DAS INSTITUT IM PROFIL

Transkript

1 Fraunhofer-Institut für sichere informationstechnologie DAS INSTITUT IM PROFIL

2

3 liebe leserinnen und leser, Was Unternehmen und ihre Mitarbeiter brauchen, bietet der Markt oft nicht an. Das liegt nicht zuletzt an der rasanten IT-Entwicklung der vergangenen Jahre, die für Unternehmen zahlreiche Herausforderungen mit sich gebracht hat insbesondere in Sachen IT-Sicherheit. Die Gründe hierfür sind zahlreich: Der Siegeszug der Smartphones brachte den Unternehmen neue Flexibilität, aber auch die damit einhergehenden IT-Sicherheitsrisiken. Zeitgleich löste das Cloud Computing eine Revolution der Unternehmens-IT aus, ohne immer alle Fragen zur Einhaltung gesetzlicher Regelungen und Datenschutz zu beantworten. Um solche Aspekte müssen sich die Angreifer hingegen nicht kümmern, die immer besser ausgestattet sind und immer gezielter Unternehmen attackieren, um deren Ideen zu stehlen oder ihnen anderweitig Schaden zuzufügen. Die Leitungen vieler Unternehmen suchen derzeit nach Möglichkeiten, die Vorteile der Technik zu nutzen, die damit einhergehenden Risiken zu begrenzen und die rechtlichen Rahmenbedingungen zu erfüllen. Die IT-Verantwortlichen suchen parallel nach Lösungen, die den wirtschaftlichen Anforderungen ebenso entsprechen wie den eigenen Sicherheitsvorschriften. Unsere Erfahrungen zeigen: Je früher die Beteiligten sich aktiv den Herausforderungen in Sachen IT- Sicherheit und Datenschutz stellen, desto erfolgreicher können sie auf die Trends reagieren. Fraunhofer SIT bietet seinen Partnern einen wichtigen Know-how-Vorsprung, der sofort abrufbar ist. So beschäftigen wir uns heute schon mit den zukünftigen Standards, die durch das Cloud Computing vorangetrieben werden, und betrachten Smart Devices bereits jetzt als mobile Schnittstelle zur Cloud. Zugleich bieten wir im Rahmen der Vertragsforschung professionelles Projektmanagement und schnelle Reaktionszeiten. Für unsere Partner bedeutet dies Zeit- und Kostenvorteile und zugleich Ergebnisse von höchster Qualität. Die Broschüre bietet Ihnen einen Überblick über unsere Kompetenzen, Entwicklungen und Aktivitäten. Falls Ihre IT-Sicherheits lösung nicht dabei ist, schreiben Sie uns einfach eine Mail vielleicht arbeiten wir schon daran. Ihr (Prof. Michael Waidner)

4 inhalt Profil Fraunhofer SIT im profil... 4 zahlen und fakten... 5 IT-sicherheit made in DArmstadt... 6 Fokus angewandte f&e... 8 angebot und kooperation... 9 Referenzen kompetenzen...15

5 Kompetenzfelder Secure Engineering...16 Cloud Computing Mobile Systems Identity and Privacy Security Management Security Test Lab IT Forensics Cyber-Physical Systems Media Security Kuratorium Ansprechpartner... 39

6 Profil Fraunhofer SIT im profil Das Fraunhofer-Institut für Sichere Informationstechno logie gehört zu den ältesten und angesehensten Forschungseinrichtungen zu IT-Sicherheit weltweit. Über 165 Mitarbeiter unterstützen Unternehmen und Behörden bei der Ab sicherung von Daten, Diensten, Infra strukturen und Endgeräten. Fraunhofer SIT betreibt Anwen dungsforschung mit dem Ziel, neue Technik so zur Marktreife zu bringen, dass sich deren Potenziale sicher und vollständig nutzen lassen. Zusammen mit seinen Partnern arbeitet das Institut an neuen Methoden und Verfahren, erstellt Prototypen, entwickelt individuelle IT- Lösungen und testet bestehende Produkte und Systeme. kurze geschichte des fraunhofer sit 1961 Gründung des Deutschen Rechenzentrums (DRZ) 1973 Das DRZ geht in der Gesellschaft für Mathematik und Datenverarbeitung (GMD) auf 1992 Institut für Telekooperationstechnik 2001 Die GMD wird in die Fraunhofer-Gesellschaft integriert 2008 Einrichtung des Center for Advanced Security Research CASED 2010 Übernahme der Institutsleitung durch Michael Waidner Neues Logo für die Fraunhofer-Gesellschaft 2011 Das European Center for Security and Privacy by Design (EC SPRIDE) nimmt seine Arbeit unter Beteiligung des Fraunhofer SIT auf

