Your SlideShare is downloading. ×
0
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cybersecurity 2013 - Design for Security

298

Published on

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
298
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Design for SecurityCyber Sicherheit gestalten!Claudia EckertFraunhofer AISECTU MünchenCyber Security 2013, 3-te HandelsblattagungBerlin, 10.6. 20131
  • 2. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  • 3. Sicherheit durch und Sicherheit vonvernetzten IKT-SystemenCyber Sicherheit ist
  • 4. Unsicherheit durch vernetzte undunsichere IKT-SystemeCyber Sicherheit: Heute
  • 5. BedrohungslageCyber-Angriffe nehmen zu Jedes 4. Unternehmen Opfer vonCyber-Angriffen Geänderte Täterstruktur: Vom spezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseProduktpiraterie nimmt stark zu VDMA Studie 2011: über 8 MilliardenEuro Schaden für Deutsche Maschinen- und AnlagenbauerSchäden weltweit:290 Mrd. €.profitabler alsglobaler Handel mitRauschgift.
  • 6. Sensorik Automobil: über 80 SensorenFunkschlüssel, Fernzugriff (GSM)• Drahtlos vernetzte Medizinische Geräte:Herzschrittmacher, Blutzuckerpumpe Anlagensteuerung: SCADA (Stuxnet)Software-Systeme Identitätsdiebstahl, Zugangsdaten, Zugriff auf sensitive Daten BYOD: Datenverluste (jede 2-te Firma)Bedrohungslage: Beispiele
  • 7. Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungBeispiel: Mobile Endgeräte
  • 8. Unsichere Hardware/Sensorik:• Physisch angreifbarUnsichere Software-Systeme• ManipulierbarUngeschützte High-Tech-Produkte• KopierbarFaktor Mensch• Sorglos, bequemProblembereiche
  • 9. Mangelndes Bewusstsein: 90% der erfolgreichen Angriffedurch schwache oder mehrfachverwendete Passwörter: zBName, Geburtsdaten, …Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe inSozialen NetzenBeispiel: Faktor Mensch
  • 10. Technologie gestalten:• Sicherheitstechnologie, System-DesignProzesse gestalten• Leitlinien und Kultur ‚leben‘Bildungsmaßnahmen gestalten• Nachhaltige SensibilisierungPolitische Rahmen gestalten• Fordern und FördernThese: Design4Security erforderlich
  • 11. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  • 12. Vertrauenswürdige Hardware• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit• Angriffstolerant: u.a.nicht manipulierbare HardwareTechnologie gestalten
  • 13. Problem: Produktpiraterie, Know-How-Diebstahl Ungeschützte Elektronik-BauteileAISEC-LösungPEP Schutzfolie http://ais.ec/pep Untrennbare Verbindung vonHardware und Schutzfolie Materialeigenschaften der Folie dienen als Sensoren Schlüssel aus Folieneigenschaften erzeugt Zerstörung der Folie: Firmware-Code wird gelöscht Schutz vor Nachbau, Schutz vor Know-How-AbflussBeispiel: Produkt- und Know-how-Schutz
  • 14. Sichere System-Architekturen• Prävention: u.a. Separierung• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-KonfigurierenBeispiele Secure Smart MeterSicheres Handy für ‘alle’UnsicherePlattformenz.B. AndroidVirtual Machine IntrospectionHardware, z.B. HSM, Multi-CoreSicheresBetriebssystemTechnologie gestalten
  • 15. Problem Datenabfluss, Identitätsdiebstahl,Schadsoftware in Unternehmen, …AISEC-LösungTrust | ME: Sicheres Mobiles Endgerät Verschiedene isolierte Bereiche,schneller, einfacher Wechsel Sicherer Speicher, sichere Eingabe Sicheres Geräte-Management,differenziertes Remote Wipe etc.Beispiel: Bring your Own Device: aber sicher!
  • 16. Systeme testen und sicher betreiben• Hardware Sicherheit u.a.Hardware-Trojaner, Seitenkanäle• Software-Sicherheit u.a.Code-Analysen, Tainting„Gesundheits“-Checks für Apps• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring,Technologie gestalten
  • 17. Problem: Unsichere Apps Apps: idR zu viele Zugriffsberechtigungen: Informationslecks undEinschleusen von SchadcodeAISEC-LösungAppRay: Sicherheitschecks für Apps Detaillierte Analyse der Zugriffe, Aktionen Abgleich mit eingestellten Sicherheitsregeln Testen des Verhaltens in simulierter Umgebung Sichere AppStores autonom aufbauen, verwaltenBeispiel: App-Analyse-Tool
  • 18. Sicherheitscheck für Android-AppsBeispiel: App-Analyse-Tool
  • 19. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  • 20. Sicherheitsvorgaben: Festlegen und kommunizieren DurchgehendesSicherheitskonzept mitabgestimmten Maßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlKontrollieren und Sanktionieren Kontinuierliche ÜberprüfungProzesse gestalten
  • 21. Bildung gestalten: Zielgruppenspezifisch
  • 22. Fordern Haftungsregelungen fürSoftware, IT Haftpflicht? Regulieren:Sicherheits-Testate, Zertifikate fordern!Fördern Nationale Sicherheitsindustrie fördern Incentivierung:bei nachweislich hohem SchutzniveauPolitische Rahmen gestalten
  • 23. Gliederung1. Bedrohungslage2. Technologie sicher gestalten3. Prozesse, Bildung und Politik gestalten4. Take Home Message
  • 24. Alle gesellschaftlichen Kräfte einbindenChancen für die Forschung Innovative SicherheitslösungenChancen für Unternehmen Security made in Germany als Label Marktvorteile durch Know-how SchutzChancen für die Politik: Bildungs- und Industriepolitik gestaltenCyber Sicherheit gestalten!
  • 25. Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

×