Service and Application Security

Sicherheit für verteilte Anwendungen

Geräte im Internet of Things, mobile Applikationen und Cloud-Infrastrukturen – die Herausforderungen an die IT-Sicherheit nehmen durch die zunehmende Anzahl von Komponenten und durch die Heterogenität der Plattformen stetig zu. Denn längst haben sich ehemals monolithische Programme zu verteilten Architekturen entwickelt, in denen Anwendungen und Dienste zusammenarbeiten. Der Forschungsbereich Service & Application Security beschäftigt sich maßgeblich mit der Sicherheit und dem Datenschutz von verteilten Anwendungen sowie sicheren Cloud- und Container-Infrastrukturen. Dabei werden basierend auf aktuellen Ergebnissen aus der Sicherheitsforschung neuartige Lösungen entwickelt und umgesetzt.

Forschungsfelder

Applied Privacy Technologies

Das Forschungsfeld Applied Privacy Technologies beschäftigt sich mit dem Spannungsfeld zwischen sicherer Datenverarbeitung und Datenschutz. Ziel ist die Unterstützung der digitalen Selbstbestimmung. Dies umfasst beispielsweise die praktischen Anwendungen von Kryptographie, wie Attribute-based Encryption (ABE), Searchable Encryption und der Einsatz von Privacy-Enhancing Technologies (PETs). Unsere Experten gestalten sichere, dezentrale Dienste und Architekturen für das Internet der Zukunft (Next Generation Internet) und beschäftigen sich mit Technologien wie Self-Sovereign Identities (SSI).
 

Secure Data Ecosystems

Das Forschungsfeld Secure Data Ecosystems beschäftigt sich mit Technologien, die Unternehmen befähigt, auf sichere Art und Weise Daten auszutauschen. Im Fokus stehen hierdie Analyse, Konzeptionierung und Weiterentwicklung aller Komponenten, die essenziell für ein Datenökosystem sind. Dies umfasst sichere Gateways zum Datenaustausch, den Weg zu vertrauenswürdigen Cloud-Infrastrukturen und alle Themen rund um International Dataspaces und GAIA-X. Wir helfen bei der Ist-Analyse und begleiten bei der Zertifizierung oder sonstigen Bewertung von Komponenten und Systemen.

 

Software Security

Fokus des Forschungsfeldes Software Security liegt in der Erforschung und Anwendung von Techniken zur Analyse und Bewertung von Software-Artefakten, wie Backend-Applikationen oder mobilen Anwendungen. Dies umfasst neuartige Möglichkeiten zur dynamischen und statischen Code-Analyse, wie beispielsweise Code Property Graphs. Unsere, teilweise als Open-Source veröffentlichen Lösungen ermöglichen Anwendungsfälle wie die korrekte Nutzung von kryptografischen Bibliotheken.

Laborräume

Unsere Mitarbeitenden arbeiten in verschiedensten Laboren an Zukunftsthemen im Bereich Service & Application Security. So steht unseren Mitarbeitern und Kunden ein umfangreiches Secure Data Ecosystems-Labor zur Verfügung, in dem neuartige Technologien zum sicheren Datenaustausch erprobt werden können. Das eng damit verknüpfte Cloud- und Netzwerk-Labor ermöglicht Hands-On-Erfahrungen im Bereich Container-Virtualisierung mit Kubernetes sowie Zugang zu Public-Cloud-Systemen wie Azure und AWS. Ein Angebot an funkbasierter Kommunikationstechnik, wie Bluetooth, LTE und 5G (im Aufbau) runden das Laborangebot ab.

Cloud Security Lab

Das Cloud Security Labor am Fraunhofer AISEC ermöglicht eine Vielzahl von Evaluierungsdiestleistungen zur Absicherung von Cloud-Diensten.

Software Security Lab

In modernster Laborumgebung erforscht und prüft das Fraunhofer AISEC die Sicherheit von Software und Applikationen.

Secure Data Ecosystems

Im Forschungslabor Secure Data Ecosystems steht die notwendige Infrastruktur für die Entwicklung, Planung und Umsetzung von vertrauenswürdigen Datenräumen zur Verfügung.