7 zahlen und fakten 2 Lehrstühle an der TU Darmstadt Berlin St. Augustin Darmstadt 167 Mitarbeiter 3 Standorte Erträge 2012: 6,7 Mio. Euro aus der Industrie: 1,5 Mio. Euro Bund und Länder: 3,4 Mio. Euro EU: 1,3 Mio. Euro Sonstige: 0,5 Mio. Euro Industrie Bund und Länder EU Sonstige

8 IT-sicherheit made in DArmstadt Center for Advanced Security Research Darmstadt In Darmstadt wächst seit über zehn Jahren eine vielseitige Forschungslandschaft mit IT-Sicherheitsschwerpunkten an der TU Darmstadt, dem Fraunhofer-Institut für Sichere Informationstechnologie und der Hochschule Darmstadt. Seit Juli 2008 bündeln die drei Einrichtungen ihre Kompetenzen im»center for Advanced Security Research Darmstadt«(CASED); das im Rahmen der Landesoffensive zur Entwicklung wissenschaftlich- ökonomischer Exzellenz (LOEWE) als eines von fünf LOEWE-Zentren gegründet wurde. Heute forschen in Darmstadt über 200 Wissenschaftlerinnen und Wissenschaftler an IT-Sicherheitsthemen. 16 Professuren spezialisieren sich auf unterschiedliche Fachgebiete der IT-Sicherheit, insgesamt sind 28 Professuren der Natur-, Ingenieur-, Wirtschafts- und Geisteswissenschaften an CASED-Projekten beteiligt. Competence Center for Applied Security Technology Der Verein bietet vielfältige Dienstleistungen im Bereich der Sicherheit moderner Informationstechnologien und ist Ansprechpartner für IT-Sicherheitsfragen. Sein Kompetenznetzwerk vermittelt auf allen Ausbildungsebenen Wissen über IT-Sicherheitstechnologie von Unterstützung für den Studien schwerpunkt IT-Sicherheit an der TU Darmstadt bis hin zur berufsbegleitenden Aus- und Weiterbildung. Mit Informationsveranstaltungen, Beratung, Workshops und Tutorials unterstützt CAST die Anwender bei Auswahl und Einsatz von bedarfsgerechter Sicherheitstechnologie. Ziel des CAST e.v. ist es, dem wachsenden Stellenwert der IT-Sicherheit in allen Wirtschaftszweigen und Bereichen der öffentlichen Verwaltung die erforderliche Kompetenz gegenüberzustellen. Fraunhofer SIT angagiert sich im Vorstand des CAST e.v. und beteiligt sich regelmäßig an dessen diversen Veranstaltungen.

9 Sicherheit schon beim Entwurf mitdenken Das vom Bundesministerium für Bildung und Forschung ins Leben gerufene»european Center for Security and Privacy by Design«(EC SPRIDE) erforscht, auf wie IT-Entwickler / innen Software und IT-Systeme vom Entwurf an also»by Design«und über den gesamten Lebenszyklus optimal absichern können. Das Kompetenzzentrum EC SPRIDE versteht Sicherheit und Datenschutz als Anforderungen, die bereits im Entwurf IT-basierter Systeme berücksichtigt und über den kompletten Lebenszyklus von Systemen beachtet werden müssen. Es gibt bisher keine einheitlichen Standards, Prozesse und Methoden, mit denen IT-Entwickler die IT-Sicherheitsanforderungen ihrer Software frühzeitig berücksichtigen können. Dadurch werden IT-Systeme heute oft erst nach dem Entwurf geprüft und abgesichert, obwohl das unnötige Kosten für Hersteller und Nutzer verursacht. Diese Lücke wird EC SPRIDE mit neuen Erkenntnissen und Werkzeugen sowie flexiblen Verfahren schließen. Neue Dienste und Anwendungen durch Emergente Software Der Software-Cluster erstreckt sich rund um die Zentren der Software-Entwicklung Darmstadt, Kaiserslautern, Karlsruhe, Saarbrücken und Walldorf im Südwesten Deutschlands. Die Cluster-Region umfasst damit vier verschiedene Bundesländer (Hessen, Baden-Württemberg, Rheinland-Pfalz und das Saarland) denn Unternehmensnetzwerke hören nicht an politischen Grenzen auf. In jeder der vier Teilregionen existieren für sich genommen schon bedeutende Cluster im Bereich IT und Software mit zum Teil wechselnden Schwerpunkten. Verbindendes Element der übergreifenden Cluster-Region ist aber die Kompetenz im Bereich Software, speziell Unternehmenssoftware. Mit Fug und Recht wird die Cluster-Region als die Wiege der Unternehmenssoftware bezeichnet. In der Region konzentrieren sich innovative Unternehmen sowie führende Informatik-Fakultäten und Forschungseinrichtungen und machen sie zum»silicon Valley Europas«.

