cybersecurity 2013 - design for security
DESCRIPTION
Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in BerlinTRANSCRIPT
Design for SecurityCyber Sicherheit gestalten!
Claudia Eckert
Fraunhofer AISEC TU München
Cyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 2013
1
Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message
Sicherheit durch und Sicherheit von vernetzten IKT-Systemen
Cyber Sicherheit ist
Unsicherheit durch vernetzte und unsichere IKT-Systeme
Cyber Sicherheit: Heute
Bedrohungslage
Cyber-Angriffe nehmen zu
Jedes 4. Unternehmen Opfer von
Cyber-Angriffen
Geänderte Täterstruktur:
Vom spezialisierten Einzeltäter zum
Kriminellen ohne Fachkenntnisse
Produktpiraterie nimmt stark zu
VDMA Studie 2011: über 8 Milliarden
Euro Schaden für Deutsche Maschinen- und Anlagenbauer
Schäden weltweit:290 Mrd. €.
profitabler als globaler Handel mit
Rauschgift.
Sensorik Automobil: über 80 Sensoren
Funkschlüssel, Fernzugriff (GSM)• Drahtlos vernetzte Medizinische Geräte:
Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)
Software-Systeme
Identitätsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)
Bedrohungslage: Beispiele
Flexispy für iPhone, Android
Überwachen von Mobiltelefonen:
Live mithören,
SMS-lesen,
Mails lesen,
Raumüberwachung
Facebook Chat,
WhatsApp Chat
Telefonprotokoll,
GPS Ortung
Beispiel: Mobile Endgeräte
Unsichere Hardware/Sensorik:• Physisch angreifbar
Unsichere Software-Systeme• Manipulierbar
Ungeschützte High-Tech-Produkte• Kopierbar
Faktor Mensch• Sorglos, bequem
Problembereiche
Mangelndes Bewusstsein: 90% der erfolgreichen Angriffe
durch schwache oder mehrfach verwendete Passwörter: zBName, Geburtsdaten, …
Vertrauensselig: Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe in
Sozialen Netzen
Beispiel: Faktor Mensch
Technologie gestalten:
• Sicherheitstechnologie, System-Design
Prozesse gestalten
• Leitlinien und Kultur ‚leben‘
Bildungsmaßnahmen gestalten
• Nachhaltige Sensibilisierung
Politische Rahmen gestalten
• Fordern und Fördern
These: Design4Security erforderlich
Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message
Vertrauenswürdige Hardware
• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung
• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit
• Angriffstolerant: u.a.nicht manipulierbare Hardware
Technologie gestalten
Problem: Produktpiraterie, Know-How-Diebstahl Ungeschützte Elektronik-Bauteile
AISEC-LösungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung von
Hardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlüssel aus Folieneigenschaften erzeugt Zerstörung der Folie: Firmware-Code wird gelöscht Schutz vor Nachbau, Schutz vor Know-How-Abfluss
Beispiel: Produkt- und Know-how-Schutz
Sichere System-Architekturen • Prävention: u.a. Separierung
• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring
• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-Konfigurieren
Beispiele Secure Smart MeterSicheres Handy für ‘alle’
UnsicherePlattformenz.B. Android
Virtual Machine Introspection
Hardware, z.B. HSM, Multi-Core
SicheresBetriebssystem
Technologie gestalten
Problem Datenabfluss, Identitätsdiebstahl,
Schadsoftware in Unternehmen, …
AISEC-LösungTrust | ME: Sicheres Mobiles Endgerät Verschiedene isolierte Bereiche,
schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Geräte-Management,
differenziertes Remote Wipe etc.
Beispiel: Bring your Own Device: aber sicher!
Systeme testen und sicher betreiben
• Hardware Sicherheit u.a. Hardware-Trojaner, Seitenkanäle
• Software-Sicherheit u.a.Code-Analysen, Tainting„Gesundheits“-Checks für Apps
• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,
Technologie gestalten
Problem: Unsichere Apps
Apps: idR zu viele Zugriffsberechtigungen:
Informationslecks und Einschleusen von Schadcode
AISEC-LösungAppRay: Sicherheitschecks für Apps
Detaillierte Analyse der Zugriffe, Aktionen
Abgleich mit eingestellten Sicherheitsregeln
Testen des Verhaltens in simulierter Umgebung
Sichere AppStores autonom aufbauen, verwalten
Beispiel: App-Analyse-Tool
Sicherheitscheck für Android-Apps
Beispiel: App-Analyse-Tool
Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message
Sicherheitsvorgaben:
Festlegen und kommunizieren
Durchgehendes Sicherheitskonzept mit abgestimmten Maßnahmen
Einzelmaßnahmen erzeugen trügerisches Sicherheitsgefühl
Kontrollieren und Sanktionieren
Kontinuierliche Überprüfung
Prozesse gestalten
Bildung gestalten: Zielgruppenspezifisch
Fordern
Haftungsregelungen für
Software, IT Haftpflicht?
Regulieren:
Sicherheits-Testate, Zertifikate fordern!
Fördern
Nationale Sicherheitsindustrie fördern
Incentivierung:
bei nachweislich hohem Schutzniveau
Politische Rahmen gestalten
Gliederung
1. Bedrohungslage
2. Technologie sicher gestalten
3. Prozesse, Bildung und Politik gestalten
4. Take Home Message
Alle gesellschaftlichen Kräfte einbinden
Chancen für die Forschung
Innovative Sicherheitslösungen
Chancen für Unternehmen
Security made in Germany als Label
Marktvorteile durch Know-how Schutz
Chancen für die Politik:
Bildungs- und Industriepolitik gestalten
Cyber Sicherheit gestalten!
Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: [email protected]
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de