Angebote im Überblick

Unser Ziel ist es, in enger Zusammenarbeit mit unseren Kunden und Partnern die Fähigkeit zur Beurteilung der Sicherheit von Systemen und Produkten systematisch zu verbessern, um die Systemzuverlässigkeit zu bewerten, Systeme sicher zu gestalten und die Sicherheit nachhaltig über den gesamten Lebenszyklus zu bewahren.

Sicherheit bewerten

  • Im Rahmen von Bedrohungs- und Risikoanalysen bewerten wir die Sicherheit von verteilten Systemen. Typische Systeme bestehen beispielsweise aus einer Web-Applikationen und einem dazugehörigen Backend.
  • In praktischen Security Audits und Penetrationstests nehmen wir die Rolle des Angreifers ein und decken in Ihrem Auftrag Sicherheitslücken in Ihrer mobilen Anwendung oder in Ihrem Cloud-System auf.
  • Durch Source Code-Audits mit Fokus auf Java, TypeScript und C++ geben wir Ihnen einen detaillierten Einblick in die Sicherheit Ihrer Anwendungen.
  • Durch eine Ist-Analyse von bestehenden Lösungen ermöglicht das Aufzeigen von Optionen, wie sichere Datenökosysteme aufgebaut werden können.  

Sicherheit gestalten 

  • Wir beraten Sie, wie Sie Ihre Anwendungen bereits im Entwicklungsprozess hinsichtlich Sicherheit und Datenschutz gestalten können.
  • Gemeinsam mit Ihnen zeigen wir Ihnen Potenziale von neuen Sicherheitstechnologien, wie Self-Souvereign Identities oder Searchable Encryption auf. Innovative Konzepte setzen wir ebenso für Sie prototypisch um wie Informationsfluss- und Datennutzungskontrolle in IoT-Architekturen.

Sicherheit bewahren

  • Angebote rund um das Thema Compliance und Assurance Monitoring (z.B. von Cloud-Systemen) runden unser Portfolio ab.
  • Wir beraten Sie bei der Sicherheit und Compliance von Cloud-Computing- und Container-Lösungen und begleiten sie bei der Vorbereitung von Zertifizierungsvorhaben.

Ausgewählte Projekte

 

Clouditor

Der Clouditor hilft Unternehmen, automatisiert kritische Sicherheits- und Compliance-Anforderungen zu erfüllen.

 

re:claimID

Mit re:claimID hat das Fraunhofer AISEC ein Tool für eine dezentrale Verwaltung von digitalen Identitäten entwickelt, das es Nutzern ermöglicht, digitale Identitäten und Attribute sicher und selbstbestimmt zu verwalten und anderen Parteien zur Verfügung zu stellen.

 

CODYZE

In dem BSI-Projekt wurde ein automatisches Werkzeug entwickelt, das überprüft, ob kryptopgrafische Bibliotheken korrekt genutzt werden.  

 

6G-ANNA

Im BMBF-Forschungsprojekt »6G-ANNA« bringt die Abteilung Service and Application Security ihre Cybersicherheits-Expertise im Feld »Code-Analyse« ein. 

Ausgewählte Initiativen und Kooperationen

 

Souveräner Datenaustausch

International Data Spaces

Die International Data Spaces ermöglichen das souveräne, und damit selbstbestimmte Teilen von Daten über Unternehmensgrenzen hinweg.

 

Fraunhofer CCIT

Trackchain-Technologie

Um im internationalen Vergleich den Weg der zunehmenden Digitalisierung weiter beschreiten zu können, benötigt die Logistik ein Internet mit kognitiven Fähigkeiten und sicheren vernetzten Datenräumen. Im Rahmen des Fraunhofer CCIT entwickelt das Fraunhofer AISEC eine lückenlose vertrauenswürdige Warenverfolgung mit kognitiver Sensorik und Blockchain-Technologie.