10 Fokus angewandte f&e Theorie und Grundlagen Konzepte, Anwendungen, Methoden Implementierung in einer Testumgebung Implementierung in der realen Umgebung Lizenzierung Forschung an und mit Universitäten Grundlagen finanzierte F&E Staatlich finanzierte F&E FhG Spin-offs Industriell finanzierte Auftragsforschung: Studien, Beratungen, Analysen, Tests Machbarkeitsstudien, Prototypen Fraunhofer deckt alle Bereiche der angewandten Forschung und Entwicklung ab: Von Forschungskooperationen mit Universitäten über Partnerschaften und Projekte mit Behörden und Industrie bis zur Gründung von Spin-off-Unternehmen.

11 angebot und kooperation unser leistungsangebot: Beratung: Risikoanalysen, Bewertung von Technologien und Sicherheitskonzepten, Machbarkeitsstudien. Tests von Software- und Hardwaresicherheit: Schwachstellenanalysen von Prototypen, Produkten und Anwendungen, technische Pre-Auditierung, Penetrationstests und Systemsowie Anwendungsanalysen. Entwicklung prototypischer Lösungen: Konzeption und Realisierung von Anwendungen, Entwicklungsstudien, Integration und Anpassung existierender Systeme und Technologien. Die Zusammenarbeit: Einzelaufträge: Wir unterstützen Sie bei der Verfolgung Ihres Ziels. Dazu klären wir den Bedarf, erstellen ein Angebot und liefern professionelles Projektmanagement und hochwertige Ergebnisse. Rahmenverträge: Sind unterschiedliche Fragestellungen zu beantworten oder eine Projektstellung zu wiederholen, erarbeiten wir mit Ihnen eine Strategie und Projektgliederung. Sie beauftragen einen Kostenrahmen, bezahlen nur für erbrachte Leistungen und können kündigen, auch wenn der Kostenrahmen nicht ausgeschöpft wird. Absicherung und Optimierung sicherer elektronischer Geschäftsprozesse und Dienste: Konzeption und Optimierung von IT-Infrastrukturen und Lösungen. Lizenzierung von Lösungen und Sicherheitswerkzeugen: Digitale Wasserzeichen für Video, Audio, Foto und Ebooks, imobilesitter (mobiles Passwortmanagement), BizzTrust (Lösung für sichere Smartphones im Unternehmen), Key2Share (Zugangsmanagement mit NFC), OmniCloud (sicheres Datenbackup in der Cloud). Großprojekte mit mehreren Partnern: Manche Problemstellungen sind so komplex, dass nur mehrere Partner die Lösung entwickeln können. Neben anderen Fraunhofer-Instituten können wir auch externe Partner hinzuziehen. Strategische Partnerschaften: Fraunhofer will vielversprechende Technologien vorantreiben. Aus dieser Vorlaufforschung, die zunächst unabhängig von Aufträgen erfolgt, ergeben sich oft lang andauernde Partnerschaften mit Unternehmen. Schulungen / Wissenstransfer: Konzepte und Lehrmedien zur Einführung von IT-Sicherheit in Unternehmen und Behörden, Coaching und technische Beratung, Sicherheitsmanagement, Entwicklung von Sicherheitskonzepten gemäß BSI-Standard, Schulungen zum TeleTrust Information Security Professional (T.I.S.P.). Regionale Innovationscluster: Ein Fraunhofer-Innovationscluster hat die Aufgabe, kompetente Partner einer Region zur Lösung anspruchsvoller Aufgaben zusammenzuführen. Neben Industrie und Hochschulen werden auch weitere dort ansässige außeruniversitäre Forschungsinstitute eingebunden.

12 Referenzen Partner

13 Entwicklung von Sicherheitsrichtlinien für mobile Geräte Sicherheitsanalyse für Gerätemanagement unter ios Die Lufthansa AG beabsichtigt, die gegenwärtig papiergestützten Prozesse in der Flugzeugkabine zu optimieren. Hierzu plant das Unternehmen, seinen Kabinenbesatzungen ipads zur Verfügung stellen. Die vielseitigen Geräte sollen auch privat von den Mitarbeitern genutzt werden dürfen. Da in der dienstlichen Nutzung zum Teil personenbezogene Daten verarbeitet werden, hat die Lufthansa AG Anforderungen zum Schutz der Daten vorgegeben. Wichtigste Anforderung ist die Vertraulichkeit der Daten durch Trennung der dienstlichen und privaten Nutzung sowie das Durchsetzen einer sicheren Konfiguration. Fraunhofer SIT hat für diesen Anwendungsfall einen Katalog zu berücksichtigender Aspekte der IT-Sicherheit von ios-geräten zusammengestellt und Maßnahmen zur Implementierung und Konfiguration sowie organisatorische Prozesse entwickelt, mit denen die Anforderungen eingehalten werden können. Die DATEV eg bietet ihren Mitgliedern und deren Mandanten die Anbindung ihres lokalen Netzwerks an eine zentrale Sicherheitsinfrastruktur zur sicheren Nutzung des Internets im Rahmen des Produktes»DATEVnet«an. In diesem Sicherheitsund Nutzungskonzept spielen auch die sichere Anbindung von Telearbeitsplätzen an die Kanzlei, die Kopplung von Betriebsstätten sowie die sichere Anbindung von mobilen Endgeräten eine wichtige Rolle. Fraunhofer SIT hat mit der Datev Projekte durchgeführt, in welchen die mobilen Geräte auf Apple ios auf ihre Sicherheit gegen Angriffe hin getestet wurden. Um Angriffe zu simulieren, hat Fraunhofer SIT Techniken des Reverse Engineering eingesetzt. Damit sollten mögliche Schwächen und Bedrohungen des ios-betriebssystems und der Mobile Device Management Strategie aufgedeckt werden.

14 Awareness für mitarbeiter Die real, -Gruppe implementiert eine IT-Sicherheits-Initiative, die sich auf die Mitarbeiter konzentriert der Faktor Mensch ist eine der größten Schwachstellen für die IT-Sicherheit. Dahingehend möchte die real, -Gruppe ihre Sicherheitsrichtlinien überarbeiten. Der wichtigste Teil der IT-Sicherheitsinitiative ist eine Kampagne zur Sensibilisierung aller Mitarbeiter in allen Positionen und Aufgabenbereichen der real, -Gruppe für Fragen der IT-Sicherheit. Fraunhofer SIT unterstützt die anspruchsvollen Aufgaben der IT-Sicherheitsinitiative. Die Wissenschaftler des Instituts bewerten die Sicherheitsrichtlinien und überprüfen die Verständlichkeit der Texte sowie den Umfang der Themen und erstellen Konzepte. Sie begleiten real, bei der Umsetzung, Überwachung und Evaluierung der Maßnahmen. Sicheres Software Engineering für webmethods Die Software AG kooperiert mit dem Fraunhofer SIT, um ihre sichere Softwareentwicklung für Enterprise Middleware- Produkte zu optimieren. Die ständige Bereitstellung sicherer Software erfordert Werkzeuge, Techniken, Prozesse und Metriken, die ein Anbieter ohne Unterbrechung von laufenden Entwicklungsprozessen anwenden können muss. Gemeinsam entwickeln Fraunhofer SIT und die Software AG praktische Ansätze zur Risikobewertung, Bedrohungsmodellierung, Sicherheitsdesign und andere Aspekte des sicheren Software- Engineering. Das Ergebnis ist eine Toolbox für sichere Software, die zu den spezifischen Bedürfnisse der Software AG und ihrer webmethods-produktlinie passt.

