• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Cyber-Sicherheit - Newsletter 2013
 

Cyber-Sicherheit - Newsletter 2013

on

  • 374 views

Informationen aus der IT-Sicherheitsforschung. Themen wie Cyber-Sicherheit, Industrie 4.0, Mobile Sicherheti und Produktschutz bzw. Schutz von eingebetteten Systemen.

Informationen aus der IT-Sicherheitsforschung. Themen wie Cyber-Sicherheit, Industrie 4.0, Mobile Sicherheti und Produktschutz bzw. Schutz von eingebetteten Systemen.

Statistics

Views

Total Views
374
Views on SlideShare
374
Embed Views
0

Actions

Likes
0
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Cyber-Sicherheit - Newsletter 2013 Cyber-Sicherheit - Newsletter 2013 Document Transcript

    • F ra u n h ofer - I nstit u t f ü r A n g ewandte u nd I nte g rierte S ic h er h eit Newsletter 2013 Cyber-Sicherheit NEWSTICKER +++ NEWSTICKER VERTRAUE NIEMANDEM !? ZWO, DREI, 4.0 Kurznachrichten rund um das Fraunhofer AISEC. Lässt sich Vertrauen in die IKT nach NSA & Co. zurückgewinnen? IT-Sicherheit in der Industrie 4.0.    Seite 2 Seite 3 Seite 4 vorzugehen. Viele direkt einsetzbare Lösungen sind bereits vorhanden und auch die Politik zeigt u. a. im Koalitionsvertrag ihre Bereitschaft, in Sicherheitstechnologie und den Kompetenz­ usbau zu investieren. Ein weiteres Thema, das uns im nächsten Jahr a beschäftigen wird, ist Industrie 4.0. Darunter versteht man den komplexen Transformationsprozess hin zu einer durchgehenden Vernetzung von Produkten, Maschinen, Anlagen und Automationsprozessen sowie Diensten. Dazu finden Sie interessante Lektüre ab Seite 4. Liebe Leserinnen und Leser, Auch in diesem Newsletter werden Ihnen wie gewohnt einige innovative Lösungen der Zeit, zurückzublicken. Aus Sicht der IT-Sicherheit lässt sich sagen, dass ein sehr ereignisreiches Jahr 2013 hinter uns liegt. Die Spionageaffären fremder Ge- aus unserem Hause vorgestellt. Unser Analyse-Tool App-Ray sorgt dafür, dass keine Apps auf mobile Endgeräte in einem Unternehmensumfeld kommen, die gegen die im Unternehmen geltenden Sicherheitsrichtlinien verstoßen (Seite 7). Die bei uns entwickelte Schutzfolie für Elektronische Geräte, PEP, schützt eingebettete Systeme vor Manipulation und Nachbau – eine wichtige Innovation im Kampf gegen Pro- heimdienste haben die Schlagzeilen do- duktpiraterie (Seite 8). miniert und für große Verunsicherung in Im kommenden Jahr werden wir weiterhin mit unserer Expertise Unternehmen da- Gesellschaft, Wirtschaft und Politik ge- bei unterstützen, ihre Produkte und Dienste sicherer zu machen, um so ihre Innova- sorgt. Das Vertrauen in die Informations- tionsstärke nachhaltig zu bewahren. Dazu werden wir gemeinsam mit der Baye- und Kommunikationstechnik als Innova- rischen Staatsregierung unsere Kompetenzen und Angebote gezielt weiter tionsmotor für die Wirtschaft auf dem ausbauen und in einem IT-Sicherheitszentrum an unserem Standort Garching bün- Weg in die Digitalisierung, hat sehr stark deln. Hier werden wir unser Sicherheitstest- und Analyselabors weiter ausbauen, gelitten. Der Artikel ab Seite 3 dieses um Unternehmen ein noch breiteres Spektrum an Sicherheitsuntersuchungen mit Newsletter zeigt Ihnen aber auch, dass neuesten Testumgebungen und Analysemethoden sowie Schulungen anbieten zu diese Vertrauenskrise sogar neue Chan- können. Das nächste Jahr verspricht also, spannend zu werden. cen bietet, denn aus Sicht der angewandten IT-Sicherheitsforschung sind die Ich wünsche Ihnen besinnliche Weihnachtstage und ein sicheres Jahr 2014. Voraussetzungen sehr gut, sogar noch gestärkt aus der aktuellen Situation her- Viel Vergnügen bei der Lektüre Ihre Ich glaub‘, es hackt! DER RÖNTGENBLICK DA IST PEP DRIN Sicherheitskonzepte für die Industrie 4.0. Analyse-Tool App-Ray prüft Apps auf Herz und Nieren. Schutzfolie für elektronische Geräte und gegen Produktpiraten.    Seite 5 Seite 7 Seite 9 www.aisec.fraunhofer.de kurz vor Jahresende ist es traditionell an
    • Dies ist kein Spiel! IT-Sicherheit wird in Garching institutionalisiert Das Fraunhofer AISEC am Standort Garching-Hochbrück ist am 1.12. 2013 in ein eigenständiges Fraunhofer-Institut überführt worden. Damit folgte der Fraunhofer-Senat den Empfehlungen der externen Gutachter, die der Fraunhofer Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) im Juni ein exzellentes wissenschaftliches Profil und eine hervorragende Zusammenarbeit mit der Industrie fotolia © Alterfalter Im Auftrag der im Verband der Deut- bescheinigten. Im Zuge der Digitalisierungsstrategie »Digi- schen Automatenindustrie (VDAI e.V.) tal Bavaria« des bayerischen Wirtschaftsministeriums soll das AISEC als Kompetenz- organisierten Unternehmen hat das zentrum für IT-Sicherheit von Europäischer Bedeutung weiter ausgebaut werden. Fraunhofer-Institut für Angewandte Vollständige Meldung unter http://ais.ec/Institut und Integrierte Sicherheit (AISEC) ein