Garching, 15.05.2012 – Die Forscher des Fraunhofer AISEC (www.aisec.fraunhofer.de) haben ein automatisiertes Framework zur Schwachstellenanalyse von Geräten, die auf dem Betriebssystem Android basieren, entwickelt. Damit lassen sich Sicherheitslücken des Systems identifizieren, Gefahren für Nutzer rechtzeitig erkennen und Abwehrmechanismen entwickeln. Das Test-Framework der IT-Sicherheitsexperten aus Garching bei München richtet sich an Unternehmen, die Android-Geräte in ihre Unternehmensnetze einbinden und verwalten. Damit können die IT-Verantwortlichen der Unternehmen die eingesetzten Android-Geräte auf aktuelle Schwachstellen testen und die Gefahren für die Unternehmens-IT abschätzen. Durch die zunehmende Nutzung von Android-Geräten im Unternehmensumfeld werden Werkzeuge und Methoden benötigt, um die Geräte auf Schwachstellen zu prüfen. Das Framework von AISEC ist einfach erweiterbar, so dass auch zukünftige Schwachstellen analysiert werden können.

Das Fraunhofer AISEC hat ein neues Online-Portal für Cloud Security-Themen gestartet. Pünktlich zur am 9. und 10. Mai 2012 stattfindenden ‚Secure Cloud 2012‘ ging das Cloud Computing Competence Center for Security [c4s] unter www.cloud-competence-center.com an den Start. Die englischsprachige Webseite der Sicherheitsexperten aus Garching bei München bietet einen umfassenden Überblick über aktuelle und geplante Forschungs- und Entwicklungsaktivitäten von Fraunhofer AISEC. Inhaltlich steht Cloud Computing-Sicherheit im Vordergrund, zu der auch Themen wie Compliance oder Datenschutz gehören. Als Zusatzinformationen findet der Besucher der Webseite Publikationen, Präsentationen und Studien. [c4s] richtet sich an IT-Entscheider in Unternehmen, die Cloud-Projekte durchführen und sich in diesem Zusammenhang mit Sicherheitsaspekten beschäftigen. Maßgeblich gestaltet wird das Portal von den Mitarbeiterinnen und Mitarbeitern des Forschungsbereichs ‚Sichere Services & Qualitätstests‘.

Auf der Hannover Messe Industrie 2012 zeigte das Fraunhofer AISEC wie Firmware-Verschlüsselung und sichere Aktualisierung von Firmware in der Praxis umgesetzt wird. Dadurch wird eine Gerätesoftware während der Verteilung und Aktualisierung abgesichert (Secure Remote Update). Das Exponat demonstriert auch wie das Auslesen der Firmware am Gerät mit angepassten Speicherschutzeinstellungen verhindert werden kann. Durch die Maßnahmen wird dem illegalen Produktnachbau und Know-how Diebstahl vorgebeugt. Fraunhofer AISEC führt ein Firmware-Verschlüsselungstool vor und zeigt auf Basis eines ARM-Mikrocontrollers, wie die zugehörige Entschlüsselungsfunktion in den Boot-Code integriert wurde. Die Entschlüsselung geschieht im Mikrocontroller entweder einmalig direkt während des Aktualisierungsvorgangs (Entschlüsselung in den Flash-Speicher) oder bei jeder Programmausführung im flüchtigen Speicher (Entschlüsselung im RAM). Anhand des Aufbaus werden auch die Angriffsszenarien beim Auslesen der Firmware aus einem Gerät erörtert.

Die Studie "Schutz eingebetteter Systeme vor Produktpiraterie - Technologischer Hintergrund und Vorbeugemaßnahmen" gibt einen umfassendne Überblick über die aktuellen Angriffs- und Abwehrmechnismen.

Anbieter und Betreiber von öffentlichen und privaten Clouds müssen eine Reihe von wichtigen Anforderungen hinsichtlich der Datensicherheit, Compliance und Verfügbarkeit erfüllen. Die Forscher des Fraunhofer AISEC bieten sowohl Anbietern als auch Betreibern eine Lösung, mit der sie ihre Infrastruktur, Daten und Prozesse in der Cloud kontrollieren können – den Cloud-Leitstand. Damit lässt sich Transparenz und Übersicht für die Nutzer herstellen sowie die Kontrollierbarkeit der Cloud durch den Betreiber erhöhen. Die Überwachung schließt Prozesse, Applikationen und Infrastruktur in der Cloud ein und bietet eine Verknüpfung dieser Informationen mit den Compliance-Vorgaben. Die IT-Sicherheitsexperten von Fraunhofer AISEC präsentierten die Lösung erstmals auf der CeBIT vom 6. bis 10. März 2012.

Aktueller Artikel im 'ISIS Cloud & SaaS Magazin'