15 Systemauditing und support Fraunhofer SIT hat im Auftrag der DFS Deutschen Flugsicherung GmbH eine Systemauditierung der standortübergreifenden Management-Ebene der Gebäudeautomation durchgeführt. Durch die enorme Zahl zu überwachender Liegenschaften war die DFS schon früh gezwungen, die Wirtschaftlichkeit im Bereich des klassischen Facilitymanagements zu steigern. Dabei ließ die Vielzahl von Querschnittsthemen die Systembetreuung zu einer Herausforderung werden: Weitverkehrsnetzwerke, Servervirtualisierung, dezentralisierte Intelligenz, zentralisiertes Monitoring, redundante Auslegung auf allen Ebenen. Fraunhofer SIT hat im Rahmen des Auftrages eine Schwachstellenanalyse durchgeführt und Empfehlungen zur Optimierungen ausgesprochen. Dazu wurden sowohl im Stress- als auch im Regelbetrieb Daten gewonnen und analysiert. entwicklung des webinars»it-grundschutz«das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-Grundschutz eine Methode für die Planung und Überprüfung von Informationssicherheit in privaten und öffentlichen Einrichtungen. Als Einstieg bietet das BSI auf seiner Webseite kostenlos den Webkurs»IT-Grundschutz«an, den Fraunhofer SIT im Auftrag des BSI entwickelt hat. Der Kurs vermittelt, wie Unternehmen und Behörden ihre Informationstechnik schützen können. Der Webkurs IT-Grundschutz wird durch weitere, ebenfalls von SIT im Auftrag des BSI entwickelte Online-Kurse ergänzt: Der Webkurs GSTOOL führt in die Anwendung des GSTOOLs ein, dem IT-Grundschutz-Tool des BSI, der Webkurs Notfallmanagement erläutert die Anwendung des BSI-Standards 100-4: Notfallmanagement.

16 sicherheitsanalyse der blackberry Enterprise-Lösung RIM ist seit Langem bekannt für die Entwicklung drahtloser Lösungen mit Best-in-Class-Sicherheit und für die Zusammenarbeit mit Organisationen und Unternehmen von hohem Rang. Zur Unterstützung des RIM-Engagements für Innovation und kontinuierliche Verbesserung hat das Unternehmen das Fraunhofer SIT beauftragt, eine strenge Sicherheits-Analyse der BlackBerry Enterprise Solution durchzuführen. Das technische Fachwissen und die Professionalität des SIT-Projektteams war beeindruckend und zeigte sich in der Qualität der Arbeit und der konstruktiven Zusammenarbeit ausbildung für it-sicherheitsbeauftragte Zur Unterstützung des Sicherheitsmanagements des Bundes bietet die Bundesakademie für öffentliche Verwaltung (BAköV) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit einigen Jahren erfolgreich den Fortbildungsgang zum IT-Sicherheitsbeauftragten in der Bundesverwaltung an. Der Lehrgang besteht aus einem Basislehrgang, der ein breites Spektrum an Themen zur Informationssicherheit umfasst und nach bestandener Prüfung mit einem Zertifikat abschließt, sowie einem Fortbildungskurs, in dem ausgewählte Themen vertiefend behandelt werden. Die Konzeption und Weiterentwicklung dieser modular gestalteten Ausbildung und begleitender Materialien (Handbuch, Tests) wurde und wird von Fraunhofer SIT maßgeblich unterstützt.

17 kompetenzen Secure Engineering Security Test Lab IT Security Management TYPISCHE KUNDENTHEMEN Systematische Sicherheitsarchitektur IT Forensics Schutz geistigen Eigentums Smart Devices Identity and Privacy Advanced Persistent Threats Absicherung / Supply Chain Cybercrime und Forensics Compliance und Privacy Cloud Storage und Computing Mobile Systems Embedded und Cyberphysical Multimedia Security Cloud Computing Cyber-Physical Systems

