SlideShare una empresa de Scribd logo

Internet of (Every)Thing

Fraunhofer AISEC
Fraunhofer AISEC

Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.

Tecnología
1 de 34
Descargar para leer sin conexión
Prof. Claudia Eckert Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Hamburger IT-Strategie-Tage, Februar 2015 Internet of (Every)thing
Gliederung 1. IoT: Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
Digitalisierung ist nicht neu, aber  Vernetzung  Internet der Dinge und Dienste  Vernetzung von Industrial IT und Business IT  Unternehmensübergreifend  Vom Sensor in die Cloud
It‘s all about Data Vielzahl von Daten:  Produktions-, Produktdaten,  Wartungs-, Logistik-, Kundendaten Digitalisierung  Horizontale und vertikale Integration der Wertschöpfungsprozesse „Who owns the data wins the war“
BigData und Vernetzung: Neue Geschäftsmodelle COPYRIGHT beachten! Bilder und Grafiken nur für internen Gebrauch! Data-driven Innovations
Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
2. Bedrohungslage Zunehmende Verwundbarkeit  Manipulation  Datendiebstahl  Wirtschaftsspionage  Sabotage  Produktpiraterie Safety-Probleme durch IT-Security-Incidents!
 > 37 % der Sicherheitsvorfälle 2014 wird Schwachstellen in Anwendungen oder deren Konfiguration zugeordnet  > 50 % der Organisationen verwenden keinen sicheren Softwarelebenszyklus  Größte Hürden zur Verbesserung der Softwaresicherheit:  Geringe Kenntnisse  Fehlende Werkzeuge  Unpassende Methoden 96%der untersuchten Anwendungen hat Sicherheitsschwachstellen. 14Sicherheitsschwachstellen pro Anwendung identifiziert. Dabei wurden im Mittel Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Unsichere Software
Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft  Unauthorized Spare Parts  Espionage / Hardware Trojan 2. Bedrohungen: Unsichere smarte Produkte Attack Scenarios  Altering / Tampering  Hardware Trojan Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft Attack Scenarios  Firmware Manipulation  Software Piracy Attack Scenarios  Reverse Engineering  Cloning (Example in 2008: UFS912)  Circumventing of Copy Protection  Firmware Manipulation Attack Scenarios  Reverse Engineering  Product Counterfeiting  IP Theft  Cloning (N97: Nokia vs Nokla)  Firmware Manipulation  Software Piracy Attack Scenarios  Firmware Reverse Engineering  Circumventing of Copy Protection  Manipulation (firmware, hardware)  Software / iracy Scale Set-top box Game Console Mobile Phone / PDA Satnav EC Terminal Industrial Automation & Equipment
Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Ungeschützte Anlagen Zugriff auf Steuergeräten in Industrieanlagen Beispiel: Fernwärmekraftwerke: Versorgung mit Mausklick manipulierbar
Standard-IT Security nicht direkt übertragbar: Sicherheits-Management ist notwendig! Office ITIndustrial IT Application of patches Availability requirement Security testing / audit Physical Security Security Awareness Anti-virus Component Lifetime Real time requirement Security Standards Regular / scheduled Medium, delays accepted Scheduled and mandated High (for critical IT) High Common / widely used 3-5 years Delays accepted Existing Slow Very high Occasional Very much varying Increasing Uncommon / hard to deploy Up to 20 years Critical Under development
2. Bedrohungslage: IoT Unsichere Produkte (Hardware) Unsichere (eingebettete) Software, Unsichere Anlagen (Produktion...)  Unsichere Fernwartung,  Unsichere mobile Geräte,  Gefährdung der Betriebssicherheit  Unsicherer Einsatz von Standard-IT
Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
1. Software-Sicherheit über Lebenszyklus 2. Sicherheits-Analysen 3. App-Sicherheit 4. Mobile Device-Sicherheit 3. Lösungsansätze
3.1 Software-Sicherheit  Vorschläge sind heterogen, isoliert und (die Werkzeuge) unreif  Integration, Konkretisierung und Parametrisierung erforderlich
Integration konsolidierter Maßnahmen für  Konstruktion,  Analyse und Überwachung  Werkzeugunterstützung im gesamten Lebenszyklus Iterativ inkrementelle Optimierung über  Audit, Zielbestimmung, Umsetzung und Überwachung des Lebenszyklus Nutzen: Messbare Verbesserung gemäß individuellem Risikoprofil, einheitliche Bewertungs-Standards 3.1 Software-Sicherheit Lebenszyklus
3.2 Sicherheitsanalyse Beispiel: Hardware/Sensorik/Produkte Fragestellungen: u.a.  Krypto-Schlüssel extrahierbar?  Verhalten gezielt beeinflussbar?  Hardware-Trojaner implantiert? Analyse-Techniken: u.a.  Hochauflösende Magnetfeldmessungen  Multisonden-Messungen  Fehler-Injektion: Mehrfach-Laser-Aufbau
