Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
3. Digitalisierung ist nicht neu, aber
Vernetzung
Internet der Dinge und Dienste
Vernetzung von Industrial IT und Business IT
Unternehmensübergreifend
Vom Sensor in die Cloud
4. It‘s all about Data
Vielzahl von Daten:
Produktions-, Produktdaten,
Wartungs-, Logistik-, Kundendaten
Digitalisierung
Horizontale und vertikale Integration
der Wertschöpfungsprozesse
„Who owns the data wins the war“
5. BigData und Vernetzung:
Neue Geschäftsmodelle
COPYRIGHT beachten!
Bilder und Grafiken nur für internen Gebrauch!
Data-driven Innovations
8. > 37 % der Sicherheitsvorfälle
2014 wird Schwachstellen in
Anwendungen oder deren
Konfiguration zugeordnet
> 50 % der Organisationen
verwenden keinen sicheren
Softwarelebenszyklus
Größte Hürden zur Verbesserung
der Softwaresicherheit:
Geringe Kenntnisse
Fehlende Werkzeuge
Unpassende Methoden
96%der untersuchten Anwendungen
hat Sicherheitsschwachstellen.
14Sicherheitsschwachstellen pro
Anwendung identifiziert.
Dabei wurden im Mittel
Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a.
2. Bedrohungslage: Unsichere Software
11. Standard-IT Security nicht direkt übertragbar:
Sicherheits-Management ist notwendig!
Office ITIndustrial IT
Application of patches
Availability requirement
Security testing / audit
Physical Security
Security Awareness
Anti-virus
Component Lifetime
Real time requirement
Security Standards
Regular / scheduled
Medium, delays accepted
Scheduled and mandated
High (for critical IT)
High
Common / widely used
3-5 years
Delays accepted
Existing
Slow
Very high
Occasional
Very much varying
Increasing
Uncommon / hard to deploy
Up to 20 years
Critical
Under development
12. 2. Bedrohungslage: IoT
Unsichere Produkte (Hardware)
Unsichere (eingebettete) Software,
Unsichere Anlagen (Produktion...)
Unsichere Fernwartung,
Unsichere mobile Geräte,
Gefährdung der Betriebssicherheit
Unsicherer Einsatz von Standard-IT
18. 3.2 Beispiel:
Sicherheitsanalyse eines Industrie-Roboters
Fernzugriff auf Roboter-Controller via Netzverbindung
Controller akzeptiert Befehle über die Netzwerkverbindung
z.B. Auslesen von Benutzerinformationen: Name, Passwort
Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)
Fehlende Überprüfung von FTP-Benutzer und Passwort!
Aktivierung der Debug-Schnittstelle von VxWorks (WDB)
volle Kontrolle über das Betriebssystem!
Engineering
Station im
Büronetz
19. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters
Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung
Rechner des
Angreifers
im Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
22. Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Browser-Exploit ermöglicht
Laden einer Payload des
Angreifers in den Arbeitsspeicher
23. Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Die Payload baut ausgehend vom internen Netz
eine Verbindung zum Server des Angreifers auf
24. Konkreter Angriff
Rechner des
Angreifers im
Internet
Firewall des
Firmennetzes
Engineering
Station im
Büronetz
Der Angreifer kann nun über den infizierten Rechner
sämtliche genannten Schwachstellen des Roboters ausnutzen
25. 3.3 App-Sicherheit
Trusted-App-Store: unternehmensintern
Probleme:
Informationslecks? Compliance?
Speichern von Zugangsdaten?
für Amazon, Twitter, Facebook
Analyse-Framework AppRay:
Informationsflussanalysen
Verhaltensanalyse in simulierter Umgebung
Code-Instrumentierung, u.a. Überwachen von zur
Laufzeit konstruierten Zugangs-Tokens
26. Check von 10.000 Android Apps
(aus Google PlayStore)
Untersuchung von 10.000 Android Apps
im 1. Quartal 2014
69% der Apps kommunizieren
unverschlüsselt
26% nutzen SSL-Verbindungen, sind
jedoch nicht sicher umgesetzt
49% der Apps ermitteln den genauen
Standort des Geräts
448 Apps versenden eine eindeutige
Gerätekennung (u.a. IMEI)
Noch vor der Vergabe von Privilegien
funken zahlreiche Apps bereits
Informationen ins Internet
Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
27. Nutzen: Betrieb eines Trusted-AppStores
Kontroll- und Datenflussanalysen, Compliance-Check
Telefonnummer
des Nutzers
Weiterleitung
an App
28. Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen:
Originale App speichert Notizen im Klartext:
Instrumentierte App speichert verschlüsselt:
Weitere Beispiele:
Kopierschutz, Internet Proxy einfügen
bekannte Schwachstellen, Werbung, … entfernen
Unternehmens-interner Trusted-AppStore
Automatisierte App Härtung, Bsp SimpleNotepad
Dies ist eine Testnotiz
MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A
q5Av73LBsm
6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
29. 3.4 Mobile Sicherheit
Sichere Android-Plattformen: CeBIT2015
Problem:
Datenlecks durch unsichere mobile Geräte: Smartphone,
Tablet, …
Ursachen:
Fehlende Isolation, fehlende Kontrollen
Lösung: trust|x
Android-basiert + Secure Element
Kontexte: Business, Produktion, HR, privat, …: einfach,
flexibel, isoliert
30. Sicherer Speicher für Schlüssel, PINs
Sicherer Speicher durch secure Element, z.B.
sichere microSD Karte
Sicheres Speichern von kryptographischen
Schlüsseln, PINs, Passworten, Zertifikaten,
Prüfwerten, z.B. Schlüssel für VPN, Mail
Transparentes VPN
kein direkter ´Internet Zugriff,
Vollständig kontrollierte Netzanbindung
für Sicherheits-Container
3.4 Mobile Sicherheit
Sichere Android-Plattformen
31. 3.4 Mobile Sicherheit
Sichere Android-Plattformen
Sicheres Geräte-Management
Remote Verwaltung der Geräte durch IT-Abteilung
Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen
Endgeräten;
Zentralisiertes Einspielen von
Software-Updates
Sichere Verbindung zum Backend
U.a. remote Wipe für Sicherheits-
Container, nicht für private Umgebungen
(Datenschutz)
33. 4. Take Home Message
IoT: Erweiterte Anforderungen an das Sicherheits-
Management:
Produktion, Produkt, Business-Security:
Wechselwirkungen, Safety!
Kritische Handlungsfelder:
Sichere Software über Lebenszyklus
Schwachstellen-Analysen (Systemsicht)
Mobile Sicherheit: kontrollierbar, managed
34. Vielen Dank für Ihre Aufmerksamkeit!
Claudia Eckert
Fraunhofer-Institut AISEC, München
TU München, Lehrstuhl für Sicherheit in der Informatik
E-Mail: info@aisec.fraunhofer.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de
Twitter: @FraunhoferAISEC