18 Kompetenzfelder Secure Engineering Die Entwicklung von Software ist komplexen Prozessen mit vielen unterschiedlichen akteuren unter worfen. Nicht nur der Brückenschlag von der Architektur definition zur Implementierung birgt hohe Anforderungen an alle Entwickler. Auch das Zusammenspiel vieler verschiedener Akteure, die das Produkt unter verschiedensten Gesichtspunkten betrachten, ist eine enorme Herausforderung, die über den gesamten Entwicklungsprozess gemeistert werden muss. Fraunhofer SIT entwickelt und optimiert standardisierte Engineering-Methoden, durch deren Anwendung ein garantiertes Maß an IT-Sicherheit erzeugt werden kann. Schwerpunkt dabei ist die Unterstützung der Akteure ohne IT-Sicherheitsbezug, damit diese Personen die richtigen IT-sicherheitsrelevanten Entscheidungen treffen können. Fraunhofer SIT und Kompetenzzentrum EC SPRIDE Fraunhofer SIT arbeitet mit der Technischen Universität Darmstadt im größten vom Bundesforschungsministerium finanzierten Kompetenzzentrum im Bereich Sicherheit zusammen, dem»european Center for Security and Privacy by Design«. Dort erforschen die TU Darmstadt und das Fraunhofer SIT gemeinsam, auf welche Weise IT-Entwickler/innen Software und IT-Systeme vom Entwurf an also»by Design«und über den gesamten Lebenszyklus optimal absichern können. Die Ergebnisse sind relevant für praktisch alle Wachstumsmärkte, von der Softwareindustrie über den Automobil- und Maschinenbau bis hin zur Energie- oder Gesundheitsbranche. Zusammen mit Partnern aus der Wirtschaft entwickelt Fraunhofer SIT eigene Engineering-Ansätze und optimiert Software-Entwicklungsprozesse hinsichtlich IT-Sicherheit. Das Institut besitzt große Erfahrung in der Analyse und Bewertung von Software und unterstützt Hersteller über den kompletten Lebenszyklus von Softwareprodukten hinweg durch: Definition von Schutzzielen Auswahl und Adaption von produkt-/anwendungsbezogenen Bedrohungsmodellen Testmethoden für unterschiedliche Software-Produkte Trainingsprogramme für Entwickler Bewertung und Produktionseinsatz von Testtools Entwicklung von Werkzeugen für spezifische Einsatzgebiete Prof. Dr. Eric Bodden

19 Secure Engineering Lab think tank für sicheres software-engineering Die Software AG und das Center for Advanced Security Research Darmstadt (CASED), vertreten durch das Fraunhofer- Institut für Sichere Informationstechnologie, haben eine strategische Partnerschaft vereinbart. Die Software AG kann dadurch die Kompetenzen einer agilen Einrichtung der Spitzenforschung nutzen und die Erkenntnisse in ihren Software- Entwicklungsprozess einfließen lassen. Weiterhin stärkt sie damit die Region sowie die Zusammenarbeit zweier Partner im Software-Cluster. Schwerpunkt der gemeinsamen Aktivitäten ist der Aufbau eines neuen CASED-Labors für Secure Engineering. Die Partnerschaft konzentriert sich auf das Thema IT-Sicherheit und soll langfristig als übertragbares Beispiel für die Zusammenarbeit zwischen Industrie und Forschung dienen. Ein weiteres Ziel ist die Stärkung des Software-Clusters im Südwesten Deutschlands sowie des Darmstädter»House of IT«. Die Partnerschaft ist im ersten Schritt auf drei Jahre angelegt. Zum Fokus gehören Themen wie die Sicherheit von Produkten und Dienstleistungen sowie deren Konformität mit gesetzlichen Regelungen. Die Software AG und CASED werden zudem eng im Rahmen von Forschungs- und Beratungsaufträgen sowie in öffentlich geförderten Projekten kooperieren. Das Secure Engineering Lab bildet den organisatorischen Rahmen für die gemeinsamen Aktivitäten von TU Darmstadt, Fraunhofer SIT und der Software AG mit ihrem Security-Team. Das Lab wird von Prof. Mira Mezini vom Lehrstuhl für Softwaretechnik der TU Darmstadt und Prof. Michael Waidner, Lehrstuhl für Sicherheit in der Informationstechnik, geleitet und nach außen repräsentiert.

