Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit

Testing

Das Internet der Dinge befindet sich auf dem Vormarsch und beschreibt, vereinfacht ausgedrückt, eine allumfassende Vernetzung. Alles kommuniziert mit allem. Menschen sind nicht mehr primär die Initiatoren der Kommunikation zwischen Dingen, d.h. auf eingebetteten Systemen basierenden Minicomputern. Die Basis für diese Vision bilden IT-Infrastrukturen, eine Vielzahl von Plattformen, Diensten und Anwendungen fürs Web, aber auch für Mobile.

Ein wesentliches Merkmal dieser Entwicklung ist jedoch das mit den sich öffnenden Möglichkeiten proportional ansteigende Risiko für Angriffe auf die Infrastruktur. Da die IT mittlerweile das Fundament vieler Geschäftsprozesse bildet, können Angriffe verheerende Auswirkungen für Unternehmen, Behörden und Einrichtungen oder kritische Infrastrukturen haben. In vielen Fällen kommt selbstentwickelte Software zum Einsatz, was zunächst vor auf Standard-Software abzielenden Angriffen schützen soll. Allerdings ist es für die Entwickler und Nutzer schwer zu beurteilen, ob und welchen Angriffen sie standhält und wie sie auf diese überhaupt reagiert. Im Rahmen von Analysen und Tests (Penetration Tests) lässt sich klären, wie hoch das Schutzniveau ist und wie sich dieses bei Bedarf erhöhen lässt.

Expertise#

Fraunhofer AISEC bietet ein umfassendes, unabhängiges Testangebot zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, sowie von Hard- und Software-Produkten oder aber auch Web-basierten Diensten und Cloud-Angeboten. Fraunhofer AISEC verfügt dazu über moderne Testlabore zur Durchführung von Sicherheits-, Compliance und Interoperabilitätstests.

  • Hardware-Labor

    In unserem mit modernsten Geräten ausgestatteten Hardwaretestlabor führen wir im Kundenauftrag eine große Bandbreite an Angriffen auf eingebettete Systeme durch, zeigen Schwachstellen auf und entwickeln zusammen mit unseren Kunden Lösungen zu deren effektiver Behebung. Die Bandbreite unseres Testangebots reicht dabei von einfachen Angriffen auf eingebettete Systeme wie Angriffe über offene Schnittstellen (JTAG) bis hin zu passiven Seitenkanalangriffen und semi-invasiven Fehlerangriffen. Ein fortgeschrittenes Hardwaretestlabor mit entsprechenden Tool-Chains gewährleistet dabei, dass die Sicherheit von eingebetteten Komponenten auch hinsichtlich neuester Angriffsklassen evaluiert werden kann. mehr Info

  • Smart Metering Lab

    In der am Fraunhofer AISEC betriebenen Testumgebung analysieren wir handelsübliche Smart Meter Komponenten und bewerten sie hinsichtlich ihrer Sicherheitseigenschaften, u.a. im Hinblick auf das in der Entwicklung befindliche Protection Profile für SmartMeter des BSI. Wir beraten unsere Kunden im Hinblick auf die Erhöhung der Qualität ihrer Produkte bzw. beraten Anwender bei der Auswahl geeigneter SmartMeter Komponenten. Wir entwickeln für unsere Kunden zudem dedizierte Sicherheitslösungen, die auf den Kundenbedarf zugeschnitten sind, oder unterstützen unsere Kunden bei der sicheren Weiterentwicklung ihrer Produkte.

  • Mobile Payment Lab

    Mobiles Payment über NFC verspricht ein enormes Marktpotential, da das Ausrollen einer komplexen Payment-Infrastruktur entfällt und Transaktionen mit passiven Komponenten, die über keine eigene Stromversorgung verfügen, durchgeführt werden können. Mobile Payment über NFC beinhaltet jedoch inhärente Sicherheitsherausforderungen. Nicht nur die mobilen Endgeräte müssen gewisse Sicherheitseigenschaften aufweisen, auch die Kommunikation mit den Tags/Readern muss vertrauenswürdig und sicher abgewickelt werden. Im Rahmen unseres NFC-Testlabs wird die Sicherheit konkreter NFC Realisierungen analysiert und bewertet, um Aussagen über die Sicherheit NFC-basierter Payment Transaktionen zu erhalten.

  • GSM-Testlabor

    Fraunhofer AISEC betreibt ein eigenes GSM Testnetz mit Messumgebungen, die es erlauben, Angriffe über das Mobilfunknetz auf das mobile Endgerät durchzuführen. Das GSM Testlabor bietet die Möglichkeit unterschiedliche Mobilfunkendgeräte hinsichtlich Schwachstellen im GSM-Stack des Endgeräts testen zu können. Zudem bietet das Labor Potential, um zukünftige Payment Applikationen über GSM/UMTS möglichst realitätsnah simulieren zu können.

  • Cloud-Testlabor

    Im Cloud Lab des Fraunhofer AISEC führen wir Funktions-, Zuverlässigkeits- und Interoperabilitätstests sowie Risikomanagement- und Benchmarkingtests durch. Hierbei werden in Absprache mit unseren Kunden alle Komponenten eines Cloud-Ökosystems analysiert. Des Weiteren begleiten wir alle relevanten Entwicklungsphasen vom Entwurf einzelner Dienste über Prototypen bis hin zum (Sicherheits-)Test marktreifer Gesamtsysteme. Fraunhofer AISEC testet Produkten und Lösungen rund um Cloud Computing, Identitätsmanagement und der zugrundeliegenden Komponenten von Service-orientierten Architekturen. Open Source Lösungen, wie Ubuntu und Eucalyptus, bilden dabei die technische Grundlage der von uns betriebenen Privaten Cloud. So ermöglichen uns die konfigurierten flexible und effizient einsetzbaren Virtueller Maschinen (VMs) und darauf aufbauender Services Vergleichsanalysen der Sicherheitsfunktionalität durchzuführen. Darüber hinaus umfasst das Angebot des CloudLabs Interoperabilitätstests, die eine immer größere Herausforderung beim Einsatz von Identitätsmanagementsystemen darstellen.

Kompetenzen und Angebote im Überblick#

  • Schwachstellenanalysen von Produkten und Lösungen
  • Technische Pre-Auditierung
  • Seitenkanalanalysen und Fehlerangriffe auf eingebettete Systeme
  • Fehlererkennung und Fehlertolerierung in digitalen Schaltungen
  • Embedded Systems Security Evaluation (Grey-, Black-, Whitebox)
  • Tamper Resistent Design Strategien
  • Entwicklung und Weiterentwicklung von Gegenmaßnahmen
  • Penetrationstests
  • System- und Anwendungsanalysen
  • Entwicklung von Testszenarien
  • Sicherheits-Evaluation von Cloud Angeboten und Plattformen, u.a. mit Abgleichen in Bezug auf die Mindestanforderungen des BSI
  • Prüfung auf Datenschutzkonformität von Cloud-Services, Web-Servern etc.

Das könnte Sie auch interessieren: