AISEC IT-Sicherheit Newsletter 1/2012
-
Upload
fraunhofer-aisec -
Category
Documents
-
view
740 -
download
0
description
Transcript of AISEC IT-Sicherheit Newsletter 1/2012
Schutz eingebetteter SySteme vorProduktPiraterietechnologiScher hintergrund und vorbeugemaSSnahmen
bartol FiliPoviĆ, oliver Schimmel 10/2011
F r a u n h o F e r r e s e a r c h I n s t I t u t I o n F o r
a p p l I e d a n d I n t e g r at e d s e c u r I t y
SIT-München wird Fraunhofer AISECPresseinformation 6.7.2011
Die Münchner Projektgruppe Sicherheit und Zu-verlässigkeit des Fraunhofer SIT wird zum 1. Juli eine selbstständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit. Dies be-schloss der Senat der Fraunhofer-Gesellschaft. In München arbeiten die Forscher daran, die Si-cherheit von Cloud-Computing und Eingebette-ten Systemen zu erhöhen. Weitere Ziele sind, Produktpiraterie zu verhindern oder vernetzte kritische Infrastrukturen zu schützen.
Liebe Leserinnen und Leser,
ich wünsche Ihnen ein erfolgreiches Jahr 2012. Ein Jahr, das viele
Herausforderungen mit sich bringt. Ein Thema wird auch in diesem
Jahr ein Dauerbrenner bleiben: die IT-Sicherheit. Die erfolgreichen
Cyberangriffe auf Webseiten und Server von Unternehmen und Be-
hörden haben uns zahlreiche Schwachstellen eindrucksvoll vor Au-
gen geführt und mahnen uns, unsere Anstrengungen bei der Absi-
cherung der IT-Systeme zu intensivieren. Daran arbeiten wir beim
Fraunhofer AISEC mit Nachdruck. Im Zentrum unserer Forschungs-
und Entwicklungsarbeiten in Garching bei München steht die an-
gewandte und integrierte Sicherheit. Wir bieten unsere Expertise in
allen Bereichen der IT-Sicherheit von Embedded Security über Au-
tomotive und Smart Grid Security bis hin zu Cloud Security und
Produktschutz an. Mehr als 80 kompetente Mitarbeiterinnen und
Mitarbeiter leisten im AISEC ihren Beitrag dazu. Unser Motto lautet
»Mit Sicherheit innovativ!« Wir stellen damit an uns den An-
spruch, den Innovationsstandort Deutschland zu stärken und Unter-
nehmen dabei zu unterstützen, ihre Produkte und Dienstleistun gen
gegen Angriffe jedweder Art zu schützen. Betrachten wir beispiels-
weise den Bereich der Eingebetteten Systeme: Elektronische Steue-
rungselemente sind mittlerweile Bestandteil vieler Investitions- und
Konsumgüter. Der Schaden durch Plagiate erreicht allein in Deutsch-
land jährlich einen dreistelligen Millionenbetrag. Zudem geht von
gefälschten Produkten eine Gefahr für die Nutzer dieser Produkte
aus. Wir haben die Angriffstechniken genau analysiert und
die AISEC-Forscher entwickeln Gegenmaßnahmen, um Fälschun-
gen wirksam zu verhindern. Die Schwerpunkte unserer ange-
wandten Forschung werden auch in diesem Jahr im Bereich Embe-
dded Security, Netzwerksicherheit und Cloud-Sicherheit liegen.
Woran wir aktuell arbeiten, können Sie stets auf unsere Webseite
www.aisec.fraunhofer.de erfahren oder sich auf einer der dies-
jährigen Messen informieren. Eine Übersicht mit unseren Präsenzen
finden Sie am Ende dieses Newsletters. Wir würden uns über einen
Besuch und den fachlichen Austausch sehr freuen. Bis dahin wün-
sche ich Ihnen ein sicheres Jahr 2012 sowie eine erkenntnisstei-
gernde Lektüre der folgenden Artikel.
