Sicherheit für verteilte Anwendungen

Service & Application Security

Mobile Applikationen (Apps), Webtechnologien und Cloud-Infrastrukturen – die Herausforderungen an die IT-Sicherheit nehmen durch die zunehmende Anzahl von Komponenten und durch die Heterogenität der Plattformen zu. Denn längst haben sich ehemals monolithische Programme zu verteilten Architekturen entwickelt, in denen Anwendungen und Dienste zusammenarbeiten. Ziel der Abteilung Service & Application Security ist es, Methoden und Technik zu entwickeln, mit denen sich Sicherheitslücken schneller auffinden und beheben lassen. Dabei werden basierend auf aktuellen Ergebnissen aus der Sicherheitsforschung neuartige Ansätze für sichere verteilte Anwendungen entwickelt und umgesetzt.

Expertise

Das Fraunhofer AISEC forscht in mehreren Bereichen der Anwendungssicherheit und transferiert das gewonnene Know-How in die Entwicklung von Schutzkonzepten und innovativen technischen Lösungen. Im Bereich der mobilen Sicherheit arbeitet das Fraunhofer AISEC seit mehreren Jahren an effizienten Verfahren zur automatischen, statischen und dynamischen Software-Analyse und hat hieraus Produkte entwickelt, die mittlerweile im kommerziellen Einsatz sind. Im Forschungsfeld Cloud-Computing hat Fraunhofer AISEC bereits im Jahr 2009 eine umfangreiche Sicherheitsstudie veröffentlicht und seitdem kontinuierlich Expertise zu Cloud- und Container-Architekturen sowie modernen Netzwerkarchitekturen wie Software-Defined Networking (SDN) aufgebaut. Für Experimente verfügen wir über eine OpenStack-Umgebung und einen Kubernetes-Cluster sowie ein Mobilfunk-Labor mit eigenem GSM- und LTE-Netz. Expertise im Bereich Identity-Management, wie IAM-Protokolle und -Dienste für Cloud-Anwendungen, aber auch deren leichtgewichtige Pendants im IoT-Umfeld, runden unser Portfolio ab.

Kompetenzen

  • Dynamische und statische Software-Analyse
  • Evaluierung von mobile Payment-Applikationen auf Basis von Host Card Emulation (HCE)
  • Sicherheitskonzepte für Software-Defined Networking (SDN)
  • Sicherheit und Assurance von Cloud-Computing und Container-Lösungen
  • Einsatz von fortgeschrittenen kryptographischen Verfahren für Datensicherheit in der Cloud
  • Datennutzungskontrolle in IoT-Architekturen
  • Einsatz von praktischen Verfahren zur Anonymisierung von Daten

Angebote

  • Bedrohungs- und Risikoanalysen
  • Entwicklung von Sicherheitskonzepten
  • Beratung und Begleitung des Entwicklungsprozesses
  • Implementierung von Prototypen
  • Penetration Tests von mobilen und verteilten Anwendungen

Projekte (Auswahl)

PARADISE

© Foto Paradise-Projekt

Heutige Identity-Management (IdM) Systeme setzen einen vertrauenswürdigen Identity Provider voraus, der Informationen über sämtliche ID-Anfragen eines Benutzers erhält. Im Web nehmen vor allem Google und Facebook diese Rolle ein. Im Rahmen des BMBF-geförderten Projektes PARADISE entwickeln wir ein dezentrales IdM-System, dass die Privatsphäre von Benutzern respektiert. Im Kontext von Anti-Doping-Kontrollen wird so ein effektives Kontrollsystem möglich, ohne dass Athleten einer Totalüberwachung unterliegen.

https://privacy-paradise.de

Clouditor

Der Clouditor hilft Unternehmen, automatisiert kritische Sicherheits- und Compliance-Anforderungen zu erfüllen. Es ist ein Assurance-Werkzeug, das Diensten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf im Hinblick auf Assurance-relevante Metriken auswertet. Maßgeschneiderte Tests, die kontinuierlich ausgeführt werden, erlauben hohe Genauigkeit und präzise Aussagen.

www.clouditor.de

App-Ray

App-Ray ist eines der mächtigsten Werkzeuge zur Sicherheitsanalyse von Android-Apps. Statische, dynamische und hybride Analyseverfahren untersuchen Apps umfassend und vollautomatisch auf Sicherheitslücken, Gefährdungen der Privatssphäre und Programmierfehler. Das Tool unterstützt sowohl Pentester als auch Entwickler darin, Sicherheitslücken in Apps schnell und zuverlässig zu finden.

www.app-ray.com

Publikationen (Auswahl)

  • A. Ahadipour and M. Schanzenbach. “A Brief History of Authorization in Distributed Systems: Information Storage, Data Retrieval and Trust Evaluation”. In: Proceedings of the International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), August 2017.
  • C. Banse and J. Schuette. “A Taxonomy-based Approach for Security in Software-defined Networking”. In: 2017 IEEE International Conference on Communications, ICC 2017, Paris, France, May 21-25, 2017.
  • I. Kunz and P. Stephanow. “A process model to support continuous certification of cloud services”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • P. Stephanow and C. Banse. “Evaluating the performance of continuous test-based cloud service certification”. In: 17th International Symposium on Cluster, Cloud and Grid Computing (CCGrid). IEEE, 2017.
  • P. Stephanow and K. Khajehmoogahi. “Towards continuous security certification of Software-as-a-Service applications using web application testing”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • B. Gulmezoglu, A. Zankl, T. Eisenbarth and B. Sunar. “PerfWeb: How to Violate Web Privacy with Hardware Performance Events”. In: Computer Security – ESORICS 2017: 22nd European Symposium on Research in Computer Security, Oslo, Norway, September 1115, 2017. to appear. Cham: Springer International Publishing, 2017.
  • J. Sepúlveda, A. Zankl and O. Mischke. “Cache Attacks and Countermeasures for NTRUEncrypt on MPSoCs: Post-quantum Resistance for the IoT”. In: 2017 30th IEEE International System-on-Chip Conference (SOCC). to appear. 2017.
  • G. Settanni, F. Skopik, Y. Shovgenya, R. Fiedler, M. Carolan, D. Conroy, K. Böttinger, M. Gall, G. Brost, C. Ponchel, M. Haustein, H. Kaufmann, K. Theuerkauf and P. Olli. “A Collaborative Cyber Incident Management System for European Interconnected Critical Infrastructures”. In: Journal of Information Security and Applications Special Issue on ICS & SCADA Cyber Security, 2016.
  • M. Schanzenbach and C. Banse. "Managing and Presenting User Attributes over a Decentralized Secure Name System". 11th DPM International Workshop on Data Privacy Management (DPM), September 2016.
  • J. Schütte, P. Stephanow and G. Srivastava. “Test-based cloud service certification of opportunistic providers”. In: The 8th IEEE International Conference on Cloud Computing (CLOUD), June 2016.
  • P. Stephanow, C. Banse and J. Schütte. "Generating Threat Profiles for Cloud Service Certification Systems". In: 17th IEEE High Assurance Systems Engineering Symposium (HASE), January 2016.
  • J. Schütte and G. Brost. "A Data Usage Control System using Dynamic Taint Tracking". In: Proceedings of the International Conference on Advanced Information Network and Applications (AINA), March 2016.
  • M. Gall and G. Brost. "K-word Proximity Search on Encypted Data". In: Proceedings of the International Conference on Advanced Information Network and Applications (AINA), March 2016.