SICHERHEIT VS. KOMFORT

Transkript

1 SICHERHEIT VS. KOMFORT DAS ZWEISCHNEIDIGE SCHWERT DER ANWENDERMOBILITÄT Dr. Markus Tauber Project Manager, ICT Security, Future Networks and Services, Safety & Security Department

2 Übersicht Wer sind wir & was machen wir Vortragsthemen Komfort & Sicherheit Komfort durch Mobile Endgeräte Cloud (und Smart-*, M2M) Welche Sicherheitsprobleme ergeben sich dadurch? AIT ICT Security Lösungen Risiko Management bzgl. bring your own device Sicherheit & Datenschutz (Cloud, M2M, Smart-*) 2

3 AIT Austrian Institute of Technology Österreichs größtes außeruniversitäres Forschungszentrum Fokussiert auf die Infrastrukturen der Zukunft ±1000 Safety & Security Department: Sicherstellung der Effizienz und Zuverlässigkeit kritischer Infrastrukturen, Entwicklung und Bereitstellung zukunftsweisender Technologien 3

4 AIT Safety & Security Department Model based testing system safety System Safety System Safety Highly Reliable Software Highly and Reliable Systems Software (HRS) and System Safety Hochverfügbare Secure and reliable Systeme Systems ICT Security ICT Security Future Future Networks Networks and and Services Services (FNS) egovernment smart Cybercrime grids & cloud computing Cyberwar Kritische Infrastruktur Data Safety Data Safety Infrastructure Security Security information safety Digital Memory Digital Memory Engineering Safety Engineering (DME) Management von großen und komplexen Datensätzen Archive & egovernment,.. Availability Intelligent Intelligent Vision Vision Systems Security Systems (IVS) 3D vision High Surveillance performance & vision Multi-Kamera Protection Netzwerke public safety 4 Säulen in unserem Safety & Security Universum 4

5 Das Problem Die Komplexität von IT-Systemen steigt ständig Mondlandung mit Lines of Code Heute: F-35 fighter jet: 5,7 Mio; Boeing 787: 6,5 Mio; Mercedes S-Klasse: 20 Mio; Chevrolet Volt: 100 Mio. Systeme werden immer mehr vernetzt Internet-of-Things, Always-on, Pervasive Computing M2M (Machine-to-Machine) Communication Virtual Infrastrucutures (Cloud), etc. Industrietrend hin zu offenen Netzwerkarchitekturen Offene Protokolle (e.g. All over IP) Höhere Anzahl an third parties Die Abhängigkeit von IKT Systemen steigt Smart Grid, Smart Home, Smart City, Smart Phone egovernment, ehealth, ecommerce, Mobile payment 5

6 Komfort Mobile Endgeräte Wachsende Rechenleistung Always on, always connected Apps für alles und jeden Quellen: Cloudtimes.org, istockphoto.com, netconnexion.com 6

7 BYOD Bring Your Own Device Privat / Beruflichen Nutzung von Mobilen Endgeräten Quelle: 7

8 Gefahren für Mobile Endgeräte iphone Wurm Samsung Handys 8

9 Soundminer 9

10 Kreditkartennummern via Sound & Keylogger & kombiniert Soundminer Smartphone Keylogger. Wenn eine (Kreditkarten) Nummer ausgelesen werden kann geht auch mehr! Interdependence and Predictability of Human Mobility and Social Interactions Manlio De Domenico, Antonio Lima and Mirco Musolesi STOP: Socio-Temporal Opportunistic Patching of Short Range Mobile Malware John Tang, Hyoungshick Kim, Cecilia Mascolo and Mirco Musolesi. 10

11 Die Cloud Eine Methode zur komfortablen Abstrahierung von Software über Hardware #include <cloudstdio.h> #define Nbr of CPUs dynamic main() { cloudprintf("hello World "); } cloudstdio.h Flexibilität Skalierbarkeit Redundanz Einheitliche Sicherheit Single Point of Failure Fehlerursache schwer zu isolieren (per Defintion) 11

12 Cloud & Mobile Consumer Endgeräte Google Docs Google Calendar Dropbox Facebook Folio Cloud Amazon App-stores Mobile-Payment Backend.. Quelle: Cloudtimes.org 12

13 Beispiel: Bankomat Videoüberwachung & Cloud Erhöhte Suchperformance nach Mann mit roter Sturmhaube Techn. Herausforderungen durch Modularität (Outsourcing) Rechtliche Herausforderungen bzgl. Datenschutz oder SLA Bank CitySec TelCom TenSys CloudCorp ATM Operator Security Service Provider Telecom Operator Tenant System Mgmt Cloud Mgmt Provider 13

14 Smart-* ATM Video Überwachung Smart-Meter Smart-Home Smart-Health Smart-Cities Limitierte lokale Kapazitäten Globale Sicht notwendig (falls z.b. mehrere Filialen vom Mann mit der roten Sturmhaube gleichzeitig besucht werden) Quelle: smekal.at 14