3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Fernzugriff auf Roboter-Controller via Netzverbindung  Controller akzeptiert Befehle über die Netzwerkverbindung z.B. Auslesen von Benutzerinformationen: Name, Passwort  Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)  Fehlende Überprüfung von FTP-Benutzer und Passwort!  Aktivierung der Debug-Schnittstelle von VxWorks (WDB)  volle Kontrolle über das Betriebssystem! Engineering Station im Büronetz
3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz
Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Angreifer schickt Phishing E-Mail mit Link
Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Mitarbeiter öffnet Link in Browser
Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Browser-Exploit ermöglicht Laden einer Payload des Angreifers in den Arbeitsspeicher
Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Die Payload baut ausgehend vom internen Netz eine Verbindung zum Server des Angreifers auf
Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Der Angreifer kann nun über den infizierten Rechner sämtliche genannten Schwachstellen des Roboters ausnutzen
3.3 App-Sicherheit Trusted-App-Store: unternehmensintern Probleme:  Informationslecks? Compliance?  Speichern von Zugangsdaten? für Amazon, Twitter, Facebook Analyse-Framework AppRay:  Informationsflussanalysen  Verhaltensanalyse in simulierter Umgebung  Code-Instrumentierung, u.a. Überwachen von zur Laufzeit konstruierten Zugangs-Tokens
Check von 10.000 Android Apps (aus Google PlayStore)  Untersuchung von 10.000 Android Apps im 1. Quartal 2014  69% der Apps kommunizieren unverschlüsselt  26% nutzen SSL-Verbindungen, sind jedoch nicht sicher umgesetzt  49% der Apps ermitteln den genauen Standort des Geräts  448 Apps versenden eine eindeutige Gerätekennung (u.a. IMEI)  Noch vor der Vergabe von Privilegien funken zahlreiche Apps bereits Informationen ins Internet Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
Nutzen: Betrieb eines Trusted-AppStores Kontroll- und Datenflussanalysen, Compliance-Check Telefonnummer des Nutzers Weiterleitung an App
Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen: Originale App speichert Notizen im Klartext: Instrumentierte App speichert verschlüsselt: Weitere Beispiele:  Kopierschutz, Internet Proxy einfügen  bekannte Schwachstellen, Werbung, … entfernen Unternehmens-interner Trusted-AppStore Automatisierte App Härtung, Bsp SimpleNotepad Dies ist eine Testnotiz MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A q5Av73LBsm 6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
3.4 Mobile Sicherheit Sichere Android-Plattformen: CeBIT2015 Problem:  Datenlecks durch unsichere mobile Geräte: Smartphone, Tablet, … Ursachen:  Fehlende Isolation, fehlende Kontrollen Lösung: trust|x  Android-basiert + Secure Element  Kontexte: Business, Produktion, HR, privat, …: einfach, flexibel, isoliert
Sicherer Speicher für Schlüssel, PINs  Sicherer Speicher durch secure Element, z.B. sichere microSD Karte  Sicheres Speichern von kryptographischen Schlüsseln, PINs, Passworten, Zertifikaten, Prüfwerten, z.B. Schlüssel für VPN, Mail Transparentes VPN  kein direkter ´Internet Zugriff,  Vollständig kontrollierte Netzanbindung für Sicherheits-Container 3.4 Mobile Sicherheit Sichere Android-Plattformen
3.4 Mobile Sicherheit Sichere Android-Plattformen Sicheres Geräte-Management  Remote Verwaltung der Geräte durch IT-Abteilung  Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen Endgeräten;  Zentralisiertes Einspielen von Software-Updates  Sichere Verbindung zum Backend U.a. remote Wipe für Sicherheits- Container, nicht für private Umgebungen (Datenschutz)
Kontextverwaltung: Szenario: Auslandsaufenthalt (1) Isolierter Container auf trust|x Gerät erzeugt (2) Kontext-Transfer (3) Nutzen (4) Synchronisieren (5) Bei Bedarf: Recovery 3.4 Mobile Sicherheit Sichere Android-Plattform (1) (2) (3) (4) (5)
4. Take Home Message IoT: Erweiterte Anforderungen an das Sicherheits- Management:  Produktion, Produkt, Business-Security: Wechselwirkungen, Safety! Kritische Handlungsfelder:  Sichere Software über Lebenszyklus  Schwachstellen-Analysen (Systemsicht)  Mobile Sicherheit: kontrollierbar, managed
Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer-Institut AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: info@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de Twitter: @FraunhoferAISEC

Recomendados

Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterDidactum
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 

Recomendados

Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Sensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterSensor Türkontakt - Sicherheit für Türen und Fenster
Sensor Türkontakt - Sicherheit für Türen und FensterDidactum
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITnetlogix
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandelnDidactum
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...Didactum
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityJonathan Weiss
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Bechtle
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren WM-Pool Pressedienst
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGrunerAxel S. Gruner
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
CCPP
CCPPCCPP
CCPPNadineZ
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerDidactum
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC - Christian Wild Management Consultants
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieFlorian Brunner
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 

Más contenido relacionado

La actualidad más candente

4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandelnDidactum
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...Didactum
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application SecurityJonathan Weiss
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Bechtle
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren WM-Pool Pressedienst
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGrunerAxel S. Gruner
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerDidactum
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 

La actualidad más candente (18)

4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
4-20 mAmp Messkonverter - Analoge Messwerte erfassen und umwandeln
 
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
AKCP securityProbe 5E Alarm Server - Umwelt- und Sicherheitsüberwachung & Zut...
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und ErschütterungenDidactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
Didactum Erschütterungsmelder - Erkennung von Vibrationen und Erschütterungen
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019Endpoint Detection & Response | Bechtle Competence Days 2019
Endpoint Detection & Response | Bechtle Competence Days 2019
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren
 
BigData-IT-Security-AGruner
BigData-IT-Security-AGrunerBigData-IT-Security-AGruner
BigData-IT-Security-AGruner
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
CCPP
CCPPCCPP
CCPP
 
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm ServerInfrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
Infrastruktur-Überwachung mit dem AKCP securityProbe 5E-X20 Alarm Server
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 

Similar a Internet of (Every)Thing

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?WM-Pool Pressedienst
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieFlorian Brunner
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things ArchitectureChristian Waha
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012jenny_splunk
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzFraunhofer AISEC
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLeonieDelphineReschr
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 

Similar a Internet of (Every)Thing (20)

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte Industrie
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 

Más de Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthFraunhofer AISEC
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsFraunhofer AISEC
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceFraunhofer AISEC
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Fraunhofer AISEC
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftFraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity ManagementFraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportFraunhofer AISEC
 

Más de Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
 

Internet of (Every)Thing

  • 1. Prof. Claudia Eckert Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Hamburger IT-Strategie-Tage, Februar 2015 Internet of (Every)thing
  • 2. Gliederung 1. IoT: Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 3. Digitalisierung ist nicht neu, aber  Vernetzung  Internet der Dinge und Dienste  Vernetzung von Industrial IT und Business IT  Unternehmensübergreifend  Vom Sensor in die Cloud
  • 4. It‘s all about Data Vielzahl von Daten:  Produktions-, Produktdaten,  Wartungs-, Logistik-, Kundendaten Digitalisierung  Horizontale und vertikale Integration der Wertschöpfungsprozesse „Who owns the data wins the war“
  • 5. BigData und Vernetzung: Neue Geschäftsmodelle COPYRIGHT beachten! Bilder und Grafiken nur für internen Gebrauch! Data-driven Innovations
  • 6. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 7. 2. Bedrohungslage Zunehmende Verwundbarkeit  Manipulation  Datendiebstahl  Wirtschaftsspionage  Sabotage  Produktpiraterie Safety-Probleme durch IT-Security-Incidents!
  • 8.  > 37 % der Sicherheitsvorfälle 2014 wird Schwachstellen in Anwendungen oder deren Konfiguration zugeordnet  > 50 % der Organisationen verwenden keinen sicheren Softwarelebenszyklus  Größte Hürden zur Verbesserung der Softwaresicherheit:  Geringe Kenntnisse  Fehlende Werkzeuge  Unpassende Methoden 96%der untersuchten Anwendungen hat Sicherheitsschwachstellen. 14Sicherheitsschwachstellen pro Anwendung identifiziert. Dabei wurden im Mittel Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Unsichere Software
  • 9. Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft  Unauthorized Spare Parts  Espionage / Hardware Trojan 2. Bedrohungen: Unsichere smarte Produkte Attack Scenarios  Altering / Tampering  Hardware Trojan Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft Attack Scenarios  Firmware Manipulation  Software Piracy Attack Scenarios  Reverse Engineering  Cloning (Example in 2008: UFS912)  Circumventing of Copy Protection  Firmware Manipulation Attack Scenarios  Reverse Engineering  Product Counterfeiting  IP Theft  Cloning (N97: Nokia vs Nokla)  Firmware Manipulation  Software Piracy Attack Scenarios  Firmware Reverse Engineering  Circumventing of Copy Protection  Manipulation (firmware, hardware)  Software / iracy Scale Set-top box Game Console Mobile Phone / PDA Satnav EC Terminal Industrial Automation & Equipment
  • 10. Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Ungeschützte Anlagen Zugriff auf Steuergeräten in Industrieanlagen Beispiel: Fernwärmekraftwerke: Versorgung mit Mausklick manipulierbar
  • 11. Standard-IT Security nicht direkt übertragbar: Sicherheits-Management ist notwendig! Office ITIndustrial IT Application of patches Availability requirement Security testing / audit Physical Security Security Awareness Anti-virus Component Lifetime Real time requirement Security Standards Regular / scheduled Medium, delays accepted Scheduled and mandated High (for critical IT) High Common / widely used 3-5 years Delays accepted Existing Slow Very high Occasional Very much varying Increasing Uncommon / hard to deploy Up to 20 years Critical Under development
  • 12. 2. Bedrohungslage: IoT Unsichere Produkte (Hardware) Unsichere (eingebettete) Software, Unsichere Anlagen (Produktion...)  Unsichere Fernwartung,  Unsichere mobile Geräte,  Gefährdung der Betriebssicherheit  Unsicherer Einsatz von Standard-IT
  • 13. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  • 14. 1. Software-Sicherheit über Lebenszyklus 2. Sicherheits-Analysen 3. App-Sicherheit 4. Mobile Device-Sicherheit 3. Lösungsansätze
  • 15. 3.1 Software-Sicherheit  Vorschläge sind heterogen, isoliert und (die Werkzeuge) unreif  Integration, Konkretisierung und Parametrisierung erforderlich
  • 16. Integration konsolidierter Maßnahmen für  Konstruktion,  Analyse und Überwachung  Werkzeugunterstützung im gesamten Lebenszyklus Iterativ inkrementelle Optimierung über  Audit, Zielbestimmung, Umsetzung und Überwachung des Lebenszyklus Nutzen: Messbare Verbesserung gemäß individuellem Risikoprofil, einheitliche Bewertungs-Standards 3.1 Software-Sicherheit Lebenszyklus
  • 17. 3.2 Sicherheitsanalyse Beispiel: Hardware/Sensorik/Produkte Fragestellungen: u.a.  Krypto-Schlüssel extrahierbar?  Verhalten gezielt beeinflussbar?  Hardware-Trojaner implantiert? Analyse-Techniken: u.a.  Hochauflösende Magnetfeldmessungen  Multisonden-Messungen  Fehler-Injektion: Mehrfach-Laser-Aufbau