Sicherheitskonzept zum Schutz der Hardware-Sicherheitsevalutierung Buchungsdaten von Geldspielgeräten Das Fraunhofer AISEC analysiert die Hard- erarbeitet. Das Konzept sieht nun erst- ware-Sicherheit von Produkten und Syste- mals einen leistungsfähigen elektro- men. In einem hochmodernen Hardware-Si- nischen Manipulationsschutz dieser cherheitslabor werden dazu Angriffsanalysen Daten vor, der dem neuesten Stand in White- und Black-Box Szenarien durchgeführt. Das Leistungsspektrum im Analyse- der Technik entspricht. bereich erstreckt sich von einfacheren praktischen Angriffen, wie dem Auslesen von Vollständige Meldung unter Speichern, bis zu sehr komplexen Seitenkanalanalysen oder Fehlerangriffen. http://ais.ec/VDAI Übrigens: Projekte zur Sicherheitsevaluierung und Verbesserung mit Industriepart- FRAUNHOFER RESEARCH INSTITUTION FOR A P P L I E D A N D I N T E G R AT E D S E C U R I T Y A I S E C nternehmen aus dem Indus- e Behörden bei der Absiche- Produkte und Angebote. Für ofer AISEC qualitativ hoch- Erhöhung der Verlässlichkeit, tionssicherheit von IT-basier- 90 wissenschaftliche und tarbeiter des Fraunhofer AIS- onzepte und Lösungen. Die modernsten Geräten ausge- nern unterliegen der Geheimhaltung. MOBILE SECURITY Sicherheit mobiler Endgeräte im Cyberraum n und analysieren im Kun- Weitere Infos unter http://ais.ec/hws Leitfaden zur kten, Hardware-Komponen- en und Anwendungen. Zu AISEC gehört die Absicherung Sicherheit mo- ebenso wie sichere Soft- Die Umstellung auf die digi- für Behörden biler Geräte, Dienste und An- ELSTERONLINE biler Endgeräte dded Systems) ebenso wie die tale Steuererklärung mit Hilfe ütte ng 229986 173 86 299 e@aisec.fraunhofer.de obile fotolia und KMU. Der Leitfaden wurde im Rahmen der länderoffenen Arbeitsgruppe Cybersicherheit der IMK durch Fraunhofer AISEC erstellt. Mitgewirkt haben die Länder Bayern (Federführung), Baden- www.elsteronline.de von Elster Formular soll das Ausfüllen leichter und den Versand ans Finanzamt Digital Star 2014 FOCUS sucht den Digital Star 2014! Gewinnen Sie den Award für digitale Innovationen aus Deutschland. papierloser machen. Und natürlich soll es auch s ­ icher sein. Deshalb unterstützt das Fraunhofer A ­ ISEC das Dienstleistungsportal der Finanzverwaltung bei der Java-Script-Sicherheit. In Kooperation mit Presenting Partner www.focus.de/digitalstar Württemberg, Hamburg, Hessen, Me- Das am Fraunhofer AISEC cklenburg-Vorpommern, Rheinlandp- entwickelte Analyse-Tool falz, Sachsen-Anhalt und Thüringen. App-Ray ist für den Focus Digital Star 2014 nominiert. http://ais.ec/Leitfaden Der Preis wird jährlich an herausragende digitale Innova- Cloud Migration tion aus Deutschland verliehen. AISEC drückt dem App-Ray-Entwickler Team um Dr. Julian Schütte, die AISEC in den Medien Daumen, dass es klappt. Alles, was man über die Cloud wissen Die Sicherheitsexperten des Fraunhofer AISEC muss. Das Buch, an dessen Entstehung waren im Jahr 2013 mit Beiträgen und Facharti- Infos zum Digital Star unter AISEC-Experten mitwirkten, gibt es keln zum Thema IT-Sicherheit in zahlreichen Zei- http://ais.ec/digstar auch als Webedition unter tungen, Zeitschriften und Blogs vertreten. Infos zu Appr-Ray unter www.cloud-migration.eu Auswahl unter http://ais.ec/pressespiegel http://ais.ec/appray 2 www.aisec.fraunhofer.de R AISEC
    • Cyber-Sicherheit – eine Vision für Europa V ertra u en in die IK T mu ss wieder steigen Ende November 2013 wählte der Verein Deutsche Sprache den Spruch »Yes, we scan!« zur Schlagzeile des Jahres 2013 – in Anlehnung an den uns allen bekannten Slogan des Präsidentschafts- Internetnutzer verlieren das Vertrauen Wie schätzen Sie die Sicherheit Ihrer persönlichen Daten im Internet ein? kandidaten Barack Obama im US-Wahl- 3% kampf 2008. Doch der Satz wurde nicht nur für den feinen Wortwitz zum Besten 5% 42% 5% 29% 16% des Jahres gewählt, sondern weil er DAS bestimmende Thema des Jahres auf- 07/2013 2011 greift – die NSA-Spionage-Affäre. Bür- 11/2013 ger, Verwaltungen und Unternehmen sorgen sich seit Bekanntwerden der Spionageangriffe durch ausländische Ge- 66% 55% 79% heimdienste noch stärker um ihre Daten, insbesondere auch vor dem Hintergrund der Wirtschaftsspionage – Sehr sicher/sicher eher unsicher/völlig unsicher weiß nicht Qulle: BITKOM, Dezember 2013 (http://www.bitkom.org/78135_78131.aspx . Abrufdatum, 10.12.2013) Chance für die deutsche eine BITKOM-Umfrage aus dem Nov. opa? Die Forderungen nach deutschem 2013 zeigt den dramatischen Vertrau- bzw. europäischem Routing hat eine ­IKT-Wirtschaft ensverlust. Während die Politik versucht, Diskussion eröffnet, an deren Ende die Eine digitale Vision für Europa muss da- verloren gegangenes Vertrauen auf dem Chance steht, mit der Entwicklung von rauf abzielen, durch die Umsetzung der Weg von internationalen Abkommen Standards und Lösungen »made in Ger- Digitalen Agenda die vorhandenen Stär- (No-Spy) zurück