Cyber SicherheitHerausforderungen aus Sicht der Wissenschaft

Claudia Eckert

Fraunhofer AISEC TU München

Workshop: der AG 4 des IT-Gipfels: Cyber Sicherheit gemeinsam gestaltenEssen, 12.11. 2012

1

Sicherheit durch und Sicherheit vonvernetzten IKT-Systemen

THESE: CYBER SICHERHEIT ist

Unsicherheit durch vernetzte und unsichere IKT-Systeme

CYBER SICHERHEIT: Heute

Unsichere Hardware:• Manipulierbar, fälschbar

Unsichere Software-(Architekturen)• Verwundbar, missbrauchbar

Unsicherer operativer Betrieb• Verletzlich, störbar

Faktor Mensch• Manipulierbar, ausnutzbar

CYBER SICHERHEIT: Heute

Technologie GestaltungSicheres Design & Designed for Security

• Technologie-Führerschaft ausbauen• Standards setzen• Abhängigkeiten verringern

CYBER SICHERHEIT erfordert

Vertrauenswürdige Hardware

• Effiziente Sicherheitsfunktionen: u.a.energieeffiziente Verschlüsselung

• Fälschungssicherheit: u.a.nicht clone-bare Identität (PUF),nachweisliche Malware-Freiheit

• Angriffstolerant: u.a.hohe Seitenkanalresistenz

Designed for Security

Sichere System-Architekturen • Prävention: u.a. Separierung

• Detektion: u.a. Selbst-Schutz:kontinuierliches Monitoring

• Reaktion: u.a. Selbst-Heilung:Abschalten, Re-Konfigurieren

Beispiel Secure Smart Meter

UnsicherePlattformenz.B. Android

Virtual Machine Introspection

Hardware, z.B. HSM, Multi-Core

SicheresBetriebssystem

Designed for Security

CYBER SICHERHEIT erfordert

Proaktive & Reaktive Maßnahmen: Angriffsresistenz, Resilience

• Early Warning & Reaktion für nachhaltige Sicherheit • Sicherheits-Evaluierung für Vertrauensaufbau

Proaktive & reaktive Maßnahmen

Resiliente Infrastrukturen

• Proaktive Angriffserkennung: u.a. automatisierte Erkennung von Schadcode

• Sichere Kollaboration: u.a. Secure Multi-PartyComputation z.B. zwischen CERTs

• Cloud-Networking: u.a. Smarte Router („cloud@the edge“),Potential SDN: differenzierte Sicherheitsregeln

Sicherheitsevaluierung• Hardware-Sicherheit: u.a.

Hardware-Trojaner Freiheit,Robustheit gegen Fehlerinjektion

• Software-Sicherheit u.a.Code-Analysen, Fuzzing, Tainting„Gesundheits“-Checks für Apps

• Infrastruktur-Sicherheit: u.a.Cloud-Monitoring, Zertifizierung

Proaktive & reaktive Maßnahmen

• Vernetzung: Forschung, Industrie, Politik:Technologie-Führerschaft ausbauen

• Treiben, statt getrieben werden:Standards setzen

• Vertrauen schaffen durch Qualitätsnachweise: Sicherheits-Test-Zentren betreiben

Fazit:

Cyber Sicherheit als Chance nutzen

Sicherheitskultur gemeinsam entwickeln

Vielen Dank für Ihre Aufmerksamkeit!

Claudia Eckert

Fraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der Informatik

E-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.de

http://www.aisec.fraunhofer.de