Sicherheit für verteilte Anwendungen

Service & Application Security

Mobile Applikationen (Apps), Webtechnologien und Cloud-Infrastrukturen – die Herausforderungen an die IT-Sicherheit nehmen durch die zunehmende Anzahl von Komponenten und durch die Heterogenität der Plattformen zu. Denn längst haben sich ehemals monolithische Programme zu verteilten Architekturen entwickelt, in denen Anwendungen und Dienste zusammenarbeiten. Ziel der Abteilung Service & Application Security ist es, Methoden und Technik zu entwickeln, mit denen sich Sicherheitslücken schneller auffinden und beheben lassen. Dabei werden basierend auf aktuellen Ergebnissen aus der Sicherheitsforschung neuartige Ansätze für sichere verteilte Anwendungen entwickelt und umgesetzt.

Expertise

Das Fraunhofer AISEC forscht in mehreren Bereichen der Anwendungssicherheit und transferiert das gewonnene Know-How in die Entwicklung von Schutzkonzepten und innovativen technischen Lösungen. Im Bereich der mobilen Sicherheit arbeitet das Fraunhofer AISEC seit mehreren Jahren an effizienten Verfahren zur automatischen, statischen und dynamischen Software-Analyse und hat hieraus Produkte entwickelt, die mittlerweile im kommerziellen Einsatz sind. Im Forschungsfeld Cloud-Computing hat Fraunhofer AISEC bereits im Jahr 2009 eine umfangreiche Sicherheitsstudie veröffentlicht und seitdem kontinuierlich Expertise zu Cloud- und Container-Architekturen sowie modernen Netzwerkarchitekturen wie Software-Defined Networking (SDN) aufgebaut. Für Experimente verfügen wir über eine OpenStack-Umgebung und einen Kubernetes-Cluster sowie ein Mobilfunk-Labor mit eigenem GSM- und LTE-Netz. Expertise im Bereich Identity-Management, wie IAM-Protokolle und -Dienste für Cloud-Anwendungen, aber auch deren leichtgewichtige Pendants im IoT-Umfeld, runden unser Portfolio ab.

Kompetenzen

  • Dynamische und statische Software-Analyse
  • Evaluierung von mobile Payment-Applikationen auf Basis von Host Card Emulation (HCE)
  • Sicherheitskonzepte für Software-Defined Networking (SDN)
  • Sicherheit und Assurance von Cloud-Computing und Container-Lösungen
  • Einsatz von fortgeschrittenen kryptographischen Verfahren für Datensicherheit in der Cloud
  • Datennutzungskontrolle in IoT-Architekturen
  • Einsatz von praktischen Verfahren zur Anonymisierung von Daten

Angebote

  • Bedrohungs- und Risikoanalysen
  • Entwicklung von Sicherheitskonzepten
  • Beratung und Begleitung des Entwicklungsprozesses
  • Implementierung von Prototypen
  • Penetration Tests von mobilen und verteilten Anwendungen

Projekte (Auswahl)

DCoT - Digital Chain of Trust

Die nachweisbare Verfolgung von Gütern über Lieferketten hinweg (sog. "Track & Trace) ist Voraussetzung für Produktzertifizierungen und die Einhaltung rechtlicher Anforderungen. Eine lückenlose Aufzeichnung von Transportschritten enthält jedoch auch sensible persönliche Daten und Geschäftsgeheimnisse. Das Projekt DCoT entwickelt eine dezentrale offene Plattform für die Nachweisbarkeit von Transportwegen auf Basis der Ethereum-Blockchain. Fraunhofer AISEC entwickelt Attribute-Based-Encryption (ABE)-Verfahren zum Schutz der Privatssphäre der beteiligten Personen sowie der Geheimhaltung von Unternehmensdaten.

Blockchain for Education

Mit dem "Lebenslangen Lernausweis" können Benutzer ein Portfolio ihrer Weiterbildungszertifikate, Zeugnisse und Urkunden verwalten. Smart Contracts für die Ethereum-Blockchain erlauben es, Gültigkeit und Echtheit der Dokumente zu prüfen und ermöglichen ein offenes dezentrales System. Das Fraunhofer AISEC entwirft das Smart Contract-Design und entwickelt Verfahren zur formalen Verifikation fehlerfreier Smart Contracts.

mehr Infos zu Blockchain for Education

Clouditor

Der Clouditor hilft Unternehmen, automatisiert kritische Sicherheits- und Compliance-Anforderungen zu erfüllen. Es ist ein Assurance-Werkzeug, das Diensten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf im Hinblick auf Assurance-relevante Metriken auswertet. Maßgeschneiderte Tests, die kontinuierlich ausgeführt werden, erlauben hohe Genauigkeit und präzise Aussagen.

www.clouditor.de

App-Ray

App-Ray ist eines der mächtigsten Werkzeuge zur Sicherheitsanalyse von Android-Apps. Statische, dynamische und hybride Analyseverfahren untersuchen Apps umfassend und vollautomatisch auf Sicherheitslücken, Gefährdungen der Privatssphäre und Programmierfehler. Das Tool unterstützt sowohl Pentester als auch Entwickler darin, Sicherheitslücken in Apps schnell und zuverlässig zu finden.

www.app-ray.com

PARADISE

© Paradise-Projekt

Heutige Identity-Management (IdM) Systeme setzen einen vertrauenswürdigen Identity Provider voraus, der Informationen über sämtliche ID-Anfragen eines Benutzers erhält. Im Web nehmen vor allem Google und Facebook diese Rolle ein. Im Rahmen des BMBF-geförderten Projektes PARADISE entwickeln wir ein dezentrales IdM-System, dass die Privatsphäre von Benutzern respektiert. Im Kontext von Anti-Doping-Kontrollen wird so ein effektives Kontrollsystem möglich, ohne dass Athleten einer Totalüberwachung unterliegen.

https://privacy-paradise.de

Publikationen (Auswahl)

  • M. Huber, G. Brost, J. Schütte, M. Weiß, M. Protsenko and S. Wessel. “An Ecosystem and IoT Device Architecture for Building Trust in the Industrial Data Space”. In: CPSS’18: The 4th ACM Cyber-Physical System Security Workshop. CPSS’18. Incheon, Republic of Korea: ACM, 2018. ISBN: 9781450357555. DOI: https://doi.org/10.1145/3198458.3198459.
  • M. Schanzenbach, C. Banse, and J. Schütte. “Practical Decentralized Attribute-Based Delegation using Secure Name Systems”. In: Proceedings of the International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). Aug. 2018.
  • M. Schanzenbach, G. Bramm, and J. Schütte. “reclaimID: Secure, Self-Sovereign Identities using Name Systems and Attribute-Based Encryption”. In: Proceedings of the International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). Aug.2018.
  • N. Rakotondravony, B. Taubmann, W. Mandarawi, E. Weishäupl, P. Xu, B. Kolosnjaji, M. Protsenko, H. de Meer, and H. P. Reiser. “Classifying malware attacks in IaaS cloud environments”. In: Journal of Cloud Computing 6.1 (Dec. 2017), p. 26. DOI: 10. 1186/s13677-017-0098-8. URL: http:https://doi.org/10.1186/s13677-017-0098-8.
  • C. Banse, P. Stephanow and M. Moein. “Continuous Location Validation of Cloud Service Components”. In: Proceedings of the 9th IEEE International Conference on Cloud Computing Technology and Science, CloudCom 2017.
  • M. Schanzenbach and S. Zickau. “Identity and access management in a doping control use case”. In: Datenschutz und Datensicherheit DuD 41.12 (2017), pp. 724–728. ISSN: 18622607. DOI: 10.1007/s11623-017-0867-z. URL: https://doi.org/10.1007/s11623-017-0867-z.
  • A. Ahadipour and M. Schanzenbach. “A Brief History of Authorization in Distributed Systems: Information Storage, Data Retrieval and Trust Evaluation”. In: Proceedings of the International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), August 2017.
  • C. Banse and J. Schuette. “A Taxonomy-based Approach for Security in Software-defined Networking”. In: 2017 IEEE International Conference on Communications, ICC 2017, Paris, France, May 21-25, 2017.
  • I. Kunz and P. Stephanow. “A process model to support continuous certification of cloud services”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • P. Stephanow and C. Banse. “Evaluating the performance of continuous test-based cloud service certification”. In: 17th International Symposium on Cluster, Cloud and Grid Computing (CCGrid). IEEE, 2017.
  • P. Stephanow and K. Khajehmoogahi. “Towards continuous security certification of Software-as-a-Service applications using web application testing”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • B. Gulmezoglu, A. Zankl, T. Eisenbarth and B. Sunar. “PerfWeb: How to Violate Web Privacy with Hardware Performance Events”. In: Computer Security – ESORICS 2017: 22nd European Symposium on Research in Computer Security, Oslo, Norway, September 1115, 2017. to appear. Cham: Springer International Publishing, 2017.
  • J. Sepúlveda, A. Zankl and O. Mischke. “Cache Attacks and Countermeasures for NTRUEncrypt on MPSoCs: Post-quantum Resistance for the IoT”. In: 2017 30th IEEE International System-on-Chip Conference (SOCC), 2017.