zu gewinnen, schlägt many« oder »made in Europe« das Ver- ken der Wirtschaftsnationen Europas die IT-Wirtschaft technologische Lö- trauen der Gesellschaft und der Wirt- weiter auszubauen und zu stärken. sungen vor. So sollen Mails mit Deut- schaft in die Informations- und Schlüsselbranchen sind neben der IKT-In- schen Absender und Empfänger nur Kommunikationstechnik (IKT) nachhaltig dustrie besonders die Automobil- und über Deutsche Router geleitet werden, zu stärken und Kräf- oder im europäischen Kontext soll die te in der IT-Sicher- Ein wichtiger Schritt in die stär- stark mittelständisch Weiterleitung (das Routing) auf den heitsindustrie und in kere digitale Souveränität wäre geprägte Maschinen Schengen-Raum beschränkt werden. der Politik zu mobili- die Entwicklung von vertrau- und Anlagenbau, aber Cloud-Anbieter propagieren eine EU- sieren. Dies erfor- enswürdigen IT-Sicherheits- auch die Energiewirt- oder Deutschland-Cloud und die Fach- dert aber auch ein Bausteinen, deren Vertrauens- schaft und der Ge- medien schreiben Nachrufe auf die Pu- konsequentes Inve- würdigkeit von neutralen sundheitssektor. Diese blic Cloud. In der Tat ein ereignisreiches stieren in die Ent- Stellen überprüft wird. Branchen benötigen Jahr aus Sicht der IT- und Datensicher- wicklung nationaler heit. Was können wir aus diesem Jahr IT-Sicherheits-Schlüsseltechnologien, wie Produkte und einheitliche Regelungen. ins nächste nehmen? Was können wir vertrauenswürdige Hardware-Bausteine, Politische Anstrengungen in Bezug auf lernen? Welche Chancen bieten die Er- sichere eingebettete Betriebssysteme solche Regelungen, wie einheitliche Da- eignisse der letzten Monate für die Digi- oder auch vertrauenswürdige Lösungen tenschutzrichtlinien, sind wichtig, rei- tale Wirtschaft in Deutschland und Eur- für eine sichere Identität. chen aber nicht aus. Gemäß dem be- vertrauenswürdige IKT- kannten Spruch »Vertrauen ist gut, Cyber Security Kontrolle ist besser« müssen deshalb die Unter dem Begriff Cyber-Sicherheit oder auch Cyber Security werden allgemein Forschungs- und Entwicklungsausgaben die Herausforderungen in Bezug auf die IT-Sicherheit zusammengefasst, die sich im Bereich der IT-Sicherheitstechnologie aus der Vernetzung von IKT-Systemen und den zunehmenden Abhängigkeiten sowohl auf nationaler als auch auf euro- von vernetzten, sicherheitskritischen Infrastrukturen ergeben. Cyber-Sicherheit päischer Ebene substantiell erhöht wer- beschreibt die Ausweitung der Aufgaben der klassischen IT-Sicherheit auf diese den. Ein wichtiger Schritt in die stärkere komplexen, auch mit der physischen Welt sehr stark vernetzten Systeme. digitale Souveränität wäre die Entwicklung von vertrauenswürdigen IT-Sicher- 3 www.aisec.fraunhofer.de Zuliefererindustrie, der
    • heits-Bausteinen, deren Vertrauenswür- opa weiterhin ein großer Teil der benöti- die Deutsche IKT-Wirtschaft eröffnet sich digkeit von neutralen Stellen überprüft gten IKT auf dem Weltmarkt eingekauft dadurch die große Chance, im Jahr wird. Diese müssten dann standardmä- werden müssen. Ein starkes Digitales Eu- 2014 gestärkt aus der IT-Vertrauenskrise ßig in Produkte integriert und über ver- ropa muss deshalb verbindliche Mindest- hervorzugehen. Sie kann mit qualitativ trauenswürdige Software-Kerne ange- standards entwickeln sowie technische hochwertigen Schlüsseltechnologien in- bunden werden, so dass sie als Methoden erarbeiten, um die Einhaltung ternationale Standards mitbestimmen verlässliche, nicht umgehbare Vertrau- der Mindeststandards zu prüfen, bzw. und frühzeitig in den Markt einführen. ensanker, z. B. als integrierte Sicher- die Hersteller von Produkten müssten heitschips, nutzbar sind, jedoch die ge- nachweisen, dass die Einhaltung der wohnten Abläufe nicht behindern. Standards von einer unabhängigen In- Jedoch wird auch in einem digitalen Eur- stanz geprüft und bestätigt wurde. Für Prof. Dr. Claudia Eckert, Leiterin Frauhofer AISEC n IT-Sicherheit in Industrie 4.0 D ie revo l u tionä re E volu tion Auch wenn der Begriff Industrie 4.0 sehr vielschichtig ist und noch viele Fragen, wie die Frage der IT-Sicherheit, unbeantwortet sind, ist bereits heute eine Veränderung der Industrielandschaft in Deutschland bemerkbar. Eine Transformation findet statt, in deren Mittelpunkt die intelligente Vernetzung von Produkten, Maschinen und Produktions- und auch der Wartungsprozesse steht. Die vormals strikte Trennung zwischen den ehemals getrennten IKT-Bereichen der Produktions-IT und der Business-IT wird aufgehoben; die Welten wachsen zusammen. Dadurch werden in der Industrie 4.0 IT-Systeme mit ganz unterschiedlichen Sicherheitsanforderungen verbunden. Daraus ergeben sich neue Verwundbarkeiten und miteinander zu kommunizieren. Sichere dringen und Schäden auch in der physischen Welt zu verursachen. So und überprüfbare Identitäten von Ma- können sich beispielsweise