1. Chancen und Risiken der IT
Claudia Eckert
Fraunhofer AISEC
TU München
Sicherheitsgipfel der Deutschen Wirtschaft, 15.3.2013
1
2. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
3. IKT ist Schlüsseltechnologie für
alle Branchen
Energie • Umwelt • Mobilität • Sicherheit • Gesundheit
IKT als Chance
4. Zukunft:
Vernetzte Menschen, und Objekte
Mobiles Internet: jederzeit, von überall
Neue Kommunikationsformen: soziale Netze
IKT ist Innovationstreiber
• Gesundheit: z.B. personalisierte Medizin
• Mobilität: z.B. Auto
• Maschinenbau: z.B. Produktion
IKT als Chance
9. Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)
Angriffe aus Distanz und geringes Entdeckungsrisiko
Jedes 4. Unternehmen war in 2011/12 Opfer von
Cyber-Angriffen
Veränderungen in der Täterstruktur:
vom hochspezialisierten Einzeltäter zum
Kriminellen ohne Fachkenntnisse
Tatwaffe Internet ist permanent verfügbar
Große Gewinne sind erzielbar
Schäden weltweit in 2012: 290 Mrd Euro
Bedrohungslage
Der weltweit durch
Cyberkriminalität
verursachte Schaden
beträgt rund
290 Mrd. €.
Damit ist das Geschäft mit
den Daten profitabler als
der globale Handel mit
Marihuana, Kokain und
Heroin zusammen.
11. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche
Passworte, Faktor Mensch, Mobile Endgeräte
1. Sicherheit braucht Forschung
2. Take Home Message
Gliederung
12. 90% der erfolgreichen Angriffe 2012 durch schwache
oder mehrfache verwendete Passwörter: 1 Passwort für
alles!
61 % der verwendeten Passwörter bestehen oder sind
abgeleitet von Namen, Städten, Wörtern und Zahlen
Vorgegebene Passworte werden notiert
Nutzung Sozialer Netze
Viele Daten über einzelne Nutzer verfügbar:
Vorlieben, Geburtsdaten, Namen, ….
Automatisiertes Sammeln dieser Daten und
damit automatisiertes PasswortCracker
Problem: Zugangsdaten, Passworte
13. Technisch und organisatorisch:
Passwort ergänzen durch zusätzlichen Mechanismus
2-Faktor-Identitätsprüfung:
Zusätzliche Sicherheitscodes eingeben
Zusätzliches Token mit PIN-Code
Passwort-Richtlinien:
festlegen, prüfen,
Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-
Grundschutzleitfaden des Bundesamts für Sicherheit in der IT
(BSI)
Passworte: Empfehlungen
14. Mangelndes Bewusstsein, Bequemlichkeit
Wer interessiert sich denn schon für mich?
Einfallstor: Zugriff auf Unternehmensdaten
Lokale Kopien sensitiver Daten: ungeschützt!
Vertrauensselig:
Anruf von „System-Administrator“:
… ich benötige dringend Ihr Passwort
Freizügige Datenweitergabe über die Behörde,
Geschäftsabläufe, Kunden in Sozialen Netze
Sicherheitsvorgaben
veraltet, unvollständig, unwirksam, ….
Problem: Faktor Mensch
15. Einheitliche Sicherheitsvorgabe:
Festlegen und kontrollieren!
Sicherheitskonzept mit abgestimmten
Maßnahmen
Einzelmaßnahmen erzeugen
trügerisches Sicherheitsgefühl
Schulungen:
Zielgruppenspezifisch:
Leitungsebene wird häufig gezielt
attackiert, targeted attack
Mitarbeiter-Background beachten
Faktor Mensch: Empfehlungen
23. Lösungsansätze:
• Angriffs-resistente(re) Architekturen
• Z.B. Gegen so genannte Seitenkanalangriffe
• Verschleiern von Verhaltens-Charakteristika
• Energie-sparende Verschlüsselung
• Entwicklung robuster
• Hardware-Sicherheitschips
z.B. im Fahrzeug
Forschung:
Sichere Eingebettete Komponenten
24. Problem
Nachbau von High-Tech Komponente
Lösung
Secure Element als Hardwareanker für Firmware
Authentifizierung zwischen Firmware und Hardware
Software Obfuskation für Firmware
Forschung: Konkrete Lösungen
Beispiel Produktschutz
26. Lösungsansätze:
• Isolierung von kritischen Anwendungen
• Monitor-Komponente:
• Erkennt Manipulationen
• Erkennt Einbruchsversuche
• Leitet Abwehrmaßnahmen ein
• Sichere Ein-/Ausgabe
• u.a. kein Phishing
Forschung:
Sichere Software-Architekturen
z.B. L4Linux
mit Android Patches
z.B. Android
Plattform
Hypervisor mit VMI Monitor
Hardware, z.B. HSM, Multi-Core
z.B. Apps
Sicheres
Betriebssystem
27. Sicherheitslösung für Mobile Endgeräte
Trust | me (http://ais.ec/trustme)
Einrichtung verschiedener isolierter
Umgebungen für den privaten und
geschäftlichen Bereich
Einfacher Wechsel zwischen den
Umgebungen
Vertrauliche Daten bleiben vor dem
Zugriff Dritter geschützt.
Sicherheitsrelevante Daten wie PINs und
Passwörter werden verschlüsselt in zB
einer MicroSD-Karte abgelegt.
Forschung: Konkrete Lösungen
Beispiel: Trust | me
29. 1. IKT als Chance
2. Sicherheitsbedrohungen
3. Sicherheit betrifft jeden: Problembereiche und
Empfehlungen
4. Sicherheit braucht Forschung
5. Take Home Message
Gliederung
30. IKT ist Innovationsmotor
Energie, Mobilität, Gesundheit, Produktion
IKT ist verletzlich
Verletzlichkeit der Nutzer, der Gesellschaft
IKT benötigt IT-Sicherheit
Jeder kann beitragen: Zugangsdaten, Sensibilisierung,
Gezielte Maßnahmen mit großen Effekten!
Take Home Message
Sicherheit benötigt Forschung
Sichere Hardware, Sichere Software-Architekturen, Analysen
32. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: claudia.eckert@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de