Ihre Claudia Eckert
F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y A I S E C
Newsletter 01|12
Innovation braucht Sicherheit und Sicherheit braucht Forschung! Presseinformation 14.9.2011
Unter dem Leitthema »Mit Sicherheit innova-tiv!« feierte am Montag, den 12. September 2011, Fraunhofer AISEC seine Eigenständigkeit mit einem Festakt und einer Technologieausstel-lung. Die über 200 interessierten Besucher konnten sich hautnah die innovativen Technolo-gien von den AISEC Forschern und Forsche-rinnen erläutern lassen (von links nach rechts: Prof. Dr. Wolfgang A. Herrmann, Staatsminister Martin Zeil, Prof. Dr. Claudia Eckert, Prof. Dr. Hans-Jörg Bullinger und Prof. Dr. Georg Sigl).
2
PrIVIDOr – PrIVacy VIOlatION DetectOr dATEnSAMMlErn AuF dEr Spur
Webseiten sind angereichert mit
Funktionen, um mit dem Benutzer
in Interaktion zu treten. Das kann
gewünschte, aber für den Benutzer
auch ungewünschte Wirkung entfal-
ten. Diese reicht von einfacher Pro-
tokollierung der Lesegewohnheiten
bis hin zu Drive-by Downloads von
Malware. Das Forschungsvorhaben
PRIVIDOR (PRIvacy VIolation Detec-
tOR) erstellt im Auftrag des Bundes-
beauftragten für den Datenschutz
und die Informationsfreiheit eine
Lösung, um automatisiert daten-
schutz-bedenkliche Vorgänge auf
Webseiten zu erkennen und zu do-
kumentieren. Dazu hat Fraunhofer
AISEC ein Werkzeug zur Webseiten-
analyse entwickelt, das auf Internet-
seiten gezielt nach Anzeichen für
Datenschutzverstöße sucht.
Das Software-Tool PRIVIDOR spürt Daten-
schutzverletzungen auf Websites auf. Mit
dem neuen Werkzeug will der Bundesdaten-
schutzbeauftragte Peter Schaar künftig die
Webauftritte der Bundesbehörden sowie
der Post- und Telekommunikationsunter-
nehmen, die in seinen Aufgabenbereich fal-
len, kontrollieren. Einige tausend öffentliche
Stellen mit ihren Internetangeboten kämen
laut Schaar in Betracht.
Das Werkzeug, das von Peter Schoo, Leiter
des Forschungsbereichs Netzsicherheit und
Frühwarnsysteme, und seinem Team entwi-
ckelt wurde, prüft die Webseiten auf da-
tenschutzrechtliche Probleme und erstellt
anschließend detaillierte Berichte über die
Ergebnisse. Dabei wird die Verwendung
von verschiedenen Techniken untersucht:
n Web Analytics und User Tracking proto-
kolliert das Surfverhalten von Benutzern
einer Seite und ermöglicht eine Korrela-
tion dieser Daten über lange Zeiträume.
n JavaScript erlaubt das Auslesen privater
Informationen wie der Browser History,
um damit Informationen über bereits
besuchte Websites in Erfahrung zu brin-
gen, z. B. welche sozialen Netzwerke be-
sucht oder welche Onlinebanking-Dien-
ste von einem Benutzer regelmäßig in
Anspruch genommen werden.
n CSS History Hacks ermöglichen das Aus-
lesen der Browser History auch bei deak-
tiviertem JavaScript.
n Cookies, Flash-Cookies (auch als Local
Shared Objects bekannt) sind die wohl
bekanntesten Varianten zur Identifizie-
rung von Nutzern oder Systemen. Sie er-
möglichen die langfristige Speicherung
nutzerbezogener Daten.
n DOM Storage erlaubt die Speicherung
von nutzerbezogenen Daten über erwei-
terte Funktionen des Document Object
Models. Über DOM Storage können Da-
ten in wesentlich größerem Umfang ge-
speichert werden als herkömmlichen
Cookies. Zudem können die gespeicher-
ten Daten Domain-übergreifend ausgele-
sen werden.
n Formulare sammeln in vielen Fällen per-
sönliche Daten der Nutzer. Diese werden
vielfach unverschlüsselt übertragen und
sind somit von Dritten leicht abzufangen
und auszuwerten.