Computer-Viren, die man von Desktop-PCs schinen, der Schutz vor gefälschten und kennt, auf Produktionsanlagen ausbreiten, oder Maschinen werden nachgemachten Produkten und die si- zur Fernwartung freigegeben, ohne diese Zugänge ausreichend abzu- chere Maschine-zu-Maschine Kommuni- sichern. kation sind neue und wichtige Herausforderungen für die IT-Sicherheit in der Viele Komponenten dieser komplex ver- nende, einfache Absicherung be- Industrie 4.0. Benötigt werden neue Si- netzten Systeme sind beschränkt hin- schränkter, vernetzter Komponenten im cherheitstechniken, wie vertrauenswür- sichtlich ihrer Speicherkapazität oder Automatisierungs- und Produktionsum- dige Betriebssystem-Kerne für die be- auch ihrer Rechenfähigkeit und ihrem feld geeignet. Das heißt, bekannte Tech- schränkten Komponenten, oder aber Energieverbrauch. Sie müssen rund um niken wie Viren-Scanner, Firewalls, VPNs auch leichtgewichtige, aber dennoch die Uhr ihre Aufgaben erfüllen, oft unter oder SSL/TLS-verschlüsselte Kommunika- starke Sicherheitsmechanismen, um Einhaltung strikter zeitlicher Vorgaben. tion zwischen Browsern und Servern, M ­ anipulationen zu verhindern bzw. un- Sie sind zudem häufig zertifiziert, so dass oder aber auch Techniken zur Identifika- schädlich zu machen. es in der Regel nicht möglich ist, im Re- tion von agierenden Nutzern, wie Zu- gelbetrieb Sicherheits-Patches oder Up- gangscodes und Berechtigungsausweise Maschinen und Anlagen in der Industrie dates, wie aus der Business-IT bekannt, sind nicht ohne weiteres im Produktions- sind für einen langjährigen Einsatz oft in aufzuspielen, oder die Komponenten und Automatisierungs-Umfeld einsetz- der Größenordnung von zwanzig Jahren neu zu starten, oder neu zu konfigurie- bar. Die Komponenten in Industrie 4.0 und darüber hinaus vorgesehen. Die Mi- ren. Klassische Sicherheitstechnologie, Szenarien müssen in der Lage sein, sich gration von der heutigen industriellen wie man sie in heutiger Business-IT fin- untereinander sicher zu identifizieren, Produktion auf die nächste Generation det, sind nicht für die ressourcenscho- Manipulationen zu erkennen und sicher muss also schrittweise, in weiten Be- 4 www.aisec.fraunhofer.de den Angreifern eröffnen sich neue Möglichkeiten, in Systeme einzu-
    • reichen eher evolutionär als revolutionär spiel auch ein durchgängiges Berechti- nischer Ebene – erforscht und umge- gestaltet werden, auch wenn man bei gungsmanagement. Damit wird klar setzt werden. Die Bereitstellung von Si- Industrie 4.0 von einer Revolution u. a. in geregelt, wer welche Aktionen an dem cherheitsbausteinen, wie beispielsweise Bezug auf die Gestaltung des gesamten jeweiligen System vornehmen darf. Ne- vertrauenswürdige Hardware-Module, Produkt-Lebenszyklus ben dem Schutz vor manipulationsgeschützte Firmware, ausgeht. Das Nachrü- Sichere und überprüfbare Angriffen über das In- Krypto-Boxen oder auch Sicherheits- sten von industriellen Identitäten von Maschinen, ternet muss auch die Gateways zur Absicherung von Schnitt- Komponenten um Si- der Schutz vor gefälschten Sicherheit bei physika- stellen und Kommunikationsverbin- cherheitsmaßnahmen, und nachgemachten Produk- lischen Angriffen ge- dungen zusammen mit Regelwerken wie etwa mit krypto- ten und die sichere Maschine- währleistet sein. Dies und Vorgaben für deren sichere Integra- graphischen Verfahren zu-Maschine Kommunikation lässt sich durch die In- tion in bestehende Systemlandschaften zum vertraulichen und sind neue und wichtige Her- tegration von sicheren könnten pragmatische erste Schritte auf manipulationsgeschütz- ausforderungen für die IT-Si- Hardware-Bausteinen dem Weg zur sicheren Industrie 4.0 cherheit in der Industrie 4.0. erreichen, so dass sich sein. Aber auch die sichere Integration ein System beispiels- mobiler Geräte und die einfache Bedien- ten Datenaustausch ist keine Standardaufga- be. So müssen zum einen die Sicher- weise nicht mehr booten lässt, wenn barkeit der Sicherheitstechnologien ge- heitslösungen mit den bestehenden eine manipulierte oder gefälschte Kom- hören zu den zentralen Herausforde- Standards der Systeme kompatibel sein. ponente in das System eingebracht wur- rungen der nächsten Jahre. Fraunhofer Zum anderen laufen die Industriesy- de. Die Gewährleistung der Daten- und AISEC hat in all diesen Bereichen bereits steme meist unter sehr strikten Echtzeit- Informationssicherheit wird ein entschei- Lösungsansätze entwickelt, die in einem bedingungen. Das Zeitfenster für die dender Faktor für den Erfolg von Indus- nächsten Schritt mit Industriepartnern Ver- und Entschlüsselung der Daten oder trie 4.0 sein. Existierende Technologien ausgearbeitet und zur Marktreife ge- die Authentifizierung von Nutzern und müssen an die neuen Anforderungen bracht werden sollen. Geräten ist äußerst klein. Erforderlich ist angepasst und innovative, vertrauens- die Entwicklung von