Embedded Security

Fraunhofer-Institut für Angewandte und Integrierte Sicherheit

Embedded Security für das Internet of Things

Internet of Things kann und wird es ohne IT-Sicherheit nicht geben. IT-Sicherheit steht hierbei synonym für Vertrauen. Denn falls die Vision von einem Internet vernetzter Geräte und „intelligenter“ Gegenstände (Things), das den Menschen unbemerkt unterstützt, irgendwann Realität werden soll, dann geht es nur mit Vertrauen in die Technik, die Vernetzung und die Geräte. Neben der Sicherheit der Verbindung zwischen den Geräten kommt der Sicherheit der Geräte selbst eine wichtige Bedeutung zu. Denn sie übernehmen vielfältige, teils sicherheitskritische Aufgaben. Und sie sind Angriffen ausgeliefert. Ist die Sicherheit dieser Systeme nicht ausreichend gewährleistet, kann das konkret für einzelne Unternehmen erhebliche Imageschäden, Umsatzverluste und sogar Haftungsforderungen nach sich ziehen.

Viele Sicherheitslücken gehen auf Fehler im Entwurf oder in der Implementierung zurück. Sehr häufig sind sich die Entwickler auch nicht über die ganze Bandbreite von möglichen Angriffen auf die Systeme bewusst und eine Analyse des erreichten Sicherheitsniveaus als auch eine Evaluation des Systems unter Sicherheitsaspekten entfällt. Hinzu kommt die Abwägung zwischen Sicherheit und weiterer Anforderungen wie Kosten, Entwicklungsdauer und Funktionsumfang während des Entwicklungsprozesses.

Tests bringen Gewissheit und Sicherheit

Eine Security Evaluation bildet dabei einen unverzichtbaren Bestandteil einer qualitativ hochwertigen Systementwicklung. Durch eine Security Evaluation können während des Entwicklungsprozess frühzeitig Mängel erkannt und behoben werden. Aber auch nach der Entwicklung eines Produkts kann eine Security Evaluation sinnvoll sein, um die existierenden Bedrohungen und mögliche Schwachstellen der eigenen Systeme zu kennen und in möglichen Folgesystemen gegebenenfalls zu beheben.

Fraunhofer AISEC bietet ein umfassendes, unabhängiges Testangebot zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, sowie von Hard- und Software-Produkten oder aber auch Web-basierten Diensten und Cloud-Angeboten. Fraunhofer AISEC verfügt dazu über moderne Testlabore zur Durchführung von Sicherheits-, Compliance und Interoperabilitätstests.

Industrial Data Space e.V. gegründet

Die Fraunhofer-Gesellschaft, 16 Wirtschaftsunternehmen und der ZVEI - Zentralverband Elektrotechnik- und Elektronikindustrie e.V. haben heute in Berlin einen gemeinnützigen Verein zum Industrial Data Space gegründet. Dessen Aufgabe ist es, Wissenschaft und Wirtschaft für nachhaltige Lösungen zu vernetzen, die Architektur des Industrial Data Space mit zu gestalten sowie zentrales Organ für die Kooperation mit verwandten Initiativen zu sein.

»Der Industrial Data Space ermöglicht einen sicheren Datenaustausch mit gemeinschaftlichen Regeln für alle Unternehmen – auf Basis eines offenen Architekturmodells.«, sagte Prof. Dr. Reimund Neugebauer, Präsident der Fraunhofer-Gesellschaft, anlässlich der Vereinsgründung in Berlin. »Fraunhofer verfügt über ausgewiesene Exzellenz und Kompetenzen in den dafür notwendigen Technologiefeldern. Darum ist das Interesse der Wirtschaft immens: Als Kandidaten für Pilot-Use-Cases liegen uns bereits rund 70 Vorschläge vor. Jetzt gilt es für uns, diejenigen Projekte auszuwählen und voranzutreiben, mit denen wir die Digitalisierung der Industrie erfolgreich gestalten.«

Industrie 4.0: Firmware-Schutz ist Pflicht

Vernetzte Produktionssysteme vor Cyberattacken und Spionage zu schützen, ist eine der wichtigsten Herausforderungen in der Industrie 4.0. Eine solide Absicherung beginnt dabei im Inneren der Produktionsanlagen – mit den eingebetteten Systemen. Die Absicherung von Steuerungselektronik, Firmware & Co. bildet das wichtigste Bollwerk gegen Produktpiraten.

Die Forscher am Fraunhofer AISEC arbeiten an technischen Lösungen, die das Auslesen und die Analyse und somit den Nachbau der Komponenten verhindern. Eine Kombination aus Hardware- und Software-basierten Maßnahmen bietet dabei den besten Schutz für das wertvolle Know-how.

Um Industrial IT-Security geht es auch in der 4. VDI-Fachtagung zum Thema Industrie 4.0, auf der das Fraunhofer AISEC einen Überblick über mögliche Angriffspunkte bei vernetzten Produktionsanlagen und mögliche Gegenmaßnahmen vorstellt.

Anhand eines Beispiels aus der Praxis wird gezeigt, wie leicht ein Angreifer handelsübliche industrielle Roboterarme unter seine Kontrolle bringen und so manipulieren kann, dass sowohl die Betriebssicherheit und der Arbeitsschutz ausgehebelt werden, als auch weitreichende wirtschaftliche Schäden möglich sind.

Abschließend wird ein Ausblick auf aktuelle, praxisrelevante Arbeiten gegeben, die auf eine Verbesserung der IT-Sicherheit für Industrie 4.0 abzielen. Dazu zählt auch das Nationale Referenzprojekt IUNO, dessen Zielsetzung es ist, vernetzte Industrieanlagen effektiv vor Cyberangriffen und Spionage zu schützen.

Mehr Schutz für SPS-basierte Industriesteuerungssysteme

In heutigen IT-Systemen für die Industrieautomation sind nur wenig bis gar keine Sicherheitsmaßnahmen umgesetzt. Gleichzeitig werden diese Systeme zunehmend mit anderen Systemen entweder innerhalb oder außerhalb des Unternehmens vernetzt. Zunehmende Vernetzung bei geringen Sicherheitsstandards erhöht das Risiko und macht die Systeme anfällig für IT-basierte Angriffe. Für Industriesysteme ist der Schutz vor böswilligen Manipulationen (Integrität) ebenso wichtig wie die Absicherung gegenüber Diebstahl von Know-how und geistigem Eigentum (Vertraulichkeit). Der Schlüssel zu einer erfolgreichen Absicherung von industriellen Automationssystemen ist die Vereinbarkeit einer neuen Lösung mit bereits in den Anlagen befindlichen Bestandssystemen, sowie die Kompatibilität mit geltenden Standards und Normen.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC und die Infineon Technologies AG stellen eine Lösung vor, um SPS-basierte Industriesteuerungssysteme gegen die vorrangigsten Manipulationsmöglichkeiten abzusichern. Dabei kommt es auf die Kombination von sicherer Hardware und Software-basierten Sicherheitsmechanismen an. Der Einsatz eines HSM (Hardware Security Module) bildet dabei den sprichwörtliche harten Kern einer umfassenden Lösung und sorgt für ein Mehr an Integrität der Systeme und Komponenten. Dabei steht vor allem die Absicherung von Programmiervorgängen gegen Manipulationen im Vordergrund. Durch das Sicherheitsmodul wird zusätzlich eine zuverlässige Komponentenidentifikation gewährleistet und damit sichergestellt, dass Komponenten ausschließlich mit zulässigen und vertrauenswürdigen Komponenten kommunizieren. In Verbindung von HSM und Sicherheitsmechanismen wie Verschlüsselung wird zudem der SPS-Code gegen Extraktion geschützt.

Auf der SPS IPC Drives 2015 (Stand 550 in Halle 1) präsentieren wir gemeinsam mit der Infineon Technologies AG Lösungen zur sicheren Industrieautomation.

10000 Apps und eine Menge Sorgen

Forscher testen Android-Apps auf mögliche Sicherheitsmängel / Apps senden Daten an Server / Ein Viertel sendet unverschlüsselt

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. „Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.“, so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

Social Bookmarks