Pressemitteilungen

An der Cloud führt kein Weg mehr vorbei. Um konkurrenzfähig und innovativ zu bleiben, verwalten immer mehr Unternehmen ihre Daten und Geschäftsprozesse in Cloud-basierten Diensten. Doch mit der Cloud erhöht sich gleichzeitig die Komplexität: Werden Konfigurationen falsch gewählt, können unter Umständen sensible Daten offengelegt werden. Gerade kleine und mittelständische Unternehmen setzen deswegen häufig auf Compliance-Tools, die sie beim sicheren und rechtskonformen Einsatz von Cloud-Services unterstützen. Dass die Anbieter dieser Dienste häufig im Ausland sitzen, lässt viele Unternehmen zögern. Aus diesem Grund hat das Fraunhofer AISEC jetzt eine Community-Edition des »AISEC-Clouditors« veröffentlicht. Mit diesem Compliance-Tool können Unternehmen die Konfigurationen ihrer Cloud-basierten Anwendungen auditieren und damit die Grundlage für mehr Sicherheit schaffen.

Um im internationalen Vergleich bestehen und den Weg der zunehmenden Vernetzung und Digitalisierung weiter beschreiten zu können, benötigt die Industrie ein Internet mit kognitiven Fähigkeiten und sicheren vernetzten Da-tenräumen. Auf der Hannover Messe 2019 präsentiert der Fraunhofer Cluster of Excellence »Cognitive Internet Technologies« CCIT diese Schüsseltechnologien anhand eines Beispiels aus der Logistik: Die lückenlose vertrauenswürdige Warenverfolgung mit kognitiver Sensorik und Blockchain-Technologie.

Wie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann, haben unter der Koordination des BMBF-Verbundprojektes secUnity 30 namhafte europäische IT-Sicherheitsexperten in der secUnity-Roadmap niedergelegt, darunter Forscherinnen und Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC). Am Dienstag, den 5. Februar 2019, stellen die Wissenschaftlerinnen und Wissenschaftler von secUnity die Roadmap in Brüssel vor und übergeben sie offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit ENISA.

Immer mehr Webseiten und Apps bieten ihren Nutzern im Login- oder Registrierungsbereich die Option, sich ihre digitale Identität über einen privaten E-Mail-Server oder Social-Media-Account bestätigen zu lassen. Was für Kunden die Usability erhöht und dem Diensteanbieter eine eigene Datenhaltung erspart, ist jedoch mit Risiken für beide Seiten verbunden. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC stellt nun eine dezentrale und freie Alternative zu diesen Identitätsprovidern zur Verfügung: »re:claimID« gibt Nutzern die Kontrolle über ihre digitale Identität und unterstützt Unternehmen bei der Einhaltung der DSGVO-Vorgaben.

secUnity, das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projekt zur Stärkung der IT-Sicherheitsforschung in Deutschland und Europa, stellte im Rahmen des Abschluss-Workshops die Erweiterung der bereits erfolgreichen IT-Sicherheitslandkarte auf ganz Europa vor. Die IT-Sicherheitslandkarte wurde vom Fraunhofer AISEC mitentwickelt und gibt einen umfassenden und aktuellen Überblick über die Akteure in verschiedenen Bereichen der IT-Sicherheit – von Universitäten (mit ihren spezialisierten Arbeitsgruppen) und Forschungseinrichtungen bis hin zu kleinen und mittelständischen Unternehmen (KMU).

Nicht jeder Einbrecher braucht eine Brechstange – manchen genügt ein Bohrer, der dünner als ein Millimeter ist, um an die Beute zu kommen: Informationen und Daten auf einem Chip. Gelingt der Angriff, kann das gravierende Folgen haben, vor allem in sensiblen Bereichen wie kritischer Infrastruktur, im Banken- und Finanzwesen oder im Gesundheitsbereich. Unternehmen und kriminelle Hacker liefern sich seit langem ein heftiges Wettrennen und die technologischen Kniffe werden immer ausgefeilter.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC hat im Oktober 2018 die Vivy GmbH bei der Beschreibung des Sicherheits- und Datenschutzkonzepts unterstützt, das der gleichnamigen App zugrunde liegt. Gegenstand des Auftrags war eine allgemein verständliche Erläuterung der zu diesem Zeitpunkt beschriebenen Maßnahmen und der von Dritten durchgeführten Sicherheits- und Datenschutzevaluierungen. Fraunhofer AISEC hat weder eine Sicherheitsbewertung durchgeführt noch die konkrete Umsetzung der Maßnahmen betrachtet. Eine Sicherheitsanalyse und Bewertung der Angemessenheit der entwickelten Konzepte war nicht Ziel des Papiers. Die derzeit in der Öffentlichkeit diskutierten Sicherheitslücken der Vivy-Plattform beziehen sich auf eine Version des Sicherheits- und Datenschutzkonzeptes, die älter ist als die dem Whitepaper zugrundeliegende. Das Fraunhofer AISEC hat sich damit nicht befasst und kann hierzu keine Einschätzung abgegeben.

Die Komplexität vernetzter Systeme erfordert eine frühzeitige Risikoanalyse. Aus diesem Grund hat das Fraunhofer AISEC MoRA (Modular Risk Assessment) entwickelt: die modular aufgebaute Risikobewertungsmethode führt werkzeugunterstützt zu einem nachvollziehbaren, sicheren Systementwurf und ist auch auf bestehende Systeme anwendbar. Die Methode und ihre Anwendung präsentiert das Fraunhofer AISEC auf der diesjährigen it-sa (Nürnberg, 09.-11. Oktober 2018) am Fraunhofer-Gemeinschaftsstand in Halle 10, Stand 110. Unter dem Motto „IT-Security made by Fraunhofer“ zeigen erstmals vier Institute und die Fraunhofer Academy gemeinsam ihre Lösungen rund um das Thema Cyber-Sicherheit.

Auf dem diesjährigen USENIX Security Symposium in Baltimore präsentierten Forscher vom Fraunhofer AISEC und der Technischen Universität Graz vom 15. bis 17. August ein neues Werkzeug für Sicherheitstests von Software. Das Tool findet automatisch jene Codezeilen, die bei Ausführung auf modernen Prozessoren geheime Informationen an andere Programme preisgeben. Diese Informationslecks hinterlassen verräterische Spuren im Prozessor und öffnen sogenannte Seitenkanäle, die von Schadsoftware angezapft werden können. Darüber lassen sich dann Geheimnisse rekonstruieren, die die Sicherheit des gesamten Systems gefährden.

Je mehr die Elektronik Autos lenkt, beschleunigt und bremst, desto wichtiger wird der Schutz vor Cyber-Angriffen. Deshalb erarbeiten 15 Partner aus Industrie und Wissenschaft in den kommenden drei Jahren neue Ansätze für die IT-Sicherheit im selbstfahrenden Auto. Das Verbundvorhaben unter dem Namen Security For Connected, Autonomous Cars (SecForCARs) wird durch das Bundesministerium für Bildung und Forschung mit 7,2 Millionen Euro gefördert. Infineon leitet das Projekt.