Sicherheits-Konzep- würdige Schutzkonzepte – sowohl auf ten für alle Ebenen: Dazu zählt zum Bei- organisatorischer als auch auf tech- n Ich glaub, es hackt! S ich erh eitskonzepte fü r die Ind ustrie 4.0 Die Vernetzungen von Maschinen und Produktionsanlagen untereinander und mit den Büronetzen der Unternehmen bilden das Nervensystem unserer Industrie der Zukunft. Sicherheitstechnisch sind heutige Geräte und Systeme darauf allerdings nicht vorbereitet. Für das »Internet der Dinge« müssen alle Komponenten vernetzter Industrieanlagen umfassend geschützt werden – gegen Cyberkriminelle ebenso wie gegen physische Angriffe auf das darin enthaltene Know-how. Im Security-Labor der Fraunhofer AISEC hacken sich die Forscher durch Schwachstellen industrieller IT-Komponenten und entwickeln Schutzmaßnahmen für die sichere Weiterentwicklung von Industriesteuerungen in Richtung Industrie 4.0. Der Greifer nimmt aus der Vorratskiste gleich nebenan wird das Geschehen mit AISEC, über eine Backdoor in das Steu- das nächste Bauteil auf, fährt herum einem zufriedenen Lächeln registriert. ersystem des Industrieroboters gehackt zum Arbeitstisch und positioniert es mil- Der Stillstand des Roboterarmes ist in und ihn während des laufenden Ferti- limetergenau an seinem Bestimmungs- diesem Fall keine unerwünschte Produk- gungsprozess über dessen Online-An- ort. Im Sekundentakt erledigt der Ro- tionspanne, sondern das Ergebnis er- bindung sabotiert. boterarm immer exakt gleich und ohne folgreicher Forschertätigkeit von Sicher- Pausen seinen Arbeitsauftrag. Plötzlich heitsexperten. Vom Internet-PC aus hat Szenarien wie diese werden im Security- bleibt er inmitten seines Arbeitsflusses sich Dr. Martin Hutle, Leiter der Projekt- Labor von Fraunhofer AISEC bald schon stehen – der gerade noch eifrig arbei- gruppe »Sicherheit in der Industrieauto- alltäglich sein. Das Forscherteam erwei- tende Industrieroboter steht still. Am mation« am Fraunhofer-Institut für An- tert dazu gerade die Ausstattung seiner Bildschirmarbeitsplatz im selben Raum gewandte und Integrierte Sicherheit Test- und Demonstrationsumgebung mit 5 www.aisec.fraunhofer.de Prof. Dr. Claudia Eckert, Leiterin Frauhofer AISEC
    • Robotiksystemen wie sie etwa in der Au- nicht als Revolution, sondern vielmehr dings nicht ohne weiteres in den indus- tomobilindustrie standardmäßig im Ein- als Evolution stattfinden. »Die Heraus- triellen Kontext übertragen. »Zum einen satz sind. Bereits seit Jahren entwickeln forderung ist daher auch, Konzepte, müssen die Sicherheitslösungen mit den die Forscher Methoden und Techniken Maßnahmen und Technologien auf der bestehenden Standards der Systeme zum Schutz von Know-how und zur Si- Grundlage der heute üblichen Standards kompatibel sein. Zum anderen laufen cherheit eingebetteter Komponenten. und Systeme zu entwickeln, um ausrei- die Industriesysteme unter sehr strikten Dabei nutzen die Forscher das Labor, um chend Sicherheit der Systeme für einen Echtzeitbedingungen. Das Zeitfenster Angriffe auf die einzelnen Steuerungs- Einsatz in der Industrie 4.0 zu errei- für die Ver- und Entschlüsselung der Da- und Kommunikationskomponenten von chen«, so Hutle. ten oder die Authentifizierung von Nut- Industrieanlagen durchzuführen und zern und Geräten ist äußerst klein«, so Gegenmaßnahmen zu entwickeln. Mit Die Voraussetzung zur Lösung dieser Hutle. Zudem ist die Sicherheit der der Erweiterung des Labors lässt sich Aufgabenstellung ist zunächst einmal Kommunikation zwischen den Industrie- künftig auch das Zusammenspiel der das Wissen um die Schwachstellen der komponenten nur ein Bereich der zu lösenden Aufgabenstellung. Die Fraunhofer-Forscher arbeiten an SecurityKonzepten für alle Ebenen: Dazu zählt zum Beispiel auch ein durchgängiges Berechtigungsmanagement. Damit wird klar geregelt, wer welche Aktionen an dem jeweiligen Industriesystem vornehmen darf und kann. Neben dem Schutz unterschiedlichen Komponenten und vor Angriffen über das Internet muss gungsprozessen analysieren und testen. Systeme. Im Security-Labor werden die auch die Sicherheit bei physikalischen Komponenten dazu unterschiedlichsten Angriffen gewährleistet sein. Durch Ver- Das Ziel der Forscher ist es, die sicher- Hackerangriffen ausgesetzt und gezielt wendung von Hardware Security Modu- heitstechnischen Voraussetzungen zu nach möglichen Sicherheitslücken der len etwa kann erreicht werden, dass ein schaffen für die Industrie 4.0. »Sicher- Geräte gesucht. Gleichzeitig dient die System sich nicht mehr booten lässt, heitskonzepte und Standards nach dem Testumgebung der Fraunhofer AISEC zur wenn eine manipulierte oder gefälschte Postulat von Security by Design für neue Evaluation der Wirksamkeit der entwi- Komponente in das System eingebracht Maschinen und Anlagen zu entwerfen, ckelten Sicherheitslösungen und schließ- wurde. Außerdem beschäftigen sich die die über die Werkshalle