Cybersecurity 2013 - Design for Security

33 %
67 %
Information about Cybersecurity 2013 - Design for Security

Published on June 25, 2013

Author: FraunhoferAISEC

Source: slideshare.net

Description

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

Design for SecurityCyber Sicherheit gestalten!Claudia EckertFraunhofer AISECTU MünchenCyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 20131

Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message

Sicherheit durch und Sicherheit vonvernetzten IKT-SystemenCyber Sicherheit ist

Unsicherheit durch vernetzte undunsichere IKT-SystemeCyber Sicherheit: Heute

BedrohungslageCyber-Angriffe nehmen zu Jedes 4. Unternehmen Opfer vonCyber-Angriffen Geänderte Täterstruktur: Vom spezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseProduktpiraterie nimmt stark zu VDMA Studie 2011: über 8 MilliardenEuro Schaden für Deutsche Maschinen- und AnlagenbauerSchäden weltweit:290 Mrd. €.profitabler alsglobaler Handel mitRauschgift.

Sensorik Automobil: über 80 SensorenFunkschlüssel, Fernzugriff (GSM)• Drahtlos vernetzte Medizinische Geräte:Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)Software-Systeme Identitätsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)Bedrohungslage: Beispiele

Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungBeispiel: Mobile Endgeräte

Unsichere Hardware/Sensorik:• Physisch angreifbarUnsichere Software-Systeme• ManipulierbarUngeschützte High-Tech-Produkte• KopierbarFaktor Mensch• Sorglos, bequemProblembereiche

Mangelndes Bewusstsein: 90% der erfolgreichen Angriffedurch schwache oder mehrfachverwendete Passwörter: zBName, Geburtsdaten, …Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe inSozialen NetzenBeispiel: Faktor Mensch

Technologie gestalten:• Sicherheitstechnologie, System-DesignProzesse gestalten• Leitlinien und Kultur ‚leben‘Bildungsmaßnahmen gestalten• Nachhaltige SensibilisierungPolitische Rahmen gestalten• Fordern und FördernThese: Design4Security erforderlich

Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message

Vertrauenswürdige Hardware• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit• Angriffstolerant: u.a.nicht manipulierbare HardwareTechnologie gestalten

Problem: Produktpiraterie, Know-How-Diebstahl Ungeschützte Elektronik-BauteileAISEC-LösungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung vonHardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlüssel aus Folieneigenschaften erzeugt Zerstörung der Folie: Firmware-Code wird gelöscht Schutz vor Nachbau, Schutz vor Know-How-AbflussBeispiel: Produkt- und Know-how-Schutz

Sichere System-Architekturen• Prävention: u.a. Separierung• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-KonfigurierenBeispiele Secure Smart MeterSicheres Handy für ‘alle’UnsicherePlattformenz.B. AndroidVirtual Machine IntrospectionHardware, z.B. HSM, Multi-CoreSicheresBetriebssystemTechnologie gestalten

Problem Datenabfluss, Identitätsdiebstahl,Schadsoftware in Unternehmen, …AISEC-LösungTrust | ME: Sicheres Mobiles Endgerät Verschiedene isolierte Bereiche,schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Geräte-Management,differenziertes Remote Wipe etc.Beispiel: Bring your Own Device: aber sicher!

Systeme testen und sicher betreiben• Hardware Sicherheit u.a.Hardware-Trojaner, Seitenkanäle• Software-Sicherheit u.a.Code-Analysen, Tainting„Gesundheits“-Checks für Apps• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,Technologie gestalten

Problem: Unsichere Apps Apps: idR zu viele Zugriffsberechtigungen: Informationslecks undEinschleusen von SchadcodeAISEC-LösungAppRay: Sicherheitschecks für Apps Detaillierte Analyse der Zugriffe, Aktionen Abgleich mit eingestellten Sicherheitsregeln Testen des Verhaltens in simulierter Umgebung Sichere AppStores autonom aufbauen, verwaltenBeispiel: App-Analyse-Tool

Sicherheitscheck für Android-AppsBeispiel: App-Analyse-Tool

Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message

Sicherheitsvorgaben: Festlegen und kommunizieren DurchgehendesSicherheitskonzept mitabgestimmten Maßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlKontrollieren und Sanktionieren Kontinuierliche ÜberprüfungProzesse gestalten

Bildung gestalten: Zielgruppenspezifisch

Fordern Haftungsregelungen fürSoftware, IT Haftpflicht? Regulieren:Sicherheits-Testate, Zertifikate fordern!Fördern Nationale Sicherheitsindustrie fördern Incentivierung:bei nachweislich hohem SchutzniveauPolitische Rahmen gestalten

Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message

Alle gesellschaftlichen Kräfte einbindenChancen für die Forschung Innovative SicherheitslösungenChancen für Unternehmen Security made in Germany als Label Marktvorteile durch Know-how SchutzChancen für die Politik: Bildungs- und Industriepolitik gestaltenCyber Sicherheit gestalten!

Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

Add a comment