Vortrag von Frau Prof. Dr. Claudia Eckert auf der Veranstaltung "Sicherheit und Vertrauen im Internet" am 11. Mai 2012 in der Bayerischen Akademie der Wissenschaften in München.
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
1. IT-Sicherheit:
IT Sicherheit: Herausforderungen für
Wissenschaft und Gesellschaft
C. Eckert, TU München, Fraunhofer AISEC
C. Eckert 1
2. Gliederung
1. Schlüsseltechnologie IKT
g
2. IKT benötigt Sicherheit
3.
3 Bedrohungen und Herausforderungen (Technologisch)
4. Sicherheit braucht Forschung
5. Take Home Message
C. Eckert 2
3. IKT ist Schlüsseltechnologie
These: IKT ist Schlüsseltechnologie
für globale Herausforderungen
Energie Umwelt Mobilität Sicherheit Gesundheit
C. Eckert 3
4. IKT ist Schlüsseltechnologie
These: IKT ist Schlüsseltechnologie
für globale Herausforderungen
Energie Umwelt Mobilität Sicherheit Gesundheit
C. Eckert 4
5. IKT ist Schlüsseltechnologie
Zukunft:
• Internet vernetzt Menschen, physische Objekte und Dienste
Beispiele
Energie: z.B. SmartGrids
g
• Steuern, Überwachen, Planen, Entscheiden
Gesundheit: z.B. personalisierte M di i
G dh it B li i t Medizin
• Überwachte Vitalfunktionen
Mobilität: z.B. Individualverkehr
• Sensorik im Fahrzeug, Car2X
C. Eckert 5
6. IKT ist Schlüsseltechnologie
IKT: zentrales Nervensystem
koordinieren, steuern
koordinieren steuern, überwachen
Energie Umwelt Mobilität Sicherheit Gesundheit
C. Eckert 6
7. IKT ist Schlüsseltechnologie
It‘s all about data!
Daten sind ein schützenswertes Gut
D t steuern sicherheitskritische Ablä f /P
Daten t i h h it k iti h Abläufe/Prozesse
Daten sind ‘Währung’ u.a. in sozialen Netzen (Facebook etc.)
g ( )
C. Eckert 7
8. IT Sicherheit: ein sine qua non
IKT benötigt Sicherheit
Daten- und Informationsvertraulichkeit
Prüfbare Identität von Personen und Objekten
Manipulationsschutz für Daten und auch kompletten Abläufen
C. Eckert 8
9. Bedrohungen
Beispiel: Sensorik im Auto:
Viele vernetzte ECUs
GSM-Modul: Ferndiagnose
Software-Updates, ..
p ,
Problem: Fehlende Kontrollen
Einschleusen von Schad-Code, …
,
Herausforderungen: u.a.
Manipulationsresistente Hardware
S
Sichere Komponenten-Identifikation (
f (Machine-to-Machine)
)
9
10. Bedrohungen
Beispiel: Web Anwendungen
Web-Anwendungen
• Problem: Programmierung
Einschleusen von Vi
Ei hl Viren, T j
Trojanern
• Problem: Mangelhafte Kontrollen
unerlaubte D t
l bt Datenzugriffe, …
iff
Herausforderungen:u.a.
• Zuverlässige Abschottungen (Kaskadeneffekte verhindern)
• Selbst-Überwachung (Aufbau eines ‘Immunsystems’)
• Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
10
12. Technologie gestalten: Architekturen
Sicherheitsarchitekturen
Ziel: Resistent gegen Angriffe
z.B.
z B Seitenkanal-Angriff: (Pizza Index)
• Beobachten von Verhaltens-
Charakteristika
Ch kt i tik
Ansatz: A iff t l
A t Angriffs-tolerante M lti C
t Multi-Core-Architekturen
A hit kt
• Verschleiern von Charakteristika: u.a. Randomisierungen
• Neue Algorithmen
(parallisiert, verteilt)
12
13. Technologie gestalten: Systeme
Selbst‐überwachende Systeme
• Sicherer Betriebssystem-Kern als ‘Überwacher’
• Sammelt Verhaltensdaten
z.B syscall traces
y z.B.