hinaus mit der lich zur Demonstration der Funktions- Forscher mit dem Schutz des in Kompo- firmeneigenen Büro-IT, aber auch über weise von Konzepten und Sicherheits- nenten, Systemen und Produkten ent- Internetschnittstellen mit dem Support maßnahmen für die Industrie 4.0 bei haltenen Know-hows. Passwörter oder der Hersteller, mit Fertigungspartnern unterschiedlichsten Hackerangriffen kryptographische Schlüssel dürfen eben- oder sogar Kunden vernetzt sind, ist für oder Manipulationsversuchen. so wenig auslesbar sein, wie in Steuer- uns aber nur ein Teil der Aufgabenstel- geräten oder Industrieanlagen gespei- lung«, erklärt Hutle. Maschinen und An- Die Nachrüstung der Netzwerkschnitt- lagen in der Industrie sind für einen stellen von industriellen Komponenten langjährigen Einsatz oft in der Größen- etwa mit kryptographischen Verfahren ordnung von zwanzig Jahren vorgese- zum Schutz des Datenaustausches ist hen. Die Migration von der heutigen keine Standardaufgabe. Zwar gibt es I ­ndustrie 3.0 auf die nächste, von inten- ausreichend bewährte Konzepte in der siver Vernetzung zum »Internet der Din- klassischen IT-Welt, etwa im Bereich des ge« geprägten, Generation wird also Zahlungsverkehrs. Diese lassen sich aller6 cherte geheime Firmeninformationen. Kontakt: Dr. Martin Hutle, Leiter Sicherheit in der Industrieautomation Zuerst erschienen auf www.innovisions.de  n www.aisec.fraunhofer.de Komponenten bei kompletten Ferti-
    • Apps auf Herz und Nieren prüfen App - R ay kontro lliert A ndroid- Apps au f die E inh a lt u n g von S ic h erheitskriterien Derzeit werden über 700.000 Apps für Android im Google Play Store angeboten, von einfachen Tools über aufwändige Spiele bis hin zu umfangreichen Business Suites. Viele davon werden von Privatpersonen entwickelt – eine systematische Qualitätskontrolle findet faktisch nicht statt. Der Nutzer der App hat per se keine Möglichkeit, zu erfahren, welche Aktionen die App auf seinem Telefon ausführt. Auf welche Funktionen des mobilen Endgeräts greift die App zu? Welche Daten werden an Dritte gesendet? Im Unternehmensumfeld bekommen diese Fragen eine noch größere Bedeutung. Denn bei der Nutzung von privaten Geräten im Beruf (Bring Your Own Device) muss die Unternehmens-IT sicherstellen, dass eine App nicht auf sensisant an. Rund 70 Prozent der im Auch dezidierte Firmenhandys sind vor Zudem geben Unternehmen ih- vergangenen Jahr in Deutschland ver- dem Befall mit Schadsoftware nicht ge- rerseits maßgeschneiderte Apps kauften Handys sind Smartphones. Laut schützt. Viele beliebte Apps werden un- in Auftrag, die sie an Mitarbeiter einer Erhebung des Marktforschungsun- ter unzureichender Qualitätskontrolle herausgeben und auf deren Inte- ternehmens comScore (comScore Mobi- entwickelt. Über lange Zeit unentdeckt grität sie sich verlassen müssen. Lens 2012) ist ­ ndroid derzeit die am A verrichten Apps ihren Dienst, die auf- Mit App-Ray, einer Entwicklung stärksten verbreitete Smartphone-Platt- grund fehlerhafter Programmierung und von Fraunhofer AISEC ist dies nun form in Deutschland. Demnach laufen mangelhafter Qualitätskontrolle sensible möglich. 50 Prozent aller derzeit genutzten Daten preisgeben.Es ist daher sehr Smartphones in Europa mit dem Be- schwierig zu beurteilen, welche Risiken triebssystem von Google. eine App in sich verbirgt. Immer wieder App-Ray untersucht Android-Apps voll- werden Apps entdeckt, die aktiv versu- automatisch gemäß sicherheitsrele- Problematisch wird dieser Trend im Un- chen den Benutzer auszuspionieren wie vanter Kriterien. Den Katalog der Krite- ternehmensumfeldImmer mehr Ange- jene »Taschenlampen«-App, die uner- rien kann der Anwender selbst stellte nutzen privat Smartphones und kannt Adressdaten auf fremde Internet- festlegen, so dass Apps genau auf die Tablet-Computer, die sie auch beruflich server sandte. unternehmensspezifischen Anforderun- einsetzen wollen. Dem Unternehmen gen hin untersucht werden. App-Ray lie- entstehen dadurch bisher unbekannte App-Ray von Fraunhofer AISEC schließt fert eine genaue Einschätzung der App Probleme, etwa beim Datenschutz. Ein gleich zwei Sicherheitslücken: Zum ei- und darüber ­ inaus detaillierte Untersuh radikales Verbot der privaten Geräte am nen entdeckt das Tool alle Sicherheitslü- chungsdaten, die von Experten (z. B. Arbeitsplatz ist nicht immer die beste cken einer App, die bewusst unerlaubt Pentester) für eine eingehende manuelle Lösung. Klare Regeln zum Einsatz von Daten auf dem Smartphone abgreifen Prüfung weiterverwendet werden kön- privaten Smartphones sowie Hilfsmittel oder gar Veränderungen auf dem Be- nen. Denn der Einsatz mobiler Endge- wie App-Ray können die Sicherheitsri- triebssystem vornehmen. Zum anderen räte im Unternehmensumfeld steigt ra- siken deutlich verkleinern. kann das Tool zur Qualitätskontrolle he- 7 www.aisec.fraunhofer.de ble Unternehmensdaten zugreift.
