cybersecurity 2013 - design for security

Download Cybersecurity 2013 - Design for Security

Post on 15-Jan-2015

241 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

TRANSCRIPT

  • 1. Design for SecurityCyber Sicherheit gestalten!Claudia EckertFraunhofer AISECTU MnchenCyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 20131

2. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message 3. Sicherheit durch und Sicherheit vonvernetzten IKT-SystemenCyber Sicherheit ist 4. Unsicherheit durch vernetzte undunsichere IKT-SystemeCyber Sicherheit: Heute 5. BedrohungslageCyber-Angriffe nehmen zu Jedes 4. Unternehmen Opfer vonCyber-Angriffen Genderte Tterstruktur: Vom spezialisierten Einzeltter zum Kriminellen ohne FachkenntnisseProduktpiraterie nimmt stark zu VDMA Studie 2011: ber 8 MilliardenEuro Schaden fr Deutsche Maschinen- und AnlagenbauerSchden weltweit:290 Mrd. .profitabler alsglobaler Handel mitRauschgift. 6. Sensorik Automobil: ber 80 SensorenFunkschlssel, Fernzugriff (GSM) Drahtlos vernetzte Medizinische Gerte:Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)Software-Systeme Identittsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)Bedrohungslage: Beispiele 7. Flexispy fr iPhone, Androidberwachen von Mobiltelefonen: Live mithren, SMS-lesen, Mails lesen, Raumberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungBeispiel: Mobile Endgerte 8. Unsichere Hardware/Sensorik: Physisch angreifbarUnsichere Software-Systeme ManipulierbarUngeschtzte High-Tech-Produkte KopierbarFaktor Mensch Sorglos, bequemProblembereiche 9. Mangelndes Bewusstsein: 90% der erfolgreichen Angriffedurch schwache oder mehrfachverwendete Passwrter: zBName, Geburtsdaten, Vertrauensselig: Anruf von System-Administrator: ich bentige dringend Ihr Passwort Freizgige Datenweitergabe inSozialen NetzenBeispiel: Faktor Mensch 10. Technologie gestalten: Sicherheitstechnologie, System-DesignProzesse gestalten Leitlinien und Kultur lebenBildungsmanahmen gestalten Nachhaltige SensibilisierungPolitische Rahmen gestalten Fordern und FrdernThese: Design4Security erforderlich 11. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message 12. Vertrauenswrdige Hardware Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlsselung Flschungssicherheit: u.a.nicht clone-bare Identitt (PUF),nachweisliche Malware-Freiheit Angriffstolerant: u.a.nicht manipulierbare HardwareTechnologie gestalten 13. Problem: Produktpiraterie, Know-How-Diebstahl Ungeschtzte Elektronik-BauteileAISEC-LsungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung vonHardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlssel aus Folieneigenschaften erzeugt Zerstrung der Folie: Firmware-Code wird gelscht Schutz vor Nachbau, Schutz vor Know-How-AbflussBeispiel: Produkt- und Know-how-Schutz 14. Sichere System-Architekturen Prvention: u.a. Separierung Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring Reaktion: u.a. Selbst-Heilung:Abschalten, Re-KonfigurierenBeispiele Secure Smart MeterSicheres Handy fr alleUnsicherePlattformenz.B. AndroidVirtual Machine IntrospectionHardware, z.B. HSM, Multi-CoreSicheresBetriebssystemTechnologie gestalten 15. Problem Datenabfluss, Identittsdiebstahl,Schadsoftware in Unternehmen, AISEC-LsungTrust | ME: Sicheres Mobiles Endgert Verschiedene isolierte Bereiche,schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Gerte-Management,differenziertes Remote Wipe etc.Beispiel: Bring your Own Device: aber sicher! 16. Systeme testen und sicher betreiben Hardware Sicherheit u.a.Hardware-Trojaner, Seitenkanle Software-Sicherheit u.a.Code-Analysen, TaintingGesundheits-Checks fr Apps Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,Technologie gestalten 17. Problem: Unsichere Apps Apps: idR zu viele Zugriffsberechtigungen: Informationslecks undEinschleusen von SchadcodeAISEC-LsungAppRay: Sicherheitschecks fr Apps Detaillierte Analyse der Zugriffe, Aktionen Abgleich mit eingestellten Sicherheitsregeln Testen des Verhaltens in simulierter Umgebung Sichere AppStores autonom aufbauen, verwaltenBeispiel: App-Analyse-Tool 18. Sicherheitscheck fr Android-AppsBeispiel: App-Analyse-Tool 19. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message 20. Sicherheitsvorgaben: Festlegen und kommunizieren DurchgehendesSicherheitskonzept mitabgestimmten Manahmen Einzelmanahmen erzeugentrgerisches SicherheitsgefhlKontrollieren und Sanktionieren Kontinuierliche berprfungProzesse gestalten 21. Bildung gestalten: Zielgruppenspezifisch 22. Fordern Haftungsregelungen frSoftware, IT Haftpflicht? Regulieren:Sicherheits-Testate, Zertifikate fordern!Frdern Nationale Sicherheitsindustrie frdern Incentivierung:bei nachweislich hohem SchutzniveauPolitische Rahmen gestalten 23. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message 24. Alle gesellschaftlichen Krfte einbindenChancen fr die Forschung Innovative SicherheitslsungenChancen fr Unternehmen Security made in Germany als Label Marktvorteile durch Know-how SchutzChancen fr die Politik: Bildungs- und Industriepolitik gestaltenCyber Sicherheit gestalten! 25. Vielen Dank fr Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MnchenTU Mnchen, Lehrstuhl fr Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

Recommended

View more >