Sicherheitsbedrohungen 3. Sicherheit betrifft jeden: Problembereiche und Empfehlungen 4. Sicherheit braucht Forschung 5. Take Home Message Gliederung
  • 3. IKT ist Schlüsseltechnologie für alle Branchen Energie • Umwelt • Mobilität • Sicherheit • Gesundheit IKT als Chance
  • 4. Zukunft:  Vernetzte Menschen, und Objekte  Mobiles Internet: jederzeit, von überall  Neue Kommunikationsformen: soziale Netze IKT ist Innovationstreiber • Gesundheit: z.B. personalisierte Medizin • Mobilität: z.B. Auto • Maschinenbau: z.B. Produktion IKT als Chance
  • 5. Sicherheit durch IKT-Einsatz Koordinieren, Steuern, Überwachen Energie • Umwelt • Mobilität • Sicherheit • Gesundheit IKT als Chance
  • 6. 1. IKT als Chance 2. Sicherheitsbedrohungen 3. Sicherheit betrifft jeden: Problembereiche und Empfehlungen 4. Sicherheit braucht Forschung 5. Take Home Message Gliederung
  • 7. IKT benötigt Sicherheit Sicherheitsbedrohungen  Daten sind ein schützenswertes Gut: Manipulationsschutz, Datenvertraulichkeit, Privatsphäre …  Daten steuern sicherheitskritische Abläufe/Prozesse: Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...
  • 8.  Unsichere Software?  Schwache Zugangscodes?  Mobile Endgeräte?  Faktor Mensch?  Fehlende Sicherheitsvorgaben?  Verletzliche Hardware?  Cloud-Computing? Top-Bedrohungen?
  • 9. Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..) Angriffe aus Distanz und geringes Entdeckungsrisiko  Jedes 4. Unternehmen war in 2011/12 Opfer von Cyber-Angriffen Veränderungen in der Täterstruktur:  vom hochspezialisierten Einzeltäter zum  Kriminellen ohne Fachkenntnisse Tatwaffe Internet ist permanent verfügbar Große Gewinne sind erzielbar Schäden weltweit in 2012: 290 Mrd Euro Bedrohungslage Der weltweit durch Cyberkriminalität verursachte Schaden beträgt rund 290 Mrd. €. Damit ist das Geschäft mit den Daten profitabler als der globale Handel mit Marihuana, Kokain und Heroin zusammen.
  • 10. Einfallstore für zunehmende Cyber-Attacken  Zugangsdaten, Passworte  Mobile Endgeräte, ….  Manipulierte Hardware  Faktor Mensch  Unsichere Software: Mail-Server Bedrohungslage
  • 11. 1. IKT als Chance 2. Sicherheitsbedrohungen 3. Sicherheit betrifft jeden: Problembereiche Passworte, Faktor Mensch, Mobile Endgeräte 1. Sicherheit braucht Forschung 2. Take Home Message Gliederung
  • 12.  90% der erfolgreichen Angriffe 2012 durch schwache oder mehrfache verwendete Passwörter: 1 Passwort für alles!  61 % der verwendeten Passwörter bestehen oder sind abgeleitet von Namen, Städten, Wörtern und Zahlen  Vorgegebene Passworte werden notiert  Nutzung Sozialer Netze  Viele Daten über einzelne Nutzer verfügbar: Vorlieben, Geburtsdaten, Namen, ….  Automatisiertes Sammeln dieser Daten und damit automatisiertes PasswortCracker Problem: Zugangsdaten, Passworte
  • 13. Technisch und organisatorisch:  Passwort ergänzen durch zusätzlichen Mechanismus  2-Faktor-Identitätsprüfung:  Zusätzliche Sicherheitscodes eingeben  Zusätzliches Token mit PIN-Code  Passwort-Richtlinien:  festlegen, prüfen,  Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT- Grundschutzleitfaden des Bundesamts für Sicherheit in der IT (BSI) Passworte: Empfehlungen
  • 14. Mangelndes Bewusstsein, Bequemlichkeit  Wer interessiert sich denn schon für mich? Einfallstor: Zugriff auf Unternehmensdaten  Lokale Kopien sensitiver Daten: ungeschützt! Vertrauensselig:  Anruf von „System-Administrator“: … ich benötige dringend Ihr Passwort  Freizügige Datenweitergabe über die Behörde, Geschäftsabläufe, Kunden in Sozialen Netze Sicherheitsvorgaben  veraltet, unvollständig, unwirksam, …. Problem: Faktor Mensch
  • 15. Einheitliche Sicherheitsvorgabe:  Festlegen und kontrollieren!  Sicherheitskonzept mit abgestimmten Maßnahmen  Einzelmaßnahmen erzeugen trügerisches Sicherheitsgefühl Schulungen:  Zielgruppenspezifisch:  Leitungsebene wird häufig gezielt attackiert, targeted attack  Mitarbeiter-Background beachten Faktor Mensch: Empfehlungen