    • So lassen sich gezielt nur die Anwendungen auf den Geräten installieren, die den unternehmensinternen Sicherheitsstandards entsprechen« App-Ray kombiniert dazu statische und dynamische Analyseverfahren. Bei statischen Verfahren wird der eingespielte Code der App eingehend auf seine Funktionen und etwaige Schwachstellen untersucht. In der dynamischen Analyse führt App-Ray die Anwendung zusätzrangezogen werden, wenn durch Pro- getestet werden, die im Unternehmen lich in einer Sandbox aus und analysiert grammierfehler Risiken entstehen. So eingesetzt werden. Der Regelsatz lässt dabei jeden Arbeitsschritt. kann es nämlich vorkommen, dass eine sich auf mehreren Detailgraden definie- App, der eine Verbindung zum Internet ren, z. B. »Erzeugt diese App Benutzer- App-Ray liefert eine übersichtliche Ein- gestattet ist, eine verschlüsselte Verbin- profile?«, »Verwendet diese App Wer- schätzung der App in Bezug auf die Un- dung vorgaukelt, die Analyse jedoch bung?« oder »Enthält diese App tersuchungskriterien und darüber hinaus eindeutig zeigt, dass diese Verbindung Programmierfehler, die Zugriff auf meine detaillierte Auswertungsdaten, die von nicht sicher ist. Kontaktdaten ermöglichen?«. Ebenso Experten (z. B. Pentester) für eine einge- lässt sich ein Regelwerk aufsetzen, das hende manuelle Prüfung weiterverwen- App-Ray untersucht vollautomatisch die nach den Erfordernissen der Unterneh- det werden können. Sicherheit der auf Android-Smartphones menssicherheit, etwa Compliance-Re- und Tablets eingesetzten Apps und do- geln, gestaltet ist. kumentiert den Status auf der Basis frei Die Benutzung von App-Ray ist denkbar Katalog der Kriterien kann der Anwen- einfach: App-Ray kann sowohl als Si- der selber festlegen. cherheitsdienst in einen unternehmensinternen Android-Market integriert als Zum Beispiel kann der Tester einen Re- auch als Webanwendung über das In- gelsatz hinterlegen, mit dem alle Geräte ternet direkt herangezogen werden. Kontakt: Dr. Julian Schütte, Leiter Mobile Security am Fraunhofer AISEC www.aisec.fraunhofer.de/mobile n PEP – Protecting Electronic Products E lektronisch e Memb ran sch ü tzt gegen Produktpiraterie Durch das Nachahmen oder Klonen elektronischer Produkte – sowohl im Investitions- als auch im Konsumgütermarkt – entsteht der Industrie jährlich ein Umsatzschaden in Milliardenhöhe. Mit unterschiedlichen Verfahren wie beispielsweise mit optischen Kennzeichnungssiegeln versuchen Hersteller von innovativen Produkten den Nachbau zu verhindern. Doch gerade bei elektronischen Geräten wie den Steuerungsgeräten von Maschinen und Anlagen gehen diese Maßnahmen nicht weit genug und können das Auslesen und Kopieren des Herzstücks dieser Geräte – der Firmware – nicht verhindern. Der Schutz der Firmware steht im Zentrum der Produktschutzaktivitäten der Sicherheitsforscher vom Fraunhofer A ­ ISEC. Durch Verschlüsselungs- und Verschleierungsverfahren haben sie bereits Produkte zahlreicher Hersteller schützen können. Dieser Schutz wird nun erweitert. Denn erstmals ist es ihnen gelungen, eine Schutzfolie zu entwickeln, mit der sich elektronische Steuerungskomponenten nachhaltig gegen Produktpiraterie schützen lassen. Die elektronische Membran mit dem N amen PEP (Protecting Electronic Pro­ ducts) bietet aufgrund ihrer besonderen Eigenschaften größtmöglichen Schutz für eingebettete S ysteme. ­ Bei der kleinsten Beschädigung der Folie wird das Auslesen der Firmware blockiert und die Funktionalität des Produkts dauerhaft deaktiviert. 8 www.aisec.fraunhofer.de definierbarer Sicherheitskriterien. Den
    • jeglicher Art an der Schutzfolie vor, werden Daten wie der Programmcode der Firmware gelöscht und das Gerät dadurch funktionsunfähig. Auch das Auslesen der Firmware wird damit natürlich verhindert. Hardwarebasierte Verschlüsselung with protective foil »Im Gegensatz zu anderen Abschirmungen ist PEP auch ohne Stromzufuhr Manipulationssicher geschützt voll funktionsfähig und hält allen An- »Die Firmware heutiger High-Tech-Pro- griffen stand«, ergänzt Maxim Hennig, dukte ist das Ergebnis langjähriger Ent- der an der Entwicklung von PEP maß- PROTECTED EMBEDDED SYSTEM Hochwertige elektronische Konsum- geblich beteiligt ist. Das Produktschutz- und Investitionsgüter wie Maschinen len wir vor allem vor Diebstahl und Team des Fraunhofer AISEC erhöht mit und Anlagen, die häufig of an embedded system Nachbau schützen«, so Bartol Filipovic, Protects critical areas in jahrzehnte- PEP die Sicherheit der Geräte als Ergän- langer Entwicklungsarbeit entstehen, Leiter des Forschungsbereichs Produkt­ zung zu den bereits realisierten Schutz- sind heute mehr denn je durch Produkt- schutz am Fraunhofer AISEC. Ohne den maßnahmen durch Firmware-Verschlüs- piraterie gefährdet. Laut einer Studie Schutz können Fälscher, die in den Be- selung. Durch die hardwarebasierte Ver- des Verbandes Deutscher Maschinen- sitz der Firmware gelangen, das Produkt schlüsselung der Firmware und durch Jahr 2012 entsteht der deutschen Indus- gar 1:1 nachbauen. Ein