Kurzvorstellung CASED, EC SPRIDE undFraunhofer SIT

– 2 –

Überblick

� CASED

� EC SPRIDE

� Fraunhofer SIT

� Projekte Fraunhofer SIT

– 3 –

Darmstadt

Karlsruhe

Saarbrücken

Bochum

München

IT-Sicherheitsforschung in DeutschlandZentren mit starkem Fokus auf IT-Sicherheit

Bonn

(1)

(2)

(3)

(4)

(5)

(5)

(1,4)

(1,2,3,5)

(3)

(1,3,4)

(1)

– 4 –

Center for Advanced Security Research Darmstadt (CASED)Größtes Forschungscluster zur IT-Sicherheit in Deutschland

� 25.000 Studierende, 4.150 Mitarbeit.,

davon 290 Professuren

� 9 Profs, 100 Mitarbeit. in IT-Sicherheit

� #1 in IT-Sicherheit in Deutschland(Source: Microsoft Academic Search)

� 13.000 Studierende, 870 Mitarbeit.,

davon 320 Professuren

� 11 Profs in IT-Sicherheit

� 160 Mitarbeiter/innen, 22 Nationen,

in Darmstadt und St. Augustin (bei Bonn)

� 9M€ Jahresbudget (Grund- & Drittmittel)

� 3 Professuren an TU Darmstadt

– 5 –

Center for Advanced Security Research Darmstadt (CASED)Größtes Forschungscluster zur IT-Sicherheit in Deutschland

� 25.000 Studierende, 4.150 Mitarbeit.,

davon 290 Professuren

� 9 Profs, 100 Mitarbeit. in IT-Sicherheit

� #1 in IT-Sicherheit in Deutschland(Source: Microsoft Academic Search)

� 13.000 Studierende, 870 Mitarbeit.,

davon 320 Professuren

� 11 Profs in IT-Sicherheit

� 160 Mitarbeiter/innen, 22 Nationen,

in Darmstadt und St. Augustin (bei Bonn)

� 9M€ Jahresbudget (Grund- & Drittmittel)

� 3 Professuren an TU Darmstadt

– 6 –

Center for Advanced Security Research Darmstadt (CASED)Breites Spektrum an Forschungsthemen und Anwendungen

Leitmotiv:

Security and Privacy by Design

Cloud

Computing

Mobile & Cyber-

Physikalische Systeme

Netzsicherheit

Kryptographie

Benutzbare Sicherheit

Sichere Identitäten,

Datenschutz und Vertrauen

Sichere Software

Kritische

Infrastrukturen

Forensik

Automatisierung

und Produktion

Internet und

Social Networks

– 7 –

AppicaptorKey2Share

Beispiele

RobusteHashverfahren

– 8 –

Auszeichnungen 2012/2013

Best Demonstrator Award

IEE International Symposium

on a World of Wireless,

Mobile and Multimedia

Networks

Matthias Hollick andAdrian Carlos Loch Navarro

Tsungming Tu – Alexander

von Humboldt Research

Award 2012 – J. Buchmann

Intel Early Career Faculty

Honor Program Award

Thomas Schneider (2012)Pouyan Sepehrdad (2013)

Science Award of German

Association for Data

Protection and Data Security

Most successful

University of

Software

Campus Award

First Degree Prize

Award of the Director

of TU Prague

Gernot Alber et. al.

ERC

Advanced Grant

Mira Mezini

– 9 –

Überblick

� CASED

� EC SPRIDE

� Fraunhofer SIT

� Projekte Fraunhofer SIT

– 10 –

European Center for Security and Privacy by Design

Leitmotiv: Security and Privacy by Design

– 11 –

Was ist unser Ziel, was ist machbar?

Kosten

Sicherheit

100%

0%

Heute

realisiert

Unmöglich

Erreichbar mit

überschaubaren

Kosten für F&E

In 10 Jahren

Heute

möglich

– 12 –

EC SPRIDE EC SPRIDE EC SPRIDE EC SPRIDE ÜberblickÜberblickÜberblickÜberblick

Trends

Anwendungen

Architekturen

(Sadeghi)

Designmethoden &

Werkzeuge

(Mezini, Waidner)

Design Elemente

(J. Buchmann)

Koordination:

WaidnerIT-Sicherheitsgruppen der TU Darmstadt und des Fraunhofer SIT

Starke Kooperationen mit anderen Zentren und exzellenten Gästen

– 13 –

Praxis braucht Forschung …

Grundlagenforschung Anwendungsorientierte Forschung

Joint Laboratory for

Secure Engineerging

Joint Research for

Secure Engineerging

Security Test Lab

…und genau das machen wir!

Experten Workshop -Thema Secure EngineeringSchirmherrschaft - SAP

– 14 –

Bisher erzielte Ergebnisse vonProf. Dr. Eric Bodden

• Join Point Interfaces: Programmiersprachenerweiterung für Java, die es erlaubt,

Sicherheitsaspekte modular zu implementieren

• Prominent publiziert (ACM TOSEM), Implementierung als Open Source

• SPLLift: automatisierte Analyse von Softwareproduktlinien

• Führt Analysen in wenigen Minuten durch, die sonst Jahre benötigt hätten!

• Prominent publiziert (PLDI), Implementierung als Open Source

• Heros: Neuartige, höchst effiziente Analyseplattform für Android/Java

• Implementierung als Open Source,

Publikation in bei Top Konferenz USENIX SECURITY in Begutachtung

• Weltweit führende Analyseplattform für Android

• Wird bereits jetzt extern verwendet; Gespräche mit SAP und Intel/McAfee

– 15 –

– 16 –

� Softwaresicherheit durch Automatisierungund Reduktion menschlicher Fehlereinflüsse

� Security by Design bei verteilter Entwicklung und Integration

� Security by Design für Legacy-Software

� Die Zukunft mit Security by Design

– 17 –

17. 4 Alfred Nordmann, Institut für Philosophie; Stefan Katzenbeisser, Fachbereich Informatik

24. 4. Ann Cavoukian, Information and Privacy Commissioner of Ontario

8. 5. Leif Blum, FDP; Daniel Mack, Die Grünen; Karin Wolff, CDU; Brigitte Zypries, SPD

15. 5. Armgard von Reden, Leibniz Universität Hannover

22. 5. Emilio Mordini, Centre for Science, Society and Citizenship, Rome

29. 5. René von Schomberg, Scientific/Policy Officer, European Commission

5. 6. Peter Buxmann, Fachgebiet Wirtschaftsinformatik

12. 6. Jessica Heesen, Intern. Zentrum für Ethik in den Wissenschaften, Universität Tübingen

19. 6. Welf Schröter, Forum soziale Technikgestaltung, Stuttgart

26. 6. Carsten Ochs, Fachbereich Informatik, EC SPRIDE

3. 7. Lorenz M. Hilty, Institut für Informatik, Universität Zürich

10. 7. Peter Schaar, Bundesbeauftrager für den Datenschutz und die Informationsfreiheit

17. 7. Podiumsdiskussion

– 18 –

EC SPRIDE

Prof. Dr. Michael Waidner

michael.waidner@ec-spride.de

phone: +49 6151 16-64530

KASTEL

Prof. Dr. Jörn Müller-Quade

info@iks.kit.edu

phone: +49 721 608-44213

CISPA

Prof. Dr. Michael Backes

backes@cs.uni-saarland.de

phone: +49 681-302-3249

Kompetenzzentren für IT-Sicherheit

– 19 –

Überblick

� CASED

� EC SPRIDE

� Fraunhofer SIT

� Projekte Fraunhofer SIT

– 20 –

Die Fraunhofer-GesellschaftForschung zum Wohle von Gesellschaft und Industrie

Angewandte Forschung und Entwicklung

� Gründung 1949

� Größte gemeinnützige Organisation für

angewandte Forschung in Europa

� 66 unabhängige Institute und Einrichtungen

� Ca. 22’000+ Mitarbeiter

� Ca. € 1.9 Milliarden Jahresbudget

� Innovation und Exzellenz in

anwendungsorientierter Forschung

� Ausbildung und Vorbereitung auf Führungs-

positionen, insbesondere in der Industrie

� Grundfinanzierung (1/3), Auftragsforschung (1/3),

öffentliche Förderprojekte (1/3)

– 21 –

Fraunhofer-Institut für Sichere InformationstechnologieÄlteste und größte Einrichtung für IT-Sicherheitsforschungin Deutschland

Kompetenzfelder

� Cloud Computing

� Cyberphysical Systems

� Identity and Privacy

� Industrie 4.0

� IT-Forensik

� Mediensicherheit

� Mobile Systeme

� Secure Engineering

� Security Test Lab

� Sicherheitsmanagement

� Betrieb Fraunhofer PKI

167Mitarbeiter (2012)

8.7 M€Jahresbudget (2012)

3 Professoren der TU Darmstadt

� Michael Waidner (2010)

� Ahmad-Reza Sadeghi (2010)

� Eric Bodden (2013)

Darmstadt

Birlinghoven

Berlin

– 22 –

Deutsches Rechenzentrum, 1961Fraunhofer SIT, 2013

– 23 – 2012 – 2014

– 24 –

Preise für Fraunhofer SIT und Mitarbeiter/innen (2012/2013)

1. Platz bei Deutschem

IT-Sicherheitspreis 2012

für OmniCloud

2. Platz bei Deutschem

IT-Sicherheitspreis 2012

für ForBild

1. Platz bei TeleTrusT-

Innovationspreis 2012

für BizzTrust

IBM Cyber Security Faculty Award für

Michael Waidner

2 x Google Faculty Research Award,

für Eric Bodden und

Michael Waidner

2 x BMBF Software Campus Award

für Alexandra Dmitrienko und

Waldemar Berchtold

Fraunhofer ATTRACT für Eric Bodden

– 25 –

Unsere Kunden und ForschungspartnerAusgewählte Referenzkunden

– 26 –

Überblick

� CASED

� EC SPRIDE

� Fraunhofer SIT

� Projekte Fraunhofer SIT

– 27 –

Sicherheit in Sozialen Netzen

Problem

� Popularität von Sozialen Netzen (z.B. Facebook)

� Private Anwender, Unternehmen, Behörden

� Konfiguration oft zu kompliziert und Tragweite

unklar

� Unbeabsichtigte Preisgabe von Daten

Ziel

� Information und Sensibilisierung von Nutzern

� Handlungsanweisungen für Anwender mit

Do‘s &

Dont‘s

Gefördert durch HMDiS: 2012 & 2013, ca. 20T €

– 28 –

ForBild – Forensische Bildanalyse

Problem

� Datenüberlastung bei Ermittlern

� Effizienz bei Analyse verbesserbar

� Mangelnde Robustheit bei Datenerkennung:

Anti-Forensik möglich, damit Spuren nicht

erkannt werden können

Lösung

� Integration von Suche und forensischer

Voranalyse

� Verbesserung der Erkennungsverfahren:

Robuste Bildhashes, z.B. zur Erkennung von

Kinderpornographie

Gefördert durch

Hessen Agentur:

2010/-11,

230T € (SIT)

Integration:

1. Kopieren

2. Forensische

Voranalyse 2.Platz unter mehr als 50 Einreichungen!

– 29 –

ForSicht – Forensische Sichtung von Bildern und Videodaten

Nachfolgeprojekt zu ForBild

� Entwicklung von robusten Hashverfahren für

Videos

� Reduktion von Fehlerraten für Bilder und

Videos

� Ergebnisvisualisierung für Bilder und Videos

� Integration in Kopierstation

Gefördert durch

Hessen Agentur:

2012/-14,

280T € (SIT)

– 30 –

Sharekey: Smartphone als TüröffnerNeues Projekt zum flexiblen Management von Schließberechtigungen für NFC-basierte Funkschlösser

– 31 –

OmniCloudAvoid lock-in, simplify integration, provider-independent security

Client or Gateway for cloud backup services

Entwicklung /

Produktisierung

unterstützt

durch HMWVL/

EFRE in CIRECS

– 32 –

Tracking Protection für MicrosoftEntwicklung und Wartung einer “Tracking Protection Liste” für den Microsoft Internet Explorer

– 33 –

Wasserzeichen für Deutsche Digitale Bibliothek

� Integration Wasserzeichen in das Internetportal der DDB

� Kombiniert mit Suchdienstleistung des SIT Spin-Offs CoSee

– 34 –

SIT Appicaptor Framework – Analysis workflow

No automatedFindings

• App-Bundle

• Binaries

• Metadata…

Apple

AppStore

Google

Play

…

• Post-

processed

analysis

data

• Privacy &

Security

Implications

• Usable,

structured

data

• Identified

relevant

Entry

Points

Investigationrequired

Direct Findings

Data Extraction Reversing

• Decrypt

• Decompile

• Disassemble

• Parse, Run ...

Analysis of

• Source code

• Disassembly

• Metadata

• Behavior

Analysis and correlation of

• Raw data

• Indicators

• List of

Indicators

• Raw

analysis

data

• Visualization

• Interaction

Rating andDocumentation

ManualFindings

NoFindings

Focused Manual Analysis

– 35 –

NCP VPN GovNet Box: Sicherer VPN Client für Behörden

Entwicklung in Zusammenarbeit mit NCP, Nürnberg. BSI Zulassung für VS-NfD Daten ist für 2013 angestrebt.

� Unveränderbarer Bootloader als Sicherheitsanker� Hardware-Zufallszahlengenerator� Integriertes kapazitives PIN Pad� Integrierter Smartcard Reader (ID-1 Scheckkartenformat)� TPM-basierte Verschlüsselung sicherheitsrelevanter

Daten auf der Box� LAN, WLAN und UMTS. Stromversorgung per USB.

– 36 –

Sicheres Passwortmanagement - iMobileSitter

� Sichere Passwortverwaltung

ohne Werkzeuge unmöglich

� Konventionelle Werkzeuge oft

unsicher trotz starker

Verschlüsselung:

Wörterbuchangriffe

� Resistenz gegen

Wörterbuchangriffe

� Entwicklung durch Fraunhofer

SIT

� Vertrieb durch AppStore von

Apple

– 37 –

Sicheres Cloud Computing ohne blindes Vertrauen in den Anbieter?

� Grundproblem: Perimeter reicht in Cloud

hinein, aber Unternehmen delegiert Kontrolle

an Cloud-Anbieter (meist nicht in Europa)

� Cloud-Anbieter sieht alles

� Wenig zufriedenstellender Stand der Technik

� Verschlüsselung für reine Speicher-Clouds, aber in der

Praxis schwierig und selten richtig angewandt

� Absicherung der Cloud auf Anbieterseite und

vertrauensbildende Maßnahmen (Technik, Auditierung)

Unternehmen