  • 17. Verlust / Diebstahl des Gerätes:  Alle gespeicherten Daten in Händen Dritter  E-Mails, Kontakte, SMS, Dokumente Unbemerkte Manipulation:  Versenden gespeicherten Daten an Angreifer  Mithören von Umgebungsgesprächen, Telefonaten Niedriges Schutzniveau :  Angriffssoftware im Internet frei verfügbar  Einfache Infektion des Zielobjektes über bösartige Apps Problem: Mobile Endgeräte
  • 18. Flexispy für iPhone, Android Überwachen von Mobiltelefonen:  Live mithören,  SMS-lesen,  Mails lesen,  Raumüberwachung  Facebook Chat,  WhatsApp Chat  Telefonprotokoll,  GPS Ortung Mobile Endgeräte
  • 19. Organisatorisch:  Regelungen zum Gebrauch von mobilen Geräten  Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung  BYOD: dienstlichen Nutzung von privaten Geräten festlegen Technisch: Gerätekonfiguration u.a.  Benutzeridentifizierung: SIM/PIN, Gerätepasswort  Speicherverschlüsselung, eMail-Verschlüsselung  Fernwartung: MDM, RemoteWipe etc.  VPN Mobile Endgeräte: Empfehlungen
  • 20. 1. IKT als Chance 2. Sicherheitsbedrohungen 3. Sicherheit betrifft jeden: Problembereiche und Empfehlungen 4. Sicherheit braucht Forschung 5. Take Home Message Gliederung
  • 21. Sichere IKT braucht innovative Lösungen Sicherheit braucht Forschung
  • 22. Beispiel: Sensorik (Steuereinheiten) im Auto  Viele vernetzte Steuereinheiten  GSM-Modul: Ferndiagnose Software-Updates  Problem: fehlende Kontrollen Manipulieren, Betriebssicherheit stören Herausforderungen:  Manipulationsresistente Hardware  Sichere Komponenten-Identifikation Problem: Unsichere Sensorik, Komponenten
  • 23. Lösungsansätze: • Angriffs-resistente(re) Architekturen • Z.B. Gegen so genannte Seitenkanalangriffe • Verschleiern von Verhaltens-Charakteristika • Energie-sparende Verschlüsselung • Entwicklung robuster • Hardware-Sicherheitschips z.B. im Fahrzeug Forschung: Sichere Eingebettete Komponenten
  • 24. Problem Nachbau von High-Tech Komponente Lösung Secure Element als Hardwareanker für Firmware Authentifizierung zwischen Firmware und Hardware Software Obfuskation für Firmware Forschung: Konkrete Lösungen Beispiel Produktschutz
  • 25. Beispiel: Web-Anwendungen  Problem: Programmierung Einschleusen von Viren, Trojanern  Problem: mangelhafte Kontrollen Identitätsdiebstahl, Datenzugriffe Herausforderungen:  Zuverlässige Abschottungen (Kaskadeneffekte)  Selbst-Überwachung (Aufbau eines ‘Immunsystems’)  Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ ) Problem: Unsichere Software
  • 26. Lösungsansätze: • Isolierung von kritischen Anwendungen • Monitor-Komponente: • Erkennt Manipulationen • Erkennt Einbruchsversuche • Leitet Abwehrmaßnahmen ein • Sichere Ein-/Ausgabe • u.a. kein Phishing Forschung: Sichere Software-Architekturen z.B. L4Linux mit Android Patches z.B. Android Plattform Hypervisor mit VMI Monitor Hardware, z.B. HSM, Multi-Core z.B. Apps Sicheres Betriebssystem
  • 27. Sicherheitslösung für Mobile Endgeräte Trust | me (http://ais.ec/trustme)  Einrichtung verschiedener isolierter Umgebungen für den privaten und geschäftlichen Bereich  Einfacher Wechsel zwischen den Umgebungen  Vertrauliche Daten bleiben vor dem Zugriff Dritter geschützt.  Sicherheitsrelevante Daten wie PINs und Passwörter werden verschlüsselt in zB einer MicroSD-Karte abgelegt. Forschung: Konkrete Lösungen Beispiel: Trust | me
  • 28. Sicherheitscheck für Android-Apps Forschung: Konkrete Lösungen Beispiel: AppRay
  • 29. 1. IKT als Chance 2. Sicherheitsbedrohungen 3. Sicherheit betrifft jeden: Problembereiche und Empfehlungen 4. Sicherheit braucht Forschung 5. Take Home Message Gliederung
  • 30. IKT ist Innovationsmotor Energie, Mobilität, Gesundheit, Produktion IKT ist verletzlich Verletzlichkeit der Nutzer, der Gesellschaft IKT benötigt IT-Sicherheit Jeder kann beitragen: Zugangsdaten, Sensibilisierung, Gezielte Maßnahmen mit großen Effekten! Take Home Message Sicherheit benötigt Forschung Sichere Hardware, Sichere Software-Architekturen, Analysen
  • 31. Bitte beachten Sinnvolle Integration, überprüfte Wirksamkeit
  • 32. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: claudia.eckert@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de