Security Evaluation

IT-Systeme haben in immer mehr Gegenständen unseres Alltags Einzug gehalten. Sie übernehmen dabei vielfältige, anspruchsvolle und teilweise sicherheitskritische Aufgaben. Ist die Sicherheit dieser Systeme nicht ausreichend gewährleistet, kann das erhebliche Imageschäden, Umsatzverluste und sogar Haftungsforderungen nach sich ziehen.

Viele Sicherheitslücken gehen auf Fehler im Entwurf oder in der Implementierung zurück. Sehr häufig sind sich die Entwickler auch nicht über die ganze Bandbreite von möglichen Angriffen auf die Systeme bewusst und eine Analyse des erreichten Sicherheitsniveaus als auch eine Evaluation des Systems unter Sicherheitsaspekten entfällt. Hinzu kommt die Abwägung zwischen Sicherheit und weiterer Anforderungen wie Kosten, Entwicklungsdauer und Funktionsumfang während des Entwicklungsprozesses.

Eine Security Evaluation bildet dabei einen unverzichtbaren Bestandteil einer qualitativ hochwertigen Systementwicklung. Durch eine Security Evaluation können während des Entwicklungsprozesses frühzeitig Mängel erkannt und behoben werden. Aber auch nach der Entwicklung eines Produkts kann eine Security Evaluation sinnvoll sein, um die existierenden Bedrohungen und mögliche Schwachstellen der eigenen Systeme zu kennen und in möglichen Folgesystemen gegebenenfalls zu beheben.

Expertise

Fraunhofer AISEC bietet ein umfassendes, unabhängiges Testangebot zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, sowie von Hard- und Software-Produkten oder aber auch Web-basierten Diensten und Cloud-Angeboten. Fraunhofer AISEC verfügt dazu über moderne Testlabore zur Durchführung von Sicherheits-, Compliance und Interoperabilitätstests.

Kompetenzen und Angebote im Überblick

  • Schwachstellenanalysen von Produkten und Lösungen
  • Technische Pre-Auditierung
  • Seitenkanalanalysen und Fehlerangriffe auf eingebettete Systeme
  • Fehlererkennung und Fehlertolerierung in digitalen Schaltungen
  • Embedded Systems Security Evaluation (Grey-, Black-, Whitebox)
  • Tamper Resistent Design Strategien
  • Entwicklung und Weiterentwicklung von Gegenmaßnahmen
  • Penetrationstests
  • System- und Anwendungsanalysen
  • Entwicklung von Testszenarien
  • Sicherheits-Evaluation von Cloud Angeboten und Plattformen, u.a. mit Abgleichen in Bezug auf die Mindestanforderungen des BSI
  • Prüfung auf Datenschutzkonformität von Cloud-Services, Web-Servern etc.

Projekte

Da die im Kundenauftrag durchgeführten Sicherheits-Evaluationen unter strengen Vertraulichkeitszusagen erfolgen, machen wir keine Angaben zu laufenden oder durchgeführten Projekten.

Publikationen

  • V. Immler, R. Specht and F. Unterstein. “Your Rails Cannot Hide From Localized EM: How Dual-Rail Logic Fails on FPGAs”. In: Conference on Cryptographic Hardware and Embedded Systems, CHES 2017.
  • J. Obermaier, R. Specht and G. Sigl. “FuzzyGlitch: A Practical Ring Oscillator Based Clock Glitch Attack”. In: 22nd International Conference on Applied Electronics. To appear. IEEE, Sept. 2017.
  • F. Unterstein, J. Heyszl, F. De Santis and R. Specht. “Dissecting Leakage Resilient PRFs with Multivariate Localized EM Attacks A Practical Security Evaluation on FPGA”. In: Proceedings of 8th International Workshop on Constructive Side-Channel Analysis and Secure Design (COSADE 2017). Springer. 2017.
  • A. Zankl, J. Heyszl and G. Sigl. “Automated Detection of Instruction Cache Leaks in Modular Exponentiation Software”. In: Smart Card Research and Advanced Applications: 15th International Conference, CARDIS 2016, Cannes, France, November 7–9, 2016, Revised Selected Papers. Ed. by K. Lemke-Rust and M. Tunstall. Cham: Springer International Publishing, 2017, pp. 228–244.
  • F. Kilic, H. Laner and C. Eckert. “Interactive Function Identification Decreasing the Effort of Reverse Engineering”. In Proceedings of the 11th International Conference on Information Security and Cryptology (Inscrypt 2015), pages 468–487, Springer International Publishing, 2016.