:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Forschung für mehr Security im IIoT Industrie 4.0 Sicherheit wird updatefähig
Gerade in der Industrie stellen Updates ein großes Problem dar. Das gilt auch für IT-Sicherheitsverfahren, die aktualisiert werden müssen. Das Projekt ALESSIO hat untersucht, wie sich Anwendungen mit hoher Lebensdauer durch updatefähige Lösungen schützen lassen. Wir haben einen der Forscher von Fraunhofer AISEC zu den Ergebnissen und ihrer Anwendung in der Praxis befragt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht, erklärt der Bundesverband IT-Sicherheit TeleTrusT. Gesetzliche Vorgaben