SlideShare a Scribd company logo

Zukunftstrends von Informationstechnologie und Cyber-Sicherheit

Fraunhofer Institute for Secure Information Technology
Fraunhofer Institute for Secure Information Technology

Fraunhofer SIT-Institutsleiter Prof. Michael Waidner präsentiert auf der Fachkonferenz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 30. Mai 2012 in Bonn Kooperationsmodelle und Lösungsansätze in der Cyber-Sicherheit.

TechnologyBusiness
1 of 24
Download to read offline
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit Prof. Dr. Michael Waidner Fraunhofer SIT und TU Darmstadt michael.waidner@sit.fraunhofer.de Fraunhofer-Gesellschaft 2011 ©© Fraunhofer-Gesellschaft 2012 Cyber-Sicherheit – Kooperationsmodelle und Lösungsansätze BSI Fachkonferenz, Bonn, 30. Mai 2012 Page 1 of 24
Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 2 of 24
Vier Phasen des Cyber-Raums Zeithorizont von ca. 5 Jahren 1. 2. 3. 4. Data Center Outsourcing, User-gen. Content, Instrumentierte Welt, Public Cloud Social Networks, Big Data Massive Info-Sharing „Morgenstadt“ + Mobile IT + BYOD Offen © Fraunhofer-Gesellschaft 2012 In Forschung Im Einsatz Page 3 of 24
Instrumentierte Welt … und meistens gibt es schon “gehackte” Beispiele         © Fraunhofer-Gesellschaft 2012   Page 4 of 24
Eigentlich ist das IT-Sicherheitsproblem gelöst … nur © Fraunhofer-Gesellschaft 2012 Page 5 of 24
Eigentlich ist das IT-Sicherheitsproblem gelöst … nur (1) Wir machen immer wieder dieselben Fehler  Sicherheit oft nachgeordnetes Ziel  Vulnerabilities = Fehler  in Design, Code, Configs  im Sicherheitsmodell  in der Integration (Kontext, Identitäten, Events)  Menschen: Entwickler, Administratoren, Endnutzer  Überfordert und unmotiviert  Neugierde, Effizienz, Vertrauen  Schlechtes IT-Management, kein Überblick, keine Frühwarnfähigkeiten © Fraunhofer-Gesellschaft 2012  Mangelndes Fachwissen bei Entwicklern & Admins Page 6 of 24
(2) Angriffe werden insgesamt professioneller und gezielter Industrialisierung + Zielorientierung (“APT”) © Fraunhofer-Gesellschaft 2012 + Privatsphäre vs. Facebook, Google, Big Data? Page 7 of 24
(3) Sicherheit hat ihre „natürlichen“ Grenzen  Komplexität von IT  Menschen machen Fehler: Unmöglich, SW/HW fehlerfrei herzustellen oder zu nutzen  Sicherheitsaufwand muss Risiko angemessen sein, 80/20  Unsichere Systeme  Unsichere Attribution von Angreifern  Möglicherweise unsicheres Verhalten ist oft gewollt oder notwendig und darf nicht verhindert werden  Nutzung von IT braucht im allg. Freiheitsgrade  IT mit zu starken Einschränkungen wird umgangen  Überwachung schafft neue Risiken © Fraunhofer-Gesellschaft 2012  Überwachungsmechanismen sind neues Angriffsziel  Erschwert Schutz der Privatsphäre  Online Social Networks als freiwillige (?) Überwachung Page 8 of 24
Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 9 of 24
Security and Privacy by Design Sicherheit wird umso kostengünstiger, je früher sie hergestellt wird 7600 Security by Patching Security by Design 960 80 240 © Fraunhofer-Gesellschaft 2012 Code Build QA Deployed Average costs per defect (in USD) -- Source: IBM 2009 Page 10 of 24
BMBF-Finanziertes Zentrum für Cybersecurity-Forschung (2011 – 2019)  TU Darmstadt + Fraunhofer SIT  Wissenschaftliche Exzellenz  Security & Privacy by Design  Trends  Anwendungen und Architekturen  Methoden (stat/dyn Analyse, Patterns, …)  Bausteine (Krypto, Policy, Hardware)  Fokus auf exzellente Nachwuchsgruppen  Claude Shannon Fellows  Stand: 2 von ca. 6 CSF’s besetzt © Fraunhofer-Gesellschaft 2012  Schwesterzentren in Karlsruhe, Saarbrücken http://www.ec-spride.de Page 11 of 24
Security Design – A Systematic Approach Make no mistake during development or operation along the entire supply chain Supply chain Development process Operation Components incl. OSS Develop Integrate as part of Products Develop Integrate as part of Solutions Develop Operate Incident Assure quality Know what can go wrong, Deploy and use Know how to do it right properly © Fraunhofer-Gesellschaft 2012  Testing, Review  Awareness and training Documentation of  Approval  Analysis and design methods security properties and  Standardization  Good practices, patterns assumptions Page 12 of 24
Security Design – A Systematic Approach Our Vision: a systematic approach to secure software development Security concept documentation Security concept artifacts Complete security Practical analysis methods Develop- Security design and implementation ment © Fraunhofer-Gesellschaft 2012 process Secure product Page 13 of 24
Example: Threat Modeling, Promise & Reality Experiment at Fraunhofer SIT Subject 1 Consistent assessments including partial matches  Three experienced security engineers, products and threat modelling techniques Subject 3 Subject 2 © Fraunhofer-Gesellschaft 2012  Each subject identified about 30 valid threats, over 70 in total  There is surprisingly little overlap Page 14 of 24
Risikofreundliche IT-Architekturen Architekturen können mehr oder weniger „überlebensfähig“ sein High-risk Architecture Low-risk Architecture Plain data Rich meta data (rights, (without metadata) obligations, retention, …) Single Layer of Defense Multiple Layers of Defense Access Control Usage Control Centralized data repositories & Distributed and client-side data processing repositories & processing, fine- grained protection and isolation Real identity, Pseudonyms, attributes, early identification late identification © Fraunhofer-Gesellschaft 2012 Broad permissions, Least privilege, opt-in by default security and privacy by default Page 15 of 24
Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 16 of 24
Vertrauen in Systeme 1: BizzTrust for Android BYOD without reducing usability and appeal  BizzTrust Development is based on requirement analysis with many enterprises  Platform Security & Privacy: Isolate domains, e.g., “private” from “business”  Instantiation of a generic Security Architecture XManDroid  MAC with coloring of all resources  TOMOYO Linux or SELinux (SEAndroid by NSA)  Management: Device only one part of the solution  Infrastructure: VPN, TNC, app certification, … © Fraunhofer-Gesellschaft 2012  Mobile device management  App security http://www.bizztrust.de/ & Page 17 of 24
Vertrauen in Systeme 2: Trust in Execution using TPMs  Trust in network configuration information (e.g., CASED)  Trust in execution of code (e.g., Flicker/ CMU, Softcard/CASED)  … © Fraunhofer-Gesellschaft 2012 Page 18 of 24
Kryptographie 1: OmniCloud Motivation: Storage clouds today  Security problems of current offerings (*)  Provide has full access to client data  Risk of vendor lock in OmniCloud Cloud Broker & Gateway  Unified access to multiple clouds  ftp, scp, S3, Rackspace, Nirvanix, …  For now focused on cloud backup  Improves security  Compression, deduplication & encryption at OmniCloud gateway  Improves portability © Fraunhofer-Gesellschaft 2012  Gateways can be local or shared *On the Security of Cloud Storage Services, Fraunhofer SIT, 2012 http://www.sit.fraunhofer.de/de/medien-publikationen/technical-reports.html Page 19 of 24
Kryptographie 2: Fully Homomorphic Encryption & Friends Computes enc(F(data)) without the ability to enc(data) decrypt enc(data). enc(F(data))  One of several cryptographic patterns for extending trust and confidence into the Cloud  General FHE is very inefficient, more efficient solutions exist in Secure Function Evaluation / Secure Multiparty Computations  Usability through model-driven approaches (EC-SPRIDE) © Fraunhofer-Gesellschaft 2012  Hot and primising area for basic and applied research. Page 20 of 24
Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 21 of 24
Zusammenfassung  Wieso ist IT unsicher?  Wohlbekannte Fehler  Angriffs-Industrie  Harte Grenzen  Security and Privacy by Design  Einziger Ansatz für Sicherheit zu vertretbaren Kosten  Bausteine für die IT-Sicherheit – Praxis und Theorie © Fraunhofer-Gesellschaft 2012  Vertrauen in Systeme  Kryptographie Page 22 of 24
Forschung zur IT-Sicherheit in Deutschland Several strong security and privacy research institutes and groups  CASED Darmstadt; CISPA Saarbrücken; ECSPRIDE Darmstadt; Fraunhofer Bonn, Darmstadt, Karlsruhe, München; HGI Bochum; KASTEL Karlsruhe; …  Several individual groups and researchers Global context for German IT industry  Strong positions: e.g., embedded IT, business software, services, privacy & trust  Depends on global supply chain for base hardware and software Domestic D/EU market offers strong position in setting standards Suggests research focus on © Fraunhofer-Gesellschaft 2012  Strong positions (embedded IT, business software, …)  Standards: interoperability, integration, assurance, …  Engineering: security by design, trust from untrusted components Page 23 of 24
Prof. Dr. Michael Waidner michael.waidner@sit.fraunhofer.de Fraunhofer-Institut für Sichere Informationstechnologie Rheinstrasse 75 64295 Darmstadt, Germany www.sit.fraunhofer.de Technische Universität Darmstadt CASED/EC-SPRIDE & Lehrstuhl Sicherheit in der IT Mornewegstrasse 30 64289 Darmstadt, Germany © Fraunhofer-Gesellschaft 2012 www.sit.tu-darmstadt.de www.cased.de www.ec-spride.de Page 24 of 24

Recommended

Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Cyber risk
Cyber riskCyber risk
Cyber riskAndré Wohlert
 
Datenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivierenDatenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivierenFabioMarti
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Thomas Klüppel
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeHumoback
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
 

Recommended

Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Cyber risk
Cyber riskCyber risk
Cyber riskAndré Wohlert
 
Datenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivierenDatenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivierenFabioMarti
 
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?Thomas Klüppel
 
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztWie Trend Micro virtuelle Umgebungen zukunftsweisend schützt
Wie Trend Micro virtuelle Umgebungen zukunftsweisend schütztDigicomp Academy AG
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeHumoback
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
 
openHPI_Zertifikat
openHPI_ZertifikatopenHPI_Zertifikat
openHPI_ZertifikatRené Reutter
 
Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001maritza
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayrphooeikp
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Weltwww.zebedin.at
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheoriephooeikp
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im WebC0pa
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Joerg Thelenberg
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-SicherheitITWissen.info
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?INFONAUTICS GmbH
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Torben Haagh
 
Cyber crime and cyber security
Cyber crime and cyber securityCyber crime and cyber security
Cyber crime and cyber securityKeshab Nath
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineeringthetacker
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security ProESET | Enjoy Safer Technology (Deutsch)
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzSven Wohlgemuth
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and securitynikunjandy
 
Datenschutz
DatenschutzDatenschutz
Datenschutztht-thetht-therreal
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & securitypinkutinku26
 
Cyber crime and security 1
Cyber crime and security 1Cyber crime and security 1
Cyber crime and security 1indhuchezhian
 
Cyber Crime And Security
Cyber Crime And SecurityCyber Crime And Security
Cyber Crime And SecurityShaheda Afreen
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 

More Related Content

Viewers also liked

Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001maritza
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayrphooeikp
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Weltwww.zebedin.at
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheoriephooeikp
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im WebC0pa
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Joerg Thelenberg
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-SicherheitITWissen.info
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?INFONAUTICS GmbH
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Torben Haagh
 
Cyber crime and cyber security
Cyber crime and cyber securityCyber crime and cyber security
Cyber crime and cyber securityKeshab Nath
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineeringthetacker
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzSven Wohlgemuth
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and securitynikunjandy
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & securitypinkutinku26
 
Cyber crime and security 1
Cyber crime and security 1Cyber crime and security 1
Cyber crime and security 1indhuchezhian
 
Cyber Crime And Security
Cyber Crime And SecurityCyber Crime And Security
Cyber Crime And SecurityShaheda Afreen
 

Viewers also liked (20)

openHPI_Zertifikat
openHPI_ZertifikatopenHPI_Zertifikat
openHPI_Zertifikat
 
Ppt0000001
Ppt0000001Ppt0000001
Ppt0000001
 
Malware Augeneder Hagmayr
Malware Augeneder HagmayrMalware Augeneder Hagmayr
Malware Augeneder Hagmayr
 
Sicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der WeltSicher unterwegs im gefaehrlichsten Medium der Welt
Sicher unterwegs im gefaehrlichsten Medium der Welt
 
Malwaretheorie
MalwaretheorieMalwaretheorie
Malwaretheorie
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im Web
 
Gefahren Internet - Web 2010
Gefahren Internet - Web 2010Gefahren Internet - Web 2010
Gefahren Internet - Web 2010
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-Sicherheit
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
 
Cyber crime and cyber security
Cyber crime and cyber securityCyber crime and cyber security
Cyber crime and cyber security
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
ESET - Cyber Security Pro
ESET - Cyber Security ProESET - Cyber Security Pro
ESET - Cyber Security Pro
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
Final cyber crime and security
Final cyber crime and securityFinal cyber crime and security
Final cyber crime and security
 
Datenschutz
DatenschutzDatenschutz
Datenschutz
 
Cyber crime & security
Cyber crime & securityCyber crime & security
Cyber crime & security
 
Cyber crime and security 1
Cyber crime and security 1Cyber crime and security 1
Cyber crime and security 1
 
Cyber Crime And Security
Cyber Crime And SecurityCyber Crime And Security
Cyber Crime And Security
 

Similar to Zukunftstrends von Informationstechnologie und Cyber-Sicherheit

Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sabrina Lamberth-Cocca
 
Digitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open CloudsDigitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open CloudsMatthias Stürmer
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...jiricejka
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenLEITWERK AG
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Black Duck by Synopsys
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02SuperB2
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeQumram
 

Similar to Zukunftstrends von Informationstechnologie und Cyber-Sicherheit (20)

Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter Mittelstand
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) Device
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
 
Digitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open CloudsDigitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open Clouds
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
Enterprise 2.0
Enterprise 2.0Enterprise 2.0
Enterprise 2.0
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018
 
Byod course 27.5_v02
Byod course 27.5_v02Byod course 27.5_v02
Byod course 27.5_v02
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - Gründe
 

Zukunftstrends von Informationstechnologie und Cyber-Sicherheit

  • 1. Zukunftstrends von Informationstechnologie und Cyber-Sicherheit Prof. Dr. Michael Waidner Fraunhofer SIT und TU Darmstadt michael.waidner@sit.fraunhofer.de Fraunhofer-Gesellschaft 2011 ©© Fraunhofer-Gesellschaft 2012 Cyber-Sicherheit – Kooperationsmodelle und Lösungsansätze BSI Fachkonferenz, Bonn, 30. Mai 2012 Page 1 of 24
  • 2. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 2 of 24
  • 3. Vier Phasen des Cyber-Raums Zeithorizont von ca. 5 Jahren 1. 2. 3. 4. Data Center Outsourcing, User-gen. Content, Instrumentierte Welt, Public Cloud Social Networks, Big Data Massive Info-Sharing „Morgenstadt“ + Mobile IT + BYOD Offen © Fraunhofer-Gesellschaft 2012 In Forschung Im Einsatz Page 3 of 24
  • 4. Instrumentierte Welt … und meistens gibt es schon “gehackte” Beispiele         © Fraunhofer-Gesellschaft 2012   Page 4 of 24
  • 5. Eigentlich ist das IT-Sicherheitsproblem gelöst … nur © Fraunhofer-Gesellschaft 2012 Page 5 of 24
  • 6. Eigentlich ist das IT-Sicherheitsproblem gelöst … nur (1) Wir machen immer wieder dieselben Fehler  Sicherheit oft nachgeordnetes Ziel  Vulnerabilities = Fehler  in Design, Code, Configs  im Sicherheitsmodell  in der Integration (Kontext, Identitäten, Events)  Menschen: Entwickler, Administratoren, Endnutzer  Überfordert und unmotiviert  Neugierde, Effizienz, Vertrauen  Schlechtes IT-Management, kein Überblick, keine Frühwarnfähigkeiten © Fraunhofer-Gesellschaft 2012  Mangelndes Fachwissen bei Entwicklern & Admins Page 6 of 24
  • 7. (2) Angriffe werden insgesamt professioneller und gezielter Industrialisierung + Zielorientierung (“APT”) © Fraunhofer-Gesellschaft 2012 + Privatsphäre vs. Facebook, Google, Big Data? Page 7 of 24
  • 8. (3) Sicherheit hat ihre „natürlichen“ Grenzen  Komplexität von IT  Menschen machen Fehler: Unmöglich, SW/HW fehlerfrei herzustellen oder zu nutzen  Sicherheitsaufwand muss Risiko angemessen sein, 80/20  Unsichere Systeme  Unsichere Attribution von Angreifern  Möglicherweise unsicheres Verhalten ist oft gewollt oder notwendig und darf nicht verhindert werden  Nutzung von IT braucht im allg. Freiheitsgrade  IT mit zu starken Einschränkungen wird umgangen  Überwachung schafft neue Risiken © Fraunhofer-Gesellschaft 2012  Überwachungsmechanismen sind neues Angriffsziel  Erschwert Schutz der Privatsphäre  Online Social Networks als freiwillige (?) Überwachung Page 8 of 24
  • 9. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 9 of 24
  • 10. Security and Privacy by Design Sicherheit wird umso kostengünstiger, je früher sie hergestellt wird 7600 Security by Patching Security by Design 960 80 240 © Fraunhofer-Gesellschaft 2012 Code Build QA Deployed Average costs per defect (in USD) -- Source: IBM 2009 Page 10 of 24
  • 11. BMBF-Finanziertes Zentrum für Cybersecurity-Forschung (2011 – 2019)  TU Darmstadt + Fraunhofer SIT  Wissenschaftliche Exzellenz  Security & Privacy by Design  Trends  Anwendungen und Architekturen  Methoden (stat/dyn Analyse, Patterns, …)  Bausteine (Krypto, Policy, Hardware)  Fokus auf exzellente Nachwuchsgruppen  Claude Shannon Fellows  Stand: 2 von ca. 6 CSF’s besetzt © Fraunhofer-Gesellschaft 2012  Schwesterzentren in Karlsruhe, Saarbrücken http://www.ec-spride.de Page 11 of 24
  • 12. Security Design – A Systematic Approach Make no mistake during development or operation along the entire supply chain Supply chain Development process Operation Components incl. OSS Develop Integrate as part of Products Develop Integrate as part of Solutions Develop Operate Incident Assure quality Know what can go wrong, Deploy and use Know how to do it right properly © Fraunhofer-Gesellschaft 2012  Testing, Review  Awareness and training Documentation of  Approval  Analysis and design methods security properties and  Standardization  Good practices, patterns assumptions Page 12 of 24
  • 13. Security Design – A Systematic Approach Our Vision: a systematic approach to secure software development Security concept documentation Security concept artifacts Complete security Practical analysis methods Develop- Security design and implementation ment © Fraunhofer-Gesellschaft 2012 process Secure product Page 13 of 24
  • 14. Example: Threat Modeling, Promise & Reality Experiment at Fraunhofer SIT Subject 1 Consistent assessments including partial matches  Three experienced security engineers, products and threat modelling techniques Subject 3 Subject 2 © Fraunhofer-Gesellschaft 2012  Each subject identified about 30 valid threats, over 70 in total  There is surprisingly little overlap Page 14 of 24
  • 15. Risikofreundliche IT-Architekturen Architekturen können mehr oder weniger „überlebensfähig“ sein High-risk Architecture Low-risk Architecture Plain data Rich meta data (rights, (without metadata) obligations, retention, …) Single Layer of Defense Multiple Layers of Defense Access Control Usage Control Centralized data repositories & Distributed and client-side data processing repositories & processing, fine- grained protection and isolation Real identity, Pseudonyms, attributes, early identification late identification © Fraunhofer-Gesellschaft 2012 Broad permissions, Least privilege, opt-in by default security and privacy by default Page 15 of 24
  • 16. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 16 of 24
  • 17. Vertrauen in Systeme 1: BizzTrust for Android BYOD without reducing usability and appeal  BizzTrust Development is based on requirement analysis with many enterprises  Platform Security & Privacy: Isolate domains, e.g., “private” from “business”  Instantiation of a generic Security Architecture XManDroid  MAC with coloring of all resources  TOMOYO Linux or SELinux (SEAndroid by NSA)  Management: Device only one part of the solution  Infrastructure: VPN, TNC, app certification, … © Fraunhofer-Gesellschaft 2012  Mobile device management  App security http://www.bizztrust.de/ & Page 17 of 24
  • 18. Vertrauen in Systeme 2: Trust in Execution using TPMs  Trust in network configuration information (e.g., CASED)  Trust in execution of code (e.g., Flicker/ CMU, Softcard/CASED)  … © Fraunhofer-Gesellschaft 2012 Page 18 of 24
  • 19. Kryptographie 1: OmniCloud Motivation: Storage clouds today  Security problems of current offerings (*)  Provide has full access to client data  Risk of vendor lock in OmniCloud Cloud Broker & Gateway  Unified access to multiple clouds  ftp, scp, S3, Rackspace, Nirvanix, …  For now focused on cloud backup  Improves security  Compression, deduplication & encryption at OmniCloud gateway  Improves portability © Fraunhofer-Gesellschaft 2012  Gateways can be local or shared *On the Security of Cloud Storage Services, Fraunhofer SIT, 2012 http://www.sit.fraunhofer.de/de/medien-publikationen/technical-reports.html Page 19 of 24
  • 20. Kryptographie 2: Fully Homomorphic Encryption & Friends Computes enc(F(data)) without the ability to enc(data) decrypt enc(data). enc(F(data))  One of several cryptographic patterns for extending trust and confidence into the Cloud  General FHE is very inefficient, more efficient solutions exist in Secure Function Evaluation / Secure Multiparty Computations  Usability through model-driven approaches (EC-SPRIDE) © Fraunhofer-Gesellschaft 2012  Hot and primising area for basic and applied research. Page 20 of 24
  • 21. Gliederung 1. Wieso ist IT unsicher? 2. Security and Privacy by Design 3. Bausteine für die Cyber-Sicherheit: Vertrauen in Systeme, Kryptographie 4. Zusammenfassung © Fraunhofer-Gesellschaft 2012 Page 21 of 24
  • 22. Zusammenfassung  Wieso ist IT unsicher?  Wohlbekannte Fehler  Angriffs-Industrie  Harte Grenzen  Security and Privacy by Design  Einziger Ansatz für Sicherheit zu vertretbaren Kosten  Bausteine für die IT-Sicherheit – Praxis und Theorie © Fraunhofer-Gesellschaft 2012  Vertrauen in Systeme  Kryptographie Page 22 of 24
  • 23. Forschung zur IT-Sicherheit in Deutschland Several strong security and privacy research institutes and groups  CASED Darmstadt; CISPA Saarbrücken; ECSPRIDE Darmstadt; Fraunhofer Bonn, Darmstadt, Karlsruhe, München; HGI Bochum; KASTEL Karlsruhe; …  Several individual groups and researchers Global context for German IT industry  Strong positions: e.g., embedded IT, business software, services, privacy & trust  Depends on global supply chain for base hardware and software Domestic D/EU market offers strong position in setting standards Suggests research focus on © Fraunhofer-Gesellschaft 2012  Strong positions (embedded IT, business software, …)  Standards: interoperability, integration, assurance, …  Engineering: security by design, trust from untrusted components Page 23 of 24
  • 24. Prof. Dr. Michael Waidner michael.waidner@sit.fraunhofer.de Fraunhofer-Institut für Sichere Informationstechnologie Rheinstrasse 75 64295 Darmstadt, Germany www.sit.fraunhofer.de Technische Universität Darmstadt CASED/EC-SPRIDE & Lehrstuhl Sicherheit in der IT Mornewegstrasse 30 64289 Darmstadt, Germany © Fraunhofer-Gesellschaft 2012 www.sit.tu-darmstadt.de www.cased.de www.ec-spride.de Page 24 of 24