Manche dieser Technologien werden bereits
beim Aufsuchen der Seiten aktiv, andere
entfalten ihre Wirkung erst in der Interakti-
on mit dem Benutzer.
PRIVIDOR ist in der Lage, den Einsatz dieser
Techniken zu identifizieren. Um eine Analy-
se durchzuführen, simuliert PRIVIDOR das
Verhalten eines normalen Nutzers. Indem
ein automatisiert gesteuerter Firefox-Brow-
ser die zu prüfenden Seiten aufruft, dar-
stellt und dynamische Inhalte ausführt, kön-
nen die Aktionen der aufgerufenen Seiten
nachvollzogen und protokolliert werden.
Über eine Webschnittstelle legen die Prüfer
Listen zu beobachtender Seiten und von
Webdiensten an. Diese arbeitet der präpa-
rierte Browser ab. Findet er Programm-
schritte, die die oben beschriebenen Akti-
onen durchführen wollen, wird das Verhal-
ten aufgezeichnet und protokolliert. Mithilfe
der angepassten Firefox-Version und eines
speziellen Add-ons wird das erzeugte Lauf-
zeitverhalten sowie JavaScript-Aufrufe auf
DOM-Objekte festgehalten. Prividor kann
dabei auch unterschiedliche Browsertypen
simulieren, um etwa Aktionen zu erkennen,
die speziell für bestimmte Browser entwi-
ckelt wurden. Die gesammelten Daten wer-
den in Berichten zusammengefasst und
Veränderungen fortgeschrieben.
Nach einer Testphase im eigenen Haus pla-
ne der Bundesdatenschutzbeauftragte Peter
Schaar, PRIVIDOR auch den Landesdaten-
schutzbeauftragten zugänglich zu machen,
erklärte er bei der Projektübergabe. Diese
sind auf Landesebene für den Schutz der
Privatsphäre im Internet zuständig. Als wei-
teren denkbaren Schritt könnte sich Schaar
auch vorstellen, das aus dem Forschungse-
tat der Behörde bezahlte Werkzeug der All-
gemeinheit zur Verfügung zu stellen.
Kontakt:
[email protected] nWeitere Informationen: www.prividor.eu
Prividor entgeht nichts: Datenschutzverletzun-gen auf Webseiten werden vom Software-Tool aufgespürt.
3
Jeder von uns trägt heute zahl-
reiche Chipkarten bei sich. Sie ver-
schaffen uns Zugang zu Gebäuden,
steuern Bank- und Kreditapplikati-
onen oder legitimieren uns mit dem
neuen Personalausweis. Der Schutz
der Chipkarten vor Missbrauch und
Fälschung muss deshalb für die ge-
samte Lebensdauer, auch gegen bis-
her unbekannte Arten von Angrif-
fen, gewährleistet werden.
Chipkarten haben sich in der Vergangenheit
bewährt. Durch neuartige Angriffsarten ist
die Sicherheit derzeitiger Chipgenerationen
jedoch gefährdet. Invasive Angriffe, z.B. op-
tische Analysen oder Manipulationen mit
einem fokussierten Ionen-Strahl, erlauben
tiefe Einblicke und gezielte Eingriffe in
Chipkarten-Prozessoren. Findige Daten-
diebe könnten die integrierten Schutzme-
chanismen durch Analyse der physika-
lischen Eigenschaften aushebeln. Eine
mögliche Lösung für die der zeitigen Pro-
bleme ist deshalb ein integrales Schutzkon-
zept, das eine Kombination der Prozesse
des Mikrochips mit den nicht reproduzier-
baren Strukturen der Trägerkarte vorsieht.
Gemeinsam mit dem Chiphersteller NXP
Semiconductors Germany GmbH und der
Bundesdruckerei GmbH bereitet das
Fraunhofer AISEC im Rahmen des vom Bun-
desministerium für Bildung und Forschung
(BMBF) geförderten Forschungsprojektes
UMABASA einen Weg für die nächsten Ge-
neration von hochsicheren Chipkarten vor.
Die drei Partner entwickeln eine Chipkarten-
architektur, auf denen zukünftig krypto-
graphische Schlüssel nicht mehr binär ge-
speichert werden müssen. Damit fällt ein
lukratives Angriffsziel für die Angreifer weg.
UMABASA ist ein Akronym für »Unclonable
Material-Based Security Architecture« und
steht für eine untrennbare kryptographi-
sche Kopplung von Mikrochips und Träger-
karten. Diese Kopplung des Mikrochips mit
Umabasa – UNclONable materIal-baseD secUrIty archItectUre SIChErE ChIpkArTEn Für dIE ZukunFT
ihn umgebenden physikalischen, nicht re-
produzierbaren Strukturen soll durch die
Verwendung einer Physical Unclonable
Function (PUF) erreicht werden. Das Verfah-
ren macht sich die Materialeigenschaften
der verschiedenen Bauteile einer Chipkarte
als auch der umliegenden Kartenstrukturen
zunutze. »Jedes Bauteil verfügt über eine
Art individuellen Fingerabdruck, da bei der
Produktion unweigerlich kleine Unter-
schiede zwischen den Komponenten ent-
stehen«, erklärt Dr. Frederic Stumpf, Be-
reichsleiter Embedded Security & Trusted
OS am Fraunhofer AISEC, den Ansatz. So
kommt es bei Leiterbahnen beispielsweise
während des Fertigungsprozesses zu mini-
malen Schwankungen der Dicke oder Län-
ge. Diese Abweichungen haben zwar kei-
nen Einfluss auf die Funktionalität, können
jedoch genutzt werden, um daraus einen
kryptographischen Schlüssel zu erstellen.
Ein Beispiel dafür ist eine Schaltung mit
Ver zögerungspfaden, welche durch unkon-
trollierbare Fabrikationsunterschiede bei der
Chip-Herstellung entsteht. Eine solche
Schaltung gibt für jeden damit ausgestat-
teten Chip charakteristische Antworten auf
eingegebene Anfragen bzw. Anregungen
und wirkt daher wie ein Schlüsselspeicher.
Ein PUF-Modul kann dabei prinzipiell in je-
den Chip integriert werden. AISEC-Forscher
haben in der Vergangenheit bereits zwei
Prototypen entwickelt: einen Butterfly PUF
und einen Ringoszillator PUF. Beide haben
spezielle Eigenschaften und lassen sich in
Hardware-Komponenten wie FPGAs, Mi-
krochips und Smartcards implementieren.
»Herzstück ist eine Messschaltung, bei-
spielsweise ein Ringoszillator: Dieser er-
zeugt ein charakteristisches Taktsignal, das
Rückschlüsse auf die genauen Material-
eigenschaften des Chips zulässt. Spezielle
Sensoren lesen diese Messdaten anschlie-
ßend aus und generieren aus ihnen den
bauteilspezifischen Schlüssel«, erläutert Dr.
Frederic Stumpf.
Im Gegensatz zu herkömmlichen Ansätzen
wird der geheime Schlüssel nicht in der
Hard ware gespeichert, sondern auf Anfra-
ge jedes Mal neu erstellt. Da der Schlüssel
direkt von den aktuellen Systemeigenschaf-
ten abhängt, ist es deutlich schwieriger, ihn
zu extrahieren und zu klonen. Denn Atta-
cken auf den Chip würden physikalische
Parameter verändern – und damit auch die
einzigartige Struktur verfälschen oder zer-
stören. Der Sicherheitschip wird dadurch in
die Lage versetzt, selbständig zu erkennen,
ob er in seiner Original-Trägerkarte oder
einem manipulierten Kartenklon operiert.
Wird eine Manipulation erkannt, so kann
die Funktionalität der Karte blockiert wer-
den. Die Sicherheitsarchitektur kombiniert
dabei physikalische, optische und mathe-
matische Effekte als Sicherheitsmerkmale,
die ein nach heutigem Kenntnisstand sehr
hohes Sicherheitsniveau erreichen.
Klonen nicht möglich: Ein Chip mit einem di-gitalen Fingerabdruck ist vor Missbrauch und Fälschung geschützt.
Kontakt:
[email protected] nWeitere Informationen: www.aisec.fraunhofer.de
4
smart meter secUrItyInTEllIgEnT gEnug Für dIE ZukunFT?
Die zunehmende Einspeisung von
Strom aus dezentralen Energiequel-
len, aber auch veränderte Bedarfs-
felder stellen künftige Energiever-
sorgungssysteme vor ganz neue
Herausforderungen. Abhilfe soll das
intelligen te Stromnetz Smart Grid
schaffen, das eine flexiblere Ener-
gieversorgung garantiert. Wichtiger
Bestandteil sind intelligente Strom-
zähler, Smart Meter, die eine ge-
naue Erfassung der Stromnutzung
ermöglichen. Seit Januar 2010 sind
diese in Deutschland für Neubauten
und bei Komplettsanierungen vor-
geschrieben und werden in Zukunft
in den meiseten Haushalten instal-
liert sein. Für einen Angreifer stel-
len Smart Meter interessante An-
griffsziele dar, um bspw.
manipulierte Verbrauchszahlen an
den Energieversorger zu senden.
Das Smart Grid Security Testlabor
am Fraunhofer AISEC hat deshalb
marktübliche Smart Meter gezielt
auf die Möglichkeiten der Kompro-
mittierung untersucht – und zahl-
reiche Schwachstellen gefunden.
Smart Meter sind in ein Kommunikations-
netz eingebunden. Das heißt, sie stehen in
permanentem Kontakt mit den Stromnetz-
betreibern und werden von diesen fernaus-
gelesen. Smart Meter werden aber in Zu-
kunft nicht nur Informationen liefern,
sondern könnten auch steuernde Funkti-
onen übernehmen. Das gibt ihnen eine be-
sondere sicherheitstechnische Bedeutung,
zumal sie sich physisch an Orten befinden,
die sich der Kontrolle und Aufsicht der
Stromnetzbetreiber entziehen.
»Wie der Stuxnet Wurm Mitte 2010 ein-
drucksvoll gezeigt hat, sind auch formal ab-
geschottete Steuerungsnetze wie industri-
elle Steuerungsanlagen nicht automatisch
gegen erfolgreiche Angriffe resistent«, gibt
Dr. Frederic Stumpf zu bedenken. »Geeig-
nete Schutzmaßnahmen müssen von Anbe-
ginn in die Infrastrukturen integriert wer-
den, um derartige Angriffe weitgehend zu
vermeiden und um zu verhindert, dass ma-
nipulierte Smart Meter im Smart Grid zu
Tatwerkzeugen mutieren.«
Die Angriffsszenarien in einem von dezen-
tral erzeugten Informationen abhängigen,
rückgekoppelten Netz sind vielfältig: Beim
Verbraucher installierte Smart Meter und
Gateways können beispielsweise zum
Stromdiebstahl missbraucht werden. Sie
könnten aber auch im schlimmsten Fall,
ähnlich einem Botnet, in großer Zahl dazu
herangezogen werden, ein Stromnetz
durch manipulierte Erzeuger- oder Ver-
brauchsdaten zum kollabieren zu bringen
und Energieversorgung zu gefährden – mit
weitreichenden Folgen für die Volkswirt-
schaft.
Entsprechend hoch sind die Anforderungen
an die Endgeräte. Die Kommunikation zwi-
schen den beteiligten Geräten muss vor
dem Einschleusen falscher Daten ebenso
geschützt werden wie die Dienste zur Erfas-
sung des Stromverbrauch und der Abrech-
nung.
Dr. Frederic Stumpf und sein Team haben
sich deshalb handelsübliche Smart Meter
angesehen und gezielt nach Angriffspunk-
ten gesucht. »Die Ergebnisse waren überra-
schend«, so Stumpf. »Sind die Informa-
tionen auf dem Übertragungsweg weitge-
hend unangreifbar und durch starke krypto-
graphische Algorithmen gut geschützt, so
tun sich am Stromzähler große Lücken auf.«
So sind die Schnittstellen zwischen den Ge-
rätekomponenten häufig leicht zu umge-
hen und dadurch ausgetauschte Daten und
Protokolle einfach mitzulesen – und zu ma-
nipulieren. Besonders einfach und damit
gefährlich, wird der Angriff, wenn bis auf
das Betriebssystem hinab zugegriffen wer-
den kann. In diesem Fall liegen alle Routi-
nen offen; einer gezielten Manipulation
steht nichts mehr im Weg. Sogar die kryp-
tographischen Schlüssel sind damit zugäng-
lich und können beliebig kopiert und gege-
benenfalls manipuliert werden.
Die Forscher am Fraunhofer AISEC analysie-
ren existierende Smart Grid Komponenten,
entwickeln sichere Smart Meter auf der
Basis des Schutzprofils des Bundesamts für
Sicherheit in der Informationstechnik (BSI),
konzipieren Smart Grid Referenzarchitektu-
ren und beraten Bedarfsträger beim Aufbau
und Betrieb sicherer Smart Grids.
Kontakt:
[email protected] nWeitere Informationen: www.aisec.fraunhofer.de
Den Dingen auf den Grund gehen. Im Labor werden Schwachstellen von Hardware analy-siert – auch wenn sie tief verborgen sind.
Smart Meter sind ein Baustein des Intelligenten Stromnetzes (Smart Grid). Deren Sicherheit so-wie die Sicherheit der gesamten IT-Infrastruktur sind entscheidend für den Erfolg von Smart Grid.
5
Viele Unternehmen zögern, ihre Da-
ten oder gar kritische Teile ihrer IT-
Infrastruktur einem Cloud-Anbieter
zu übergeben. Grund dafür sind oft
Unsicherheit und Unerfahrenheit in
Sachen Datensicherheit, Compliance
und Verfügbarkeit.
Damit Anbieter technische und or-
ganisatorische Sicherheitsanforde-
rungen entsprechend der Compli-
ance-Anforderungen ihrer Kunden
auch in der Cloud erfüllen können,
hat das Fraunhofer AISEC unlängst
ein Cloud-Labor in Betrieb genom-
men. Dort testet das Team um Be-
reichsleiter Mario Hoffmann ver-
schiedene Aspekte der System- und
Sicherheitsarchitektur der zugrunde
liegenden Cloud-Betriebssysteme
aus dem kommerziellen und dem
Open Source Bereich, aber auch die
Zuverlässigkeit von Standardfunkti-
onen wie virtuellen Instanzen oder
Fail-over auf Belastungen wie etwa
Denial of Service-Angriffe (DOS).