  • 18. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Fernzugriff auf Roboter-Controller via Netzverbindung  Controller akzeptiert Befehle über die Netzwerkverbindung z.B. Auslesen von Benutzerinformationen: Name, Passwort  Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)  Fehlende Überprüfung von FTP-Benutzer und Passwort!  Aktivierung der Debug-Schnittstelle von VxWorks (WDB)  volle Kontrolle über das Betriebssystem! Engineering Station im Büronetz
  • 19. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz
  • 20. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Angreifer schickt Phishing E-Mail mit Link
  • 21. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Mitarbeiter öffnet Link in Browser
  • 22. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Browser-Exploit ermöglicht Laden einer Payload des Angreifers in den Arbeitsspeicher
  • 23. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Die Payload baut ausgehend vom internen Netz eine Verbindung zum Server des Angreifers auf
  • 24. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Der Angreifer kann nun über den infizierten Rechner sämtliche genannten Schwachstellen des Roboters ausnutzen
  • 25. 3.3 App-Sicherheit Trusted-App-Store: unternehmensintern Probleme:  Informationslecks? Compliance?  Speichern von Zugangsdaten? für Amazon, Twitter, Facebook Analyse-Framework AppRay:  Informationsflussanalysen  Verhaltensanalyse in simulierter Umgebung  Code-Instrumentierung, u.a. Überwachen von zur Laufzeit konstruierten Zugangs-Tokens
  • 26. Check von 10.000 Android Apps (aus Google PlayStore)  Untersuchung von 10.000 Android Apps im 1. Quartal 2014  69% der Apps kommunizieren unverschlüsselt  26% nutzen SSL-Verbindungen, sind jedoch nicht sicher umgesetzt  49% der Apps ermitteln den genauen Standort des Geräts  448 Apps versenden eine eindeutige Gerätekennung (u.a. IMEI)  Noch vor der Vergabe von Privilegien funken zahlreiche Apps bereits Informationen ins Internet Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
  • 27. Nutzen: Betrieb eines Trusted-AppStores Kontroll- und Datenflussanalysen, Compliance-Check Telefonnummer des Nutzers Weiterleitung an App
  • 28. Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen: Originale App speichert Notizen im Klartext: Instrumentierte App speichert verschlüsselt: Weitere Beispiele:  Kopierschutz, Internet Proxy einfügen  bekannte Schwachstellen, Werbung, … entfernen Unternehmens-interner Trusted-AppStore Automatisierte App Härtung, Bsp SimpleNotepad Dies ist eine Testnotiz MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A q5Av73LBsm 6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
  • 29. 3.4 Mobile Sicherheit Sichere Android-Plattformen: CeBIT2015 Problem:  Datenlecks durch unsichere mobile Geräte: Smartphone, Tablet, … Ursachen:  Fehlende Isolation, fehlende Kontrollen Lösung: trust|x  Android-basiert + Secure Element  Kontexte: Business, Produktion, HR, privat, …: einfach, flexibel, isoliert
  • 30. Sicherer Speicher für Schlüssel, PINs  Sicherer Speicher durch secure Element, z.B. sichere microSD Karte  Sicheres Speichern von kryptographischen Schlüsseln, PINs, Passworten, Zertifikaten, Prüfwerten, z.B. Schlüssel für VPN, Mail Transparentes VPN  kein direkter ´Internet Zugriff,  Vollständig kontrollierte Netzanbindung für Sicherheits-Container 3.4 Mobile Sicherheit Sichere Android-Plattformen
  • 31. 3.4 Mobile Sicherheit Sichere Android-Plattformen Sicheres Geräte-Management  Remote Verwaltung der Geräte durch IT-Abteilung  Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen Endgeräten;  Zentralisiertes Einspielen von Software-Updates  Sichere Verbindung zum Backend U.a. remote Wipe für Sicherheits- Container, nicht für private Umgebungen (Datenschutz)
  • 32. Kontextverwaltung: Szenario: Auslandsaufenthalt (1) Isolierter Container auf trust|x Gerät erzeugt (2) Kontext-Transfer (3) Nutzen (4) Synchronisieren (5) Bei Bedarf: Recovery 3.4 Mobile Sicherheit Sichere Android-Plattform (1) (2) (3) (4) (5)
  • 33. 4. Take Home Message IoT: Erweiterte Anforderungen an das Sicherheits- Management:  Produktion, Produkt, Business-Security: Wechselwirkungen, Safety! Kritische Handlungsfelder:  Sichere Software über Lebenszyklus  Schwachstellen-Analysen (Systemsicht)  Mobile Sicherheit: kontrollierbar, managed
  • 34. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer-Institut AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: info@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de Twitter: @FraunhoferAISEC