20 Cloud Computing Cloud Computing ist die nächste Revolution im Umgang mit IT-Ressourcen. Das Auslagern von Hardund Software in die»cloud«ist ein großer Schritt hin zu einem neuen it-paradigma. Viele potenzielle Anwender des Cloud Computings sehen die Chancen, zögern aber dennoch, sich auf die neue Technologie einzulassen. Das Auslagern in die Cloud führt inhärent auch zu einem Verlust an Kontrolle. Wird man in der Cloud noch alle gesetzlichen Anforderungen einhalten, insbesondere in Bezug auf Datenschutz? Sind die Daten dort auch vor unbefugtem Zugriff geschützt? Sind sie von den Daten anderer Kunden hinreichend stark getrennt? Kann man einem fremden Administrator überhaupt trauen? Bindet man sich durch den Umzug in die Cloud für lange Zeit an einen Anbieter? Mit Sicherheit mehr Effizienz Fraunhofer SIT unterstützt Unternehmen bei der Nutzung von Cloud-Angeboten: Wir erstellen und implementieren Sicherheitskonzepte für Cloud-Angebote, bewerten Sicherheitsmechanismen eines Cloud-Anbieters, formulieren Service- Level-Agreements und helfen bei der Einhaltung rechtlicher Vorgaben. Zusätzlich führt das Institut im Kundenauftrag auch Machbarkeitsstudien über die Auslagerung von Daten und Diensten in die Cloud durch. Kundennutzen Hersteller- / Anbieterneutralität Schneller Know-how-Aufbau Best Practice-Sicherheit und technische Exzellenz Risikominimierung bei benutzerfreundlicher Sicherheit Professionelles Projektmanagement Nachhaltigkeit durch Orientierung an Standards und State of the Art-Technologie Dipl.-Inform. Michael Herfert cloud-computing@sit.fraunhofer.de

21 OmniCloud Sicheres und flexibles Cloud-backup Cloud Computing ermöglicht Unternehmen, Kosten zu reduzieren und die Flexibilität der eigenen IT zu steigern. Viele Unternehmen zögern jedoch mit dem Schritt in die Cloud aus Angst vor Kontrollverlust und Datenschutzproblemen. Fraunhofer SIT hat mit OmniCloud ein Lösungskonzept entwickelt, das Anwendern den einfachen und sicheren Zugang zu Cloud Storage-Diensten ermöglicht und einen An bieterwechsel aktiv unterstützt. Umfragen zeigen, dass es vor allem Sicherheitsbedenken sind, die Unternehmen von der Nutzung des Cloud Computing abhalten. Ein weiteres Hindernis ist die Bindung an einen Cloud-Dienstleister, denn das Umstellen der Prozesse ist mit Aufwand verbunden, die Schnittstellen der Anbieter sind proprietär, die Funktionalitäten sind verschieden. So entsteht eine Abhängigkeit (»Provider Lock-In«), selbst wenn eine kurzfristige Kündigung erlaubt ist. Fraunhofer SIT hat mit OmniCloud ein Lösungskonzept entwickelt, das dem Provider Lock-In vorbeugt und einen Investition in Ihre Zukunft Investitionen für diese Entwicklung wurden von der Europäischen Union aus dem Europäischen Fonds für regionale Entwicklung und vom Land Hessen kofinanziert. ungewollten Datenabfluss verhindert. Dabei handelt es sich um eine Softwarekomponente, die auf Kundenseite läuft und von dort eine Verbindung zum Cloud-Anbieter aufbaut. OmniCloud verschlüsselt alle Daten, bevor sie in die Cloud gelangen. Das komplette Schlüsselmanagement wird von OmniCloud übernommen. Im einfachsten Fall leitet die Software die Daten nach der Verschlüsselung an den Cloud- Anbieter weiter. Darüber hinaus fungiert OmniCloud jedoch auch als Übersetzer zwischen verschiedenen Cloud-APIs. Dabei können Unternehmen OmniCloud über eine API der großen Anbieter ansteuern, und OmniCloud leitet die Daten an einen anderen Anbieter über dessen API weiter. Auf diese Weise wird der Provider Lock-In praktisch aufgehoben. Weiterhin bietet OmniCloud eine Deduplizierungsfunktionalität. So werden Dateien, die auf Unternehmensseite mehrfach vorhanden sind, nur einmal in der Cloud abgelegt. Das reduziert die Kosten für die Speicherung. Fazit: OmniCloud verbindet die Sicherheit eines konventionellen Backups mit den Kostenvorteilen eines Cloud-Backups und bietet Kunden einen ökonomischen Vorteil bei größtmöglicher Sicherheit. Dipl.-Inform. Ruben Wolf

22 Scanner für Machine Images cased-wissenschaftler entwickeln test-werkzeug Wissenschaftler des Darmstädter Forschungszentrums CASED entdeckten 2011 große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud. Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Ursache ist der fahrlässige Umgang von Amazon-Kunden mit AMIs. Zur Prüfung solcher Maschinen haben die CASED- Wissenschaftler einen Schwachstellenscanner entwickelt, der im Internet unter kostenlos heruntergeladen werden kann. Die Forscher des Fraunhofer SIT in Darmstadt und des System Security Labs der TU Darmstadt untersuchten Dienste, die von Kunden des Cloud-Anbieters Amazon Web Services (AWS) veröffentlicht wurden. Obwohl AWS auf ihren Webseiten ausführliche Sicherheitsempfehlungen geben, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln. Dank steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrunde liegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste häufig noch stark unterschätzt. Prof. Dr. Michael Waidner

23 Sicherheit von Cloud-Speichern studie mit kriterienkatalog für Anwender Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Das ist das Ergebnis einer Studie des Fraunhofer SIT, das verschiedene Anbieter getestet hat. Fazit: Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung. Neben technischen Mängeln fanden die Tester Schwächen in der Benutzerführung. Letzteres kann dazu führen, dass vertrauliche Daten sich mithilfe von Suchmaschinen finden lassen. Neben Marktführer Dropbox prüfte Fraunhofer SIT die Sicherheit sechs weiterer Cloud-Speicherdienste, dazu gehörten CloudMe, CrashPlan, Mozy, TeamDrive, Ubuntu One und der Schweizer Anbieter Wuala. Neben konkreten Kritikpunkten an unterschiedlichen Diensten und Verbesserungsempfehlungen bietet die Studie einen Kriterienkatalog zur Bewertung von Cloud Storage-Diensten, mit dem sich auch andere An bieter evaluieren lassen. vollständig erfüllen: So verwenden manche Anbieter bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle. Abwertungen gab es auch, wenn Daten unverschlüsselt in die Cloud wanderten. Bei einigen Diensten glaubten die Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können. Kritisch ist dieses Filesharing auch, wenn die Daten verschlüsselt sind. Fraunhofer SIT hat die Anbieter vor Veröffentlichung der Studie über die Ergebnisse informiert. Die Studie kann kostenlos heruntergeladen werden unter Die Tester konzentrierten sich insbesondere auf die Verschlüsselung der Daten sowie auf die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf, und selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst Dipl.-Inform. Michael Herfert

24 Mobile Systems IT-Trends gehen heute vom Massenmarkt aus. Besonders deutlich ist dies bei den Smartphones und Tablet-PCs. Sie wurden zwar nicht für den professionellen Arbeitseinsatz entwickelt, werden jetzt jedoch verstärkt in Unternehmen genutzt. Beim Einsatz mobiler Geräte sollten Unternehmen deshalb die Schwächen in Betriebssystemen und drahtlosen Schnittstellen beachten. Eine zusätz liche Herausforderung bildet die gemischte Nutzung von mobilen Geräten für geschäftliche und private Zwecke. Was geschieht, wenn das Gerät verloren geht oder sensible Geschäftsdaten ungewollt das Unternehmen verlassen? Was, wenn Angreifer über das mobile Gerät auf kritische Unternehmensdienste zugreifen? Wie lassen sich die Geräte einfach und flexibel verwalten (Mobile Device Management), und dürfen Unternehmen dabei private Daten sichern? Angebote Technische Beratung zu ios, Android und anderen Betriebssystemen Bewertung existierender Lösungen Integration geschützter mobiler Endgeräte Konzepte für sicheres Mobile-Device-Management Sichere Konfiguration von Smart-Device-Lösungen Anpassung bestehender Systeme Awareness-Workshops für Mitarbeiter und Management Testlabor Mobile Security Sicherheitsanalysen mobiler Plattformen und Infrastrukturen, Tests von Smartphone-Lösungen, Apps, etc. mit /ohne Testat. Noch gibt es keine etablierten Methoden, wie sich Konzepte des Dual Use oder Bring your own device verantwortungsvoll und zugleich einfach realisieren lassen. Zentrale Herausforderungen bleiben die Sensibilisierung der Nutzer sowie das Management mobiler Geräte und der auf ihnen genutzten Daten über den gesamten Lebenszyklus hinweg. Fraunhofer SIT besitzt Erfahrung mit ios, Android und weiteren gängigen Betriebssystemen. Die Mitarbeiter des Instituts härten mobile Systeme, entwickeln innovative Anwendungen und Sicherheitsmodule, bewerten existierende Produkte und unterstützen Unternehmen und Behörden mit umfangreichem Know-how und Herstellerneutralität. Dr.-Ing. Kpatcha Mazabalo Bayarou Dr. Jens Heider