Produktfälscher maßnahmen wird ein sehr hohes Sicher- trie jährlich ein Umsatzschaden von rund wird dabei das System Stück für Stück heitsniveau erreicht. »Die Verbindung 8 Milliarden Euro durch unerlaubten in seine Einzelteile zerlegen, die verwen- der PEP-Folie mit unserer Firmware-Ver- Produktnachbau. Weltweit liegt der deten Bauteile identifizieren (Produkt- schlüsselung macht eine Know-how-Ex- Schaden bei mehr als einer halben Billi- Teardown), daraufhin das System analy- traktion und einen Produktnachbau un- on. Eingebettete Systeme sind beson- sieren (Systemanalyse) und eine Schal- möglich«, so Bartol Filipovic. Die Investi- ders anfällig für Produktpiraterie. Die tung mit gleichen oder äquivalenten tion in Schutzmaßnahmen zahlt sich Firmware des Systems beinhaltet in der Bauteilen nachbauen. Die benötigte aus, denn die Kosten für die Absiche- Regel das Know-how und die Steue- Firmware kann aus dem Original ausge- rung der Geräte sind im Verhältnis zum › Seals housings tamper-proof › Disables functionality of a product ohne großen Aufwand nachahmen oder in case of attack und Anlagenbau e. V. (VDMA) aus dem sors PRODUCTlesen und in den Nachbau eingespielt PROTECTION BY werden. ELECTRONIC MEMBRANE zusätzlich verwendete Verschleierungs- rungslogik und muss daher vor unauto- potenziellen Schaden sehr gering. Ne- risierten Zugriffen jeder Art geschützt ben dem wirtschaftlichen Verlust für werden. 1 Protective foil Unternehmen durch Umsatzausfälle fällt Die Innovation von PEP besteht in der Material als Sensor der Image-Schaden ebenso ins Gewicht, untrennbaren Verbindung von Hard- falls gefälschte und qualitativ niedrig- Die elektronische Membran mit dem Na- ware und Schutzfolie. Die für die VerMembrane with integrated sensors men PEP (Protecting Electronic Products) schlüsselung der Firmware notwendigen nutzt die Materialeigenschaften der 2 Measurementdieser Eigencircuit geringsten Veränderung Verbindung gebracht werden. Schlüssel werden dabei aus den Folie- Schutzhülle als Sensoren und macht diese zum festen Bestandteil ihrer MessV wertige Bauteile mit dem Hersteller in neigenschaften erzeugt. Sie sind bei der c key schaltung. Die Folie ist fest mit der Hard- schaften, wie beispielsweise Form oder geRecording of foil parameters ware (Platine) verschweißt und macht bei Beschädigung das Auslesen der Firmware unmöglich. Wird das Siegel 3 Preprocess Identifikationsnum-data Filipovic, Leiter Product Protection measured Bartol Security stellung einzigartige & Industrial Oberflächenstruktur, nicht mehr ver- wendbar. Jede Folie erhält bei der Her- 4 Key generation Kontakt: Digitalization and stabilization of measured values am Fraunhofer AISEC gewollt oder ungewollt beschädigt, demern, die für die Erzeugung der kryptoaktiviert sich die Funktionalität des Pro- grafischen Schlüssel genutzt werden. dukts selbsttätig. Nimmt ein Fälscher eine Manipulation Based on foil parameters 9 Weitere Informationen: http://ais.ec/pep n www.aisec.fraunhofer.de › wicklungsarbeit. Dieses Know-how wol-
    • Zu guter letzt Schutz vor Produktpiraten. Eine übersichtliche Darstellung der Angriffsszenarien und Gegenmaßnahmen auf einer Seite als Infografik. Diese befindet sich zum direkten Download unter http://ais.ec/infografik http://ais.ec/googleplus http://www.linkedin.com/ company/fraunhofer-aisec http://www.youtube.com/user/ FraunhoferAISEC FRAUNHOFER RESEARCH INSTITUTION FOR A P P L I E D A N D I N T E G R AT E D S E C U R I T Y ON THE EFFECTIVENESS OF MALWARE PROTECTION ON ANDROID AN EVALUATION OF ANDROID ANTIVIRUS APPS RAFAEL FEDLER, JULIAN SCHÜTTE, MARCEL KULICKE 04/2013 FraunhoFer InstItute F o r a p p l I e d a n d I n t e g r at e d s e c u r I t y UseRdRiven And fUlly AUtomAted AndRoid App secURity Assessment dennis titze, philipp stephAnow, dR. JUliAn schütte Unsere am häufigsten gelesene Publikation heißt »On the Effectivness of Malware Protection on Android« von Rafael Fedler, Dr. Julian Schütte und Marcel Kulicke und zeigt, dass der Schutz vor Schadsoftware auf Android-Geräten trotzt Anti-VirenApps nicht hinreichend gewährleistet werden kann. @Fraunhofer AISEC – http://twitter.com/FraunhoferAISEC Wissenschaftliche Publikationen zu Themen wie ­Produktschutz, Mobile Sicherheit, Cloud Sicherheit und vieles mehr findet sich unter http://ais.ec/publikationen Besuchen Sie das Fraunhofer AISEC auch in 2014 auf den folgenden Messen und erfahren Sie das Neueste aus der IT-Sicherheitsforschung. 26.–28. Februar 2014, Embedded World, Nürnberg 10.–14. März 2014, CeBIT, Hannover 7.–11. April 2014, Hannover Messe, Hannover Messe Impressum Herausgeber: Tel.: +49 089 3229986-292 Redaktion: Viktor Deleski Fraunhofer-Institut für Angewandte Fax.: +49 089 3229986-299 und Integrierte Sicherheit (AISEC) marketing@aisec.fraunhofer.de Satz und Layout: Marion Mayer, riondesign.de Parkring 4 www.aisec.fraunhofer.de 85748 Garching 10 Text: Viktor Deleski, Bernhard Münkel, Innovisions.de Bildnachweis: Fraunhofer AISEC, Fotolia www.aisec.fraunhofer.de AppRAy: