Sicherheit für verteilte Anwendungen

Service & Application Security

Mobile Applikationen (Apps), Webtechnologien und Cloud-Infrastrukturen – die Herausforderungen an die IT-Sicherheit nehmen durch die zunehmende Anzahl von Komponenten und durch die Heterogenität der Plattformen zu. Denn längst haben sich ehemals monolithische Programme zu verteilten Architekturen entwickelt, in denen Anwendungen und Dienste zusammenarbeiten. Ziel der Abteilung Service & Application Security ist es, Methoden und Technik zu entwickeln, mit denen sich Sicherheitslücken schneller auffinden und beheben lassen. Dabei werden basierend auf aktuellen Ergebnissen aus der Sicherheitsforschung neuartige Ansätze für sichere verteilte Anwendungen entwickelt und umgesetzt.

Expertise

Das Fraunhofer AISEC forscht in mehreren Bereichen der Anwendungssicherheit und transferiert das gewonnene Know-How in die Entwicklung von Schutzkonzepten und innovativen technischen Lösungen. Im Bereich der mobilen Sicherheit arbeitet das Fraunhofer AISEC seit mehreren Jahren an effizienten Verfahren zur automatischen, statischen und dynamischen Software-Analyse und hat hieraus Produkte entwickelt, die mittlerweile im kommerziellen Einsatz sind. Im Forschungsfeld Cloud-Computing hat Fraunhofer AISEC bereits im Jahr 2009 eine umfangreiche Sicherheitsstudie veröffentlicht und seitdem kontinuierlich Expertise zu Cloud- und Container-Architekturen sowie modernen Netzwerkarchitekturen wie Software-Defined Networking (SDN) aufgebaut. Für Experimente verfügen wir über eine OpenStack-Umgebung und einen Kubernetes-Cluster sowie ein Mobilfunk-Labor mit eigenem GSM- und LTE-Netz. Expertise im Bereich Identity-Management, wie IAM-Protokolle und -Dienste für Cloud-Anwendungen, aber auch deren leichtgewichtige Pendants im IoT-Umfeld, runden unser Portfolio ab.

Kompetenzen

  • Dynamische und statische Software-Analyse
  • Evaluierung von mobile Payment-Applikationen auf Basis von Host Card Emulation (HCE)
  • Sicherheitskonzepte für Software-Defined Networking (SDN)
  • Sicherheit und Assurance von Cloud-Computing und Container-Lösungen
  • Einsatz von fortgeschrittenen kryptographischen Verfahren für Datensicherheit in der Cloud
  • Datennutzungskontrolle in IoT-Architekturen
  • Einsatz von praktischen Verfahren zur Anonymisierung von Daten

Angebote

  • Bedrohungs- und Risikoanalysen
  • Entwicklung von Sicherheitskonzepten
  • Beratung und Begleitung des Entwicklungsprozesses
  • Implementierung von Prototypen
  • Penetration Tests von mobilen und verteilten Anwendungen

Projekte (Auswahl)

PARADISE

© Foto Paradise-Projekt

Heutige Identity-Management (IdM) Systeme setzen einen vertrauenswürdigen Identity Provider voraus, der Informationen über sämtliche ID-Anfragen eines Benutzers erhält. Im Web nehmen vor allem Google und Facebook diese Rolle ein. Im Rahmen des BMBF-geförderten Projektes PARADISE entwickeln wir ein dezentrales IdM-System, dass die Privatsphäre von Benutzern respektiert. Im Kontext von Anti-Doping-Kontrollen wird so ein effektives Kontrollsystem möglich, ohne dass Athleten einer Totalüberwachung unterliegen.

https://privacy-paradise.de

Clouditor

Der Clouditor hilft Unternehmen, automatisiert kritische Sicherheits- und Compliance-Anforderungen zu erfüllen. Es ist ein Assurance-Werkzeug, das Diensten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf im Hinblick auf Assurance-relevante Metriken auswertet. Maßgeschneiderte Tests, die kontinuierlich ausgeführt werden, erlauben hohe Genauigkeit und präzise Aussagen.

www.clouditor.de

App-Ray

App-Ray ist eines der mächtigsten Werkzeuge zur Sicherheitsanalyse von Android-Apps. Statische, dynamische und hybride Analyseverfahren untersuchen Apps umfassend und vollautomatisch auf Sicherheitslücken, Gefährdungen der Privatssphäre und Programmierfehler. Das Tool unterstützt sowohl Pentester als auch Entwickler darin, Sicherheitslücken in Apps schnell und zuverlässig zu finden.

www.app-ray.com

Publikationen (Auswahl)

 

  • M. Schanzenbach, C. Banse. "Managing and Presenting User Attributes over a Decentralized Secure Name System". 11th DPM International Workshop on Data Privacy Management (DPM), September 2016.
  • J. Schütte, P. Stephanow and G. Srivastava. “Test-based cloud service certification of opportunistic providers”. In: The 8th IEEE International Conference on Cloud Computing (CLOUD), June 2016.
  • P. Stephanow, C. Banse and J. Schütte. "Generating Threat Profiles for Cloud Service Certification Systems". In: 17th IEEE High Assurance Systems Engineering Symposium (HASE), January 2016.
  • J. Schütte and G. Brost. "A Data Usage Control System using Dynamic Taint Tracking". In: Proceedings of the International Conference on Advanced Information Network and Applications (AINA), March 2016.
  • M. Gall and G. Brost. "K-word Proximity Search on Encypted Data". In: Proceedings of the International Conference on Advanced Information Network and Applications (AINA), March 2016.
  • P. Stephanow and N. Fallenbeck. “Towards continuous certification of Infrastructure-as-a-Service using low-level metrics”. In: 12th IEEE International Conference on Advanced and Trusted Computing (ATC). IEEE. 2015.
  • P. Stephanow and M. Gall. “Language Classes for Cloud Service Certification Systems”. In: 2015 IEEE 11th World Congress on Services (SERVICES). IEEE. 2015.
  • C. Banse and S. Rangarajan. "A Secure Northbound Interface for SDN Applications." In: The 14th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), 2015.
  • J. Schütte, R. Fedler and D. Titze. "ConDroid: Targeted Dynamic Analysis of Android Applications" In: Proceedings of the International Conference on Advanced Information Networking and Applications (AINA), 2015
  • D. Titze and J. Schütte. “Apparecium: Revealing Data Flows in Android Applications”. In: Proceedings of the International Conference on Advanced Information Networking and Applications (AINA). 2015
  • D. Titze and J. Schütte. “Preventing Library Spoofing on Android”. In: Proceedings of IEEE International Workshop on Trustworthy Software Systems. Helsinki, Finland, 2015