15 Vorteile vs. Gefahr Cloud Einheitliche und aktuelle Sicherheitsvorkehrungen Daten zentralisiert: komfortabel sicher & versionierbar Limitierte lokale Kapazitäten (in Smart-phones & M2M) Globale Sicht notwendig Single Point of Failure Schwer zu isolierende Technisch Fehlerursache Rechtliche Verantwortlichkeit Ein einziger erfolgreicher Einbruch hat große Folgen 15

16 AIT ICT Security Ansätze Nationale und International Forschungsprojekte: Risiko-Management bzgl. BYOD Sicherheit & Datenschutz (M2M, Smart-*, Cloud) 16

17 Eckdaten 10 Partner aus Österreich, Finnland, Deutschland, Griechenland, Spanien, UK Projektbudget 4.8 Mio, teilw. gefördert durch EC FP7 Projektlaufzeit Bedarfs und User orientiert Kernthemen Unterstützung bzgl. rechtlicher Grundlagen in Verknüpfung mit technischen Informationen (SLA Management, Beweiskraftunterstützung - Datenschutz) Neue Risiko-Bewertungsmethoden und Kataloge bzgl. kritischer Infrastrukturen Verstehen von Verhalten in der Cloud ( monitoring, forensische Analyse, Anomalie Erkennung, root cause analysis, resilience ) Richtlinien zum sicheren Betrieb von kritischer Infrastruktur IT in Cloud und Service Assurance Praxisnahe Evaluierung der Forschungsresultate SECCRIT Consortium 17

18 PRECYSE Projekt Ziel Definition, Entwicklung und Validierung von Methoden, Architekturen und Technologien zum Verbessern der Sicherheit, Zuverlässigkeit und Resilienz von kritischer Infrastruktur IT. Spezifische wissenschaftl. und techn. Kernthemen Spezifikation einer Methode zur Identifikation der Assets, relevanten Bedrohungen und Verwundbarkeiten von kritischer Infrastruktur IT zur Verbesserung deren Sicherheit. Entwicklung von Werkzeugen zum Erkennen von Attacken gegen kritische Infrastrukturen und zur Einleitung von Gegenmaßnahmen. Architektur design für resiliente ICT Systeme für kritische Infrastrukturen Untersuchung von rechtlichen und Datenschutz relevanten Aspekten Support bei der Schaffung eines rechtlichen Regelwerkes. PRECYSE Consortium SECCRIT Consortium Laufzeit: Website: 18

19 HyRiM: Hybrid Risk Management for Utility Providers Entwicklung und Evaluierung von Risiko-Kenngrößen für gekoppelte, voneinander abhängige, kritische Infrastrukturen Entwicklung von Werkzeugen und Methoden zur Risikobewertung bzgl. neuer Bedrohungsszenarien (z.b: Advanced Persistent Threats) Definition von Security Architekturen bzgl. neuer Bedrohung und Technologien durch z.b: BYOD Szenarien Partners Elective Cooperative of Alginet 19

20 Smart Grid Security Guidance (SG)² KIRAS Projekt mit Laufzeit 2 Jahre, 11/ /2014 Smart Grid Regulierung im österr. Kontext Partner: AIT Austrian Institute of Technology Technische Universität Wien SECConsult Unternehmensberatung GmbH Siemens AG, Corporate Technology Österreich LINZ STROM GmbH Energie AG Oberösterreich Data GmbH Innsbrucker Kommunalbetriebe AG Energieinstitut an der JKU Linz GmbH Bundesministerium für Inneres Bundesministerium für Landesverteidigung und Sport 20

21 Arrowhead Arrowhead - Verbesserung von Effizienz, Flexibilität und Nachhaltigkeit auf globaler Ebene bzgl. Produktion (Erzeugung, Prozesse, Energie), Smartbuildings & Infrastrukturen, Elektromobilität & virtueller Energiemarkt. Laufzeit 4 Jahre, 78 Partner (österr.: TU Graz, Campus 02 FH Graz, AIT, Evolaris, AVL, Invineon) Secure? 21

22 Sicherheit ist ein kontinuierlicher Prozess Es reicht nicht, ein System sicher zu machen, man muss es auch sicher halten! Gerade in diesem Moment werden Methoden entwickelt, die derzeit sichere Systeme angreifbar machen, über Wege, an die bisher niemand gedacht hat Interessante Beispiele aus der Vergangenheit: SQL-Injection über RFID-Tags [1] Buffer Overflow durch Smartcard [2] [1] [2] Quelle: Exploits of a Mom, 22

23 Danke für die Aufmerksamkeit! Fragen? Dr. Markus Tauber Project Manager, ICT Security, Future Networks and Services, Safety & Security Department