z B Apps
• Klassifiziert Aktivitäten: z.B. Android
Normalverhalten Plattform
Sicheres z.B. L4Linux
• Reagiert: Abschalten
Betriebssystem mit Android Patches
von Diensten Schließen
Diensten, Virtual Machine Monitor
von Ports, … Multi-core (SoC)
13
14. Sicherer Betrieb: Sichere Objekt-Identität
Objekt Identität
Biometrie für Objekte
Physical Unclonable Function (PUF)
• Nicht fälschbare Material-Eigenschaften
• PUF: liefert auf eine
Anregung (Challenge) eine nicht
vorhersagbare Antwort : einzigartig ID
Problem:
• Alterung, Verschmutzung verändern das PUF-Verhalten
Forschung:
• Korrekturdaten (Helper data), Toleranzschwellen
• N t
Nutzen der PUF Eigenschaften i S ft
d Ei h ft in Software-Produkten
P d kt
C. Eckert 14
16. Sicherer Betrieb: Angriffserkennung
Idee: Definition von Topics: Semantische Zusammenhänge
Beispiel: Topic1 Graphikprogramm Topic 2 Netzverbindung
Topic 3 Dateiverarbeitung
p g Topic 4 Bildverarbeitung
p g
Machinelles Lernen: Clustern von Events zu Topics (Normalverhalten)
C. Eckert 16
17. Ein Blick hinter die Kulissen: Parameter
Estimation with Gibbs Sampling
D T V T V V
Γ(
( βv )
ψz ,vv− 1 dΨ
β
mz
P ( d |d θ) ×
(y |d, ψz , v , v V
v= 1
d= 1 z= 1 v= 1 z= 1 v= 1 Γ(βv ) v= 1
D T T D T T T
n d,z ,z Γ(
( αz ) α −1
× φd, z , z T
z= 1
φd,zz , z dΦ
d= 1 z = 1 z = 1 d= 1 z = 1 z= 1 Γ(α z ) z =1
V T T DT D
Γ(
( βv ) Γ(
( αz )
= V
v= 1
× T
z= 1
× P ( d |d θ)
(y |d,
v= 1 Γ(βv ) z= 1 Γ(α z ) d= 1
T V D T T
mz + β − 1 n + αz − 1
× ψz , v , v v dΨ × φd,z, ,zz, z
d
dΦ
z= 1 v= 1 d= 1 z = 1 z =1
D T V T
−1 v = 1 Γ(m z , v
( + βv )
∝ [1 + exp(−
( θz , z n d, z , z )]
d= 1 z,z z= 1 Γ( V= 1 m z , v
v + βv )
D T T
z = 1 Γ(n d z ,z
d, z + αz )
.
d= 1 z = 1
Γ( T = 1 n d, z , z
z + αz )
C. Eckert 17
18. Take h
T k home Message
M
Zukunft b ö i IKT
k f benötigt
Koordinierung, Steuerung, Kontrolle
g, g,
IKT ist verletzlich
Verletzlichkeit der Nutzer, der Gesellschaft
IKT benötigt Sicherheit
Technologie Gestaltung, Forschung, Bildung, Kultur
C. Eckert 18
19. Herausforderungen
H f d
Wissenschaft:
• Technologiegestaltung: sicher, nutzbar, nachhaltig
Politik:
• Rahmenvorgaben: Zuckerbrot und Peitsche
Anreizmodelle und gesetzliche Auflagen
Wirtschaft:
Wi t h ft
• Vertrauen schaffen: Transparenz und Kontrollierbarkeit
Gesellschaft:
• Sicherheitskultur: Ausbildung Wertvorstellungen
Ausbildung,
C. Eckert
20. Und zu guter Letzt …
Herausforderung: Herausforderung:
Sinnvoll Angemessen
g
C. Eckert
21. Vielen Dank für Ihre Aufmerksamkeit
Claudia Eckert
TU München, Lehrstuhl für Sicherheit in der
Informatik
Fraunhofer AISEC, München
E-Mail: claudia.eckert@sec.in.tum.de
Internet: http://www.sec.in.tum.de
http://www.aisec.fraunhofer.de
C. Eckert