Publikationen

  • Christian Banse, Immanuel Kunz, Nico Haas and Angelika Schneider. “A Semantic Evidence-based Approach to Continuous Cloud Service Certification”. In: Proceedings of the 38th ACM/SIGAPP Symposium on Applied Computing. SAC ’23. New York, NY, USA: Association for Computing Machinery, 2023.
  • Alexander Küchler, Leon Wenning and Florian Wendland. “AbsIntIO: Towards Showing the Absence of Integer Overflows in ARM Binaries”. In: Proceedings of ACM Asia Conference on Computer and Communications Security. ASIA CCS ’23. 2023.
  • Immanuel Kunz, Konrad Weiss, Angelika Schneider and Christian Banse. “Privacy Property Graph: Towards Automated Privacy Threat Modeling via Static Graph-based Analysis”. In: Proceedings on Privacy Enhancing Technologies. 2023.

  • Alexander Küchler and Christian Banse. “Representing LLVM-IR in a Code Property Graph”. In: Information Security. Ed. by Willy Susilo, Xiaofeng Chen, Fuchun Guo, Yudi Zhang, and Rolly Intan. ISC ’22. Springer, 2022, pp. 360–380.
  • Immanuel Kunz, Angelika Schneider, Christian Banse, Konrad Weiss, and Andreas Binder. “Poster: Patient Community – A Test Bed for Privacy Threat Analysis”. In: Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. CCS ’22. 2022. DOI: 10.1145/ 3548606.3564253.
  • Antoine d’Aligny, Emmanuel Benoist, Florian Dold, Christian Grothoff, Özgür Kesim, and Martin Schanzenbach. “Who comes after us? The correct mindset for designing a Central Bank Digital Currency”. In: SUERF Policy Note 279 (2022). URL: https://www.suerf.org/docx/f_cd24c3cabd88307c9c9299817143ba5d_46097_suerf.pdf.
  • Özgür Kesim, Christian Grothoff, Florian Dold, and Martin Schanzenbach. “Zero-Knowledge Age Restriction for GNU Taler”. In: Proceedings of 27rd European Symposium on Research in Computer Security (ESORICS). Lecture Notes in Computer Science. Springer, 2022.
  • Immanuel Kunz and Andreas Binder. “Application-Oriented Selection of Privacy Enhancing Technologies”. In: Annual Privacy Forum. Springer. 2022, pp. 75–87.
  • Immanuel Kunz, Angelika Schneider, and Christian Banse. “A Continuous Risk Assessment Methodology for Cloud Infrastructures”. In: 2022 22nd IEEE International Symposium on Cluster, Cloud and Internet Computing (CCGrid). IEEE. 2022, pp. 1042–1051.
  • Florian Lauf, Marcel Klöttgen, Hendrik Meyer zum Felde, and Robin Brandstädter. “Donating Medical Data as a Patient Sovereignly: A Technical Approach”. In: 15th International Conference on Health Informatics (HEALTHINF 2022). 2022.
  • Konrad Weiss and Christian Banse. A Language Independent Analysis Platform for Source Code. 2022. arXiv: 2203.08424 [cs.CR]. URL: https://doi.org/10.48550/arXiv.2203.08424.

 