Das Cloud-Labor des Fraunhofer AISEC be-
gnügt sich nicht nur mit der Analyse der
bestehenden Betriebs- und Anwendungssy-
steme. Es entwickelt ebenfalls Lösungen
zur Datenverschlüsselung, Datenüberwa-
chung und automatischen Datenverschie-
bung in der Cloud. Cloud Computing bietet
Anwendern die Möglichkeit, ihre Prozesse in
virtualisierten Arbeitsumgebungen auszu-
führen, die transparent für den Anwender
von Server zu Server transportiert werden
und damit auch unbemerkt Rechenzen-
trums- und Ländergrenzen überschreiten
können, was nicht nur bei regulatorischen
Anforderungen ein großes Problem darstel-
len kann. Damit Unternehmen das Risiko für
ihre Daten dennoch einschätzen und kon-
trollieren können, haben Mitarbeiter des
Fraunhofer AISEC Lösungen entwickelt, mit
denen sich das Sicherheitsniveau von Cloud-
Angeboten messen und Daten auch in der
Cloud schützen lassen. Grundlage bildet ein
clOUD labOrMIT dEM AuTopIloT durCh dIE Cloud
spezielles Verschlüsselungskonzept, das
Informationen vor dem unbefugten Zu-
griff Dritter schützt und nur bei Bedarf
die je ni gen Informationen entschlüsselt,
die wirklich benötigt werden. Zur Mes-
sung der Sicherheit von Cloud-Diensten
haben die Entwickler Kennwerte ermit-
telt. Diese beinhalten Messwerte zur Ver-
fügbarkeit und anderen überprüfbaren
Sicherheitsmaßnahmen, mit denen das Si-
cherheitsniveau des Anbieters festgestellt
werden kann. Dadurch können Unterneh-
men prüfen, ob das jeweilige System den ei-
genen Anforderungen genügt. Falls nicht,
lassen sich die Daten speziell abgesichert
von einer Cloud in eine andere verschieben.
In einer Studie, die das Team am Fraunhofer
AISEC vor kurzem abgeschlossen hat, stel-
len die Forscher systematisch einen »Ver-
gleich der Sicherheit traditioneller IT-Syste-
me und Public Cloud Computing Systeme«
an. Darin stellen sie fest, dass Sicherheitsa-
spekte von Cloud-Anbietern meist zurück-
haltend behandelt werden. »Hervorgeho-
ben wird stets die betriebswirtschaftliche
Vorteilhaftigkeit von Cloud-Services, Sicher-
heitsimplikationen hingegen werden oft
unsystematisch und per se nachteilig darge-
stellt. Auf diesem Wege werden bereits im
Vorhinein weitergehende Auseinanderset-
zungen mit der Sicherheit in Cloud Compu-
ting Systemen verhindert. Daraus entsteht
der Eindruck, dass die Sicherheit von SaaS
Anwendungen keinerlei Vorteile gegenüber
On-Premise-Lösungen besitzt.«
In der Untersuchung kommen die Forscher
zu einem differenzierten Ergebnis. Es wird
deutlich, dass fortwährende Investitionen
der Anbieter auf allen technologischen Ebe-
nen eines Cloud Computing Systems zu
einem ansteigenden Automatisierungsgrad
führen. Im Vergleich zu traditionellen IT-Sys-
temen wird auf diese Weise vor dem Hin-
tergrund der Arbeitsteilung und Spezialisie-
rung ein effektiverer und effizienterer Um-
gang mit Be drohungen der Sicherheit er-
möglicht. Die große Schwierigkeit für den
Anwender bestehe vor allem darin, gegen-
über den undurch sichtigen Cloud-Struk-
turen Vertrauen in deren Sicherheit aufzu-
bauen. Das gelingt am einfachsten, wenn
der Nutzer eine Definition seiner individu-
ellen Sicherheits anfor derun gen aufstellt,
damit er die Sicherheitsfunktionen alterna-
tiver Anbieter vergleichen kann.
Um solche Vergleiche zu ermöglichen aber
auch um den aktuellen Sicherheitslevel ei-
ner Cloud bestimmen zu können, trägt das
Fraunhofer AISEC in seiner jüngsten Entwick-
lung, dem sogenannten »Cloud-Leitstand«,
Kennzahlen zusammen, die für ein bestimm-
tes Cloud-Ökosystem zur Verfügung stehen.
Diese werden sodann gefiltert, aggregiert
und interpretiert und schließlich zu aussage-
kräftigen Statusmeldungen über das Gesamt-
system zusammengefasst. »In der Praxis er-
möglichen wir so vom Administrator bis zum
Manager eine zielgruppengerechte Aufberei-
tung des jeweiligen Sicherheitsstatus einer
Cloud«, stellt Mario Hoffmann fest. »Mit
dem Cloud-Leitstand gelingt es uns, die in
einem Cloud-Ökosystem zur Verfügung ste-
henden Informationen über den Systemzu-
stand übersichtlich darzustellen. So wird Si-
cherheit für Anbieter wie für Anwender
selbstverständlicher Teil der Cloud-Nutzung.«
Den Überblick behalten: Im Dasboard des Cloud-Leitstand laufen alle wichtigen Kenn-zahlen zusammen und bieten dem Anwender einen klaren, umfassenden Überblick über das System und den Status seiner Prozesse.
Kontakt:
[email protected] nWeitere Informationen: www.cloudsecuritylab.de www.aisec.fraunhofer.de
Impressum
Herausgeber:Fraunhofer Research Institution for Applied and Integrated Security AISECParkring 4, 85748 GarchingTel.: +49 089 3229986-133Fax.: +49 089 3229986-299 [email protected]
Redaktion:Viktor Deleski
Satz und Layout:[email protected]
Text: Bernhard Münkel
LINKS
Bildnachweise:Volker Steger: 4Getty Images: 3Fotolia: 1
MESSEN / VERANSTALTUNGEN+++ RSA Conference, 27.2.–2.3.2012, San Francisco +++ Embedded World, 28.2.–1.3.2012, Nürnberg +++ Mobile World Congress, 27.2.–1.3.2012, Barcelona +++ CeBIT, 6.3.–10.3.2012, Hannover +++ Hannover Messe Industrie 23.4.–27.4.2012, Hannover +++ Aktuelle Termine zu Messen, Kongressen, Symposien unter:http://www.aisec.fraunhofer.de/de/messen-veranstaltungen.html
n Studie: Smart Grid Communications 2020 http://www.esk.fraunhofer.de/de/publikationen/studien/SmartGrid2020.html
n Infomaterial: Produktschutz (Verband Deutscher Maschinen- und Anlagenbau e.V.)
http://www.vdma.org/wps/portal/Home/de/Branchen/K/KUG/Produktschutz?WCM_GLOBAL_CONTEXT=/vdma/Home/de/
Branchen/K/KUG/Produktschutz
n Video: »Der Spion im Keller« – Bayerischer Rundfunk (Kontrovers)
http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/kontrovers/111109-kontrovers-smartmeter104.html
FRAUNHOFER AISEC IN DEN SOCIAL MEDIA
http://gplus.cm/FraunhoferAISEC
mobile
APT
social engeneering
Iinfrastructure
BYOD
targeted
social media
SQL/XSS
DOoS
privacy
others
Fraunhofer AISEC@FraunhoferAISEC München | Munich
Hier twittert das PR-Team der Fraunhofer Research Institution for Applied and Integrated Security AISEC | http://bit.ly/AISEC_impressumhttp://www.aisec.fraunhofer.de
THREAT VECTORS 2012Die amerikanische Zeitschrift infosecurity befragte mehr als 20 IT-Si-
cherheits-Unternehmen nach den größten Bedrohungen für 2012.
BITKOM: HIGHTECH-TRENDS 2012
Quelle: eigene Grafik, erstellt nach http://www.infosecurity-magazine.com/view/22567/2012-threat-predictions-an-industry-roundup/
Quelle: http://www.bitkom.org/de/presse/8477_70999.aspx