Kurzvorstellung CASED, EC SPRIDE und Fraunhofer SIT

Transkript

1 Kurzvorstellung CASED, EC SPRIDE und Fraunhofer SIT

2 Überblick CASED EC SPRIDE Fraunhofer SIT Projekte Fraunhofer SIT 2

3 IT-Sicherheitsforschung in Deutschland Zentren mit starkem Fokus auf IT-Sicherheit (1) (2) Bochum (5) (3) Bonn Darmstadt (1,4) (1,2,3,5) (4) Saarbrücken Karlsruhe (3) (1,3,4) (5) München (1) 3

4 Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland 160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn) 9M Jahresbudget (Grund- & Drittmittel) 3 Professuren an TU Darmstadt Studierende, Mitarbeit., davon 290 Professuren 9 Profs, 100 Mitarbeit. in IT-Sicherheit #1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search) Studierende, 870 Mitarbeit., davon 320 Professuren 11 Profs in IT-Sicherheit 4

5 Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland 160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn) 9M Jahresbudget (Grund- & Drittmittel) 3 Professuren an TU Darmstadt Studierende, Mitarbeit., davon 290 Professuren 9 Profs, 100 Mitarbeit. in IT-Sicherheit #1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search) Studierende, 870 Mitarbeit., davon 320 Professuren 11 Profs in IT-Sicherheit 5

6 Center for Advanced Security Research Darmstadt (CASED) Breites Spektrum an Forschungsthemen und Anwendungen Leitmotiv: Security and Privacy by Design Sichere Software Kryptographie Mobile & Cyber- Physikalische Systeme Forensik Benutzbare Sicherheit Cloud Computing Internetund Social Networks Netzsicherheit Automatisierung und Produktion Sichere Identitäten, Datenschutz und Vertrauen Kritische Infrastrukturen 6

7 Beispiele Robuste Hashverfahren Appicaptor Key2Share 7

8 Auszeichnungen 2012/2013 ERC Advanced Grant Mira Mezini Tsungming Tu Alexander von Humboldt Research Award 2012 J. Buchmann Intel Early Career Faculty Honor Program Award Thomas Schneider (2012) Pouyan Sepehrdad(2013) Science Award of German Association for Data Protection and Data Security First Degree Prize Award of the Director of TU Prague Gernot Alber et. al. Best Demonstrator Award IEE International Symposium on a World of Wireless, Mobile and Multimedia Networks Matthias Hollick and Adrian Carlos Loch Navarro Most successful University of Software Campus Award 8

9 Überblick CASED EC SPRIDE Fraunhofer SIT Projekte Fraunhofer SIT 9

10 European Center for Security and Privacy by Design Leitmotiv: Security and Privacy by Design 10

11 Was istunserziel, was istmachbar? 100% Sicherheit Unmöglich In 10 Jahren Heute möglich Erreichbar mit überschaubaren Kosten für F&E Heute realisiert 0% Kosten 11

12 EC SPRIDE Überblick Trends Anwendungen Architekturen (Sadeghi) Designmethoden & Werkzeuge (Mezini, Waidner) Design Elemente (J. Buchmann) IT-Sicherheitsgruppen der TU Darmstadt und des Fraunhofer SIT Starke Kooperationen mit anderen Zentren und exzellenten Gästen Koordination: Waidner 12

13 Praxis braucht Forschung Grundlagenforschung Anwendungsorientierte Forschung Joint Laboratory for Secure Engineerging Joint Research for Secure Engineerging Security Test Lab Experten Workshop - Thema Secure Engineering Schirmherrschaft - SAP und genau das machen wir! 13

14 Bisher erzielte Ergebnisse von Prof. Dr. Eric Bodden JoinPoint Interfaces: Programmiersprachenerweiterung für Java, die es erlaubt, Sicherheitsaspekte modular zu implementieren Prominent publiziert (ACM TOSEM), Implementierung als Open Source SPLLift: automatisierte Analyse von Softwareproduktlinien Führt Analysen in wenigen Minuten durch, die sonst Jahre benötigt hätten! Prominent publiziert (PLDI), Implementierung als Open Source Heros: Neuartige, höchst effiziente Analyseplattform für Android/Java Implementierung als Open Source, Publikation in bei Top Konferenz USENIX SECURITY in Begutachtung Weltweit führende Analyseplattform für Android Wird bereits jetzt extern verwendet; Gespräche mit SAP und Intel/McAfee 14

15 15

16 Softwaresicherheit durch Automatisierung und Reduktion menschlicher Fehlereinflüsse Security bydesign bei verteilter Entwicklung und Integration Security by Design für Legacy-Software Die Zukunft mit Security bydesign 16

17 17. 4 Alfred Nordmann, Institut für Philosophie; Stefan Katzenbeisser, Fachbereich Informatik Ann Cavoukian, Information and Privacy Commissioner of Ontario Leif Blum, FDP; Daniel Mack, Die Grünen; Karin Wolff, CDU; Brigitte Zypries, SPD Armgard von Reden, Leibniz Universität Hannover Emilio Mordini, Centre for Science, Society and Citizenship, Rome René von Schomberg, Scientific/Policy Officer, European Commission Peter Buxmann, Fachgebiet Wirtschaftsinformatik Jessica Heesen, Intern. Zentrum für Ethik in den Wissenschaften, Universität Tübingen Welf Schröter, Forum soziale Technikgestaltung, Stuttgart Carsten Ochs, Fachbereich Informatik, EC SPRIDE Lorenz M. Hilty, Institut für Informatik, Universität Zürich Peter Schaar, Bundesbeauftrager für den Datenschutz und die Informationsfreiheit Podiumsdiskussion 17

18 Kompetenzzentren für IT-Sicherheit CISPA Prof. Dr. Michael Backes phone: EC SPRIDE Prof. Dr. Michael Waidner phone: KASTEL Prof. Dr. Jörn Müller-Quade phone:

19 Überblick CASED EC SPRIDE Fraunhofer SIT Projekte Fraunhofer SIT 19

20 Die Fraunhofer-Gesellschaft Forschung zum Wohle von Gesellschaft und Industrie Angewandte Forschung und Entwicklung Gründung 1949 Größte gemeinnützige Organisation für angewandte Forschung in Europa 66 unabhängige Institute und Einrichtungen Ca Mitarbeiter Ca. 1.9 Milliarden Jahresbudget Innovation und Exzellenz in anwendungsorientierter Forschung Ausbildung und Vorbereitung auf Führungspositionen, insbesondere in der Industrie Grundfinanzierung (1/3), Auftragsforschung (1/3), öffentliche Förderprojekte (1/3) 20

21 Fraunhofer-Institut für Sichere Informationstechnologie Älteste und größte Einrichtung für IT-Sicherheitsforschung in Deutschland Kompetenzfelder 167 Mitarbeiter(2012) 8.7 M Jahresbudget(2012) 3 Professoren der TU Darmstadt Michael Waidner (2010) Ahmad-Reza Sadeghi (2010) Eric Bodden (2013) Berlin Birlinghoven Darmstadt Cloud Computing Cyberphysical Systems Identity and Privacy Industrie 4.0 IT-Forensik Mediensicherheit Mobile Systeme Secure Engineering Security Test Lab Sicherheitsmanagement Betrieb Fraunhofer PKI 21

22 Deutsches Rechenzentrum, 1961 Fraunhofer SIT,

23

24 Preise für Fraunhofer SIT und Mitarbeiter/innen (2012/2013) 1. Platz bei Deutschem IT-Sicherheitspreis 2012 für OmniCloud 2 x Google Faculty Research Award, für Eric Bodden und Michael Waidner IBM Cyber Security Faculty Award für Michael Waidner 2. Platz bei Deutschem IT-Sicherheitspreis 2012 für ForBild Fraunhofer ATTRACT für Eric Bodden 1. Platz bei TeleTrusT- Innovationspreis 2012 für BizzTrust 2 x BMBF Software Campus Award für Alexandra Dmitrienko und Waldemar Berchtold 24

25 Unsere Kunden und Forschungspartner Ausgewählte Referenzkunden 25

26 Überblick CASED EC SPRIDE Fraunhofer SIT Projekte Fraunhofer SIT 26

27 Sicherheit in Sozialen Netzen Gefördert durch HMDiS: 2012 & 2013, ca. 20T Problem Popularität von Sozialen Netzen (z.b. Facebook) Private Anwender, Unternehmen, Behörden Konfiguration oft zu kompliziert und Tragweite unklar Unbeabsichtigte Preisgabe von Daten Ziel Information und Sensibilisierung von Nutzern Handlungsanweisungen für Anwender mit Do s & Dont s 27

28 ForBild Forensische Bildanalyse Gefördert durch Hessen Agentur: 2010/-11, 230T (SIT) Integration: 1. Kopieren 2. Forensische Voranalyse Problem Datenüberlastung bei Ermittlern Effizienz bei Analyse verbesserbar Mangelnde Robustheit bei Datenerkennung: Anti-Forensik möglich, damit Spuren nicht erkannt werden können Lösung Integration von Suche und forensischer Voranalyse Verbesserung der Erkennungsverfahren: Robuste Bildhashes, z.b. zur Erkennung von Kinderpornographie 2.Platz unter mehr als 50 Einreichungen! 28

29 ForSicht Forensische Sichtung von Bildern und Videodaten Gefördert durch Hessen Agentur: 2012/-14, 280T (SIT) Nachfolgeprojekt zu ForBild Entwicklung von robusten Hashverfahren für Videos Reduktion von Fehlerraten für Bilder und Videos Ergebnisvisualisierung für Bilder und Videos Integration in Kopierstation 29

30 Sharekey: Smartphone als Türöffner Neues Projekt zum flexiblen Management von Schließberechtigungen für NFC-basierte Funkschlösser 30

31 OmniCloud Avoid lock-in, simplify integration, provider-independent security Client or Gateway for cloud backup services Entwicklung / Produktisierung unterstützt durch HMWVL/ EFRE in CIRECS 31

32 Tracking Protection für Microsoft Entwicklungund Wartungeiner Tracking Protection Liste für den Microsoft Internet Explorer 32

33 Wasserzeichen für Deutsche Digitale Bibliothek Integration Wasserzeichen in das Internetportal der DDB Kombiniert mit Suchdienstleistung des SIT Spin-Offs CoSee 33

34 SIT Appicaptor Framework Analysis workflow Apple AppStore Google Play Data Extraction Rating and Documentation App-Bundle Binaries Metadata Postprocessed analysis data Reversing Decrypt Decompile Disassemble Parse, Run... Analysis and correlation of Raw data Indicators Usable, structured data List of Indicators Raw analysis data Analysis of Source code Disassembly Metadata Behavior Investigation required Identified relevant Entry Points Focused Manual Analysis Direct Findings No automated Findings Privacy & Security Implications 34 Manual Findings No Findings Visualization Interaction

35 NCP VPN GovNet Box: Sicherer VPN Client für Behörden Entwicklung in Zusammenarbeit mit NCP, Nürnberg. BSI Zulassung für VS-NfD Daten ist für 2013 angestrebt. Unveränderbarer Bootloader als Sicherheitsanker Hardware-Zufallszahlengenerator Integriertes kapazitives PIN Pad Integrierter Smartcard Reader (ID-1 Scheckkartenformat) TPM-basierte Verschlüsselung sicherheitsrelevanter Daten auf der Box LAN, WLAN und UMTS. Stromversorgung per USB. 35

36 Sicheres Passwortmanagement - imobilesitter Sichere Passwortverwaltung ohne Werkzeuge unmöglich Konventionelle Werkzeuge oft unsicher trotz starker Verschlüsselung: Wörterbuchangriffe Resistenz gegen Wörterbuchangriffe Entwicklung durch Fraunhofer SIT Vertrieb durch AppStore von Apple 36

37 SicheresCloud Computing ohneblindesvertrauenin den Anbieter? Unternehmen Grundproblem: Perimeter reicht in Cloud hinein, aber Unternehmen delegiert Kontrolle an Cloud-Anbieter (meist nicht in Europa) Cloud-Anbieter sieht alles Wenig zufriedenstellender Stand der Technik Verschlüsselung für reine Speicher-Clouds, aber in der Praxis schwierig und selten richtig angewandt Absicherung der Cloud auf Anbieterseite und vertrauensbildende Maßnahmen (Technik, Auditierung) 37