  • C. Banse, I. Kunz, A. Schneider, and K. Weiss. “Cloud Property Graph: Connecting Cloud Security Assessments with Static Code Analysis”. In: 2021 IEEE 14th International Conference on Cloud Computing (CLOUD). Los Alamitos, CA, USA: IEEE Computer Society, 2021, pp. 13–19. DOI: 10.1109/CLOUD53861.2021.00014.
    URL: https://doi.ieeecomputersociety.org/10.1109/CLOUD53861.2021.00014.
  • Christian Banse. “Data Sovereignty in the Cloud Wishful Thinking or Reality?” In: Proceedings of the 2021 on Cloud Computing Security Workshop. CCSW ’21. Virtual Event, Republic of Korea: Association for Computing Machinery, 2021, 153–154. ISBN: 9781450386531. DOI: 10.1145/3474123.3486792.
    URL: https://doi.org/10.1145/3474123.3486792.
  • Christian Banse, Florian Wendland, and Konrad Weiss. “Automatisierte Compliance-Prüfung in Software-Artefakten”. In: Deutschland. Digital. Sicher. 30 Jahre BSI. SecuMedia Verlag, 2021. ISBN: 9783922746836.
  • Georg Bramm, Matthias Hiller, Christian Hofmann, Stefan Hristozov, Maximilian Oppelt, Norman Pfeiffer, Martin Striegel, Matthias Struck, and Dominik Weber. “CardioTEXTIL: Wearable for Monitoring and End-to-End Secure Distribution of ECGs”. In: IEEE 17th International Conference on Wearable and Implantable Body Sensor Networks (BSN). 2021. DOI: to appear.
  • Felicitas Hetzelt, Martin Radev, Robert Buhren, Mathias Morbitzer, and Jean-Pierre Seifert. “VIA: Analyzing Device Interfaces of Protected Virtual Machines”. In: 37th Annual Computer Security Applications Conference (ACSAC 2021). 2021.
  • Alexander Küchler, Alessandro Mantovani, Yufei Han, Leyla Bilge, and Davide Balzarotti. “Does Every Second Count? Time-based Evolution of Malware Behavior in Sandboxes”. In: Network and Distributed Systems Security (NDSS) Symposium. 2021.
  • Hendrik Meyer zum Felde, Mathias Morbitzer, and Julian Schütte. “Securing Remote Policy Enforcement by a Multi-Enclave based Attestation Architecture”. In: 19th IEEE international conference on embedded and ubiquitous computing (EUC 2021). 2021.
  • Mathias Morbitzer, Sergej Proskurin, Martin Radev, Marko Dorfhuber, and Erick Quintanar Salas. “SEVerity: Code Injection Attacks against Encrypted Virtual Machines”. In: 15th IEEE Workshop on Offensive Technologies (WOOT). 2021.
  • Martin Schanzenbach, Christian Grothoff, Hansjürg Wenger, and Maximilian Kaul. “Decentralized Identities for Self-sovereign End-users (DISSENS)”. In: Open Identity Summit 2021. Ed. by Heiko Roßnagel, Christian H. Schunck, and Sebastian Mödersheim. Bonn: Gesellschaft für Informatik e.V., 2021, pp. 47–58.

  • Georg Bramm and Julian Schütte. “cipherPath: Efficient Traversals over Homomorphically Encrypted Paths.” In: ICETE. 2020.
  • Immanuel Kunz, Christian Banse, and Philipp Stephanow. “Selecting Privacy Enhancing Technologies for IoT-Based Services”. In: International Conference on Security and Privacy in Communication Systems. Springer. 2020.
  • Immanuel Kunz, Valentina Casola, Angelika Schneider, Christian Banse, and Julian Schütte. “Towards Tracking Data Flows in Cloud Architectures”. In: IEEE International Conference on Cloud Computing (CLOUD). IEEE. 2020.
  • Immanuel Kunz, Philipp Stephanow, and Christian Banse. “An Edge Framework for the Application of Privacy Enhancing Technologies in IoT Communications”. In: International Conference on Communications (ICC). IEEE. 2020.
  • Luca Wilke, Jan Wichelmann, Mathias Morbitzer, and Eisenbarth Thomas. “SEVurity: No Security Without Integrity Breaking Integrity Free
    Memory Encryption with Minimal Assumptions”. In: 2020 IEEE Symposium on Security and Privacy, SP 2020, San Francisco, CA, USA, MAY 1820, 2020. IEEE. 2020.
  • Dorian Knoblauch and Christian Banse. “Reducing implementation efforts in continuous auditing certification via an Audit API”. In: 2019 IEEE 28th International Conference on Enabling Technologies: Infrastructure for Collaborative Enterprises (WETICE). 2019.
  • Mathias Morbitzer. “Scanclave: Verifying Application Runtime Integrity in Untrusted Environments”. In: 2019 IEEE 28th International Conference on Enabling Technologies: Infrastructure for Collaborative Enterprises (WETICE). 2019.
  • Mathias Morbitzer, Manuel Huber, and Julian Horsch. “Extracting Secrets from Encrypted Virtual Machines”. In: Proceedings of the Ninth ACM on Conference on Data and Application Security and Privacy. CODASPY ’19. Richardson, Texas, USA: ACM, 2019, p. 10. ISBN: 9781450360999. DOI: 10.1145/3292006.3300022.
    URL: https://doi.org/10.1145/3292006.3300022.
  • Martin Schanzenbach, Thomas Kilian, Julian Schütte, and Christian Banse. “ZKlaims: Privacy-preserving Attribute-based Credentials using Non-interactive Zero-knowledge Techniques”. In: Proceedings of the 16th International Conference on Security and Cryptography (SECRYPT 2019), part of ICETE. 2019.
  • Julian Schütte and Dennis Titze. “liOS: Lifting iOS Apps for Fun and Profit”. In: Proceedings of the International Workshop on Secure Internet of Things (SIoT). Luxembourg: IEEE, 2019.
  • Konrad Weiss and Julian Schütte. “Annotary: A Concolic Execution System for Developing Secure Smart Contracts”. In: Proceedings of 24rd European Symposium on Research in Computer Security (ESORICS). Lecture Notes in Computer Science. Springer, Sept. 2019.
  • Georg Bramm, Mark Gall, and Julian Schütte. “BDABE-Blockchain-based Distributed Attribute based Encryption.” In: ICETE (2). 2018, pp. 265–276
  • Manuel Huber Gerd S. Brost, Julian Schütte Michael Weiß Mykolai Protsenko, and Sascha Wessel. “An Ecosystem and IoT Device Architecture for Building Trust in the Industrial Data Space”. In: CPSS’18: The 4th ACM CyberPhysical System SecurityWorkshop. CPSS’18. Incheon, Republic of Korea: ACM, 2018, pp. 39–50. ISBN: 9781450357555. DOI: 10.1145/3198458.3198459.
    URL: https://doi.org/10.1145/3198458.3198459.
  • Wolfgang Gräther, Sabine Kolvenbach, Rudolf Ruland, Julian Schütte, Christof Torres, and Florian Wendland. “Blockchain for Education: Lifelong Learning Passport”. In: Proceedings of 1st ERCIM Blockchain Workshop 2018. Reports of the European Society for Socially Embedded Technologies: vol. 2, no. 10. European Society for Socially Embedded Technologies (EUSSET), 2018.
  • Mathias Morbitzer, Manuel Huber, Julian Horsch, and Sascha Wessel. “SEVered: Subverting AMD’s Virtual Machine Encryption”. In: Proceedings of the 11th European Workshop on Systems Security. EuroSec’18. Porto, Portugal: ACM, 2018. ISBN: 9781450356527. DOI: 10.1145/3193111.
    3193112.
    URL: https://doi.org/10.1145/3193111.3193112.
  • Martin Schanzenbach, Christian Banse, and Julian Schütte. “Practical Decentralized Attribute-Based Delegation Using Secure Name Systems”. In: 2018 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/ 12th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE). 2018, pp. 244–251. DOI: 10.1109/TrustCom/BigDataSE.2018.00046.
  • Martin Schanzenbach, Georg Bramm, and Julian Schütte. “reclaimID: Secure, Self-Sovereign Identities Using Name Systems and Attribute-Based Encryption”. In: 2018 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/ 12th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE). 2018, pp. 946–957. DOI: 10.1109/TrustCom/BigDataSE.2018.00134.
  • Julian Schütte and Gerd Brost. “LUCON: Data Flow Control for Message-Based IoTSystems”. In: Proceedings of the International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). Aug. 2018.
  • Florian Wendland and Christian Banse. “Enhancing NFV Orchestration with Security Policies”. In: ARES 2018: International Conference on Availability, Reliability and Security, August 27–30, 2018, Hamburg, Germany. New York, NY, USA: ACM, 2018. ISBN: 9781450364485/18/08. DOI: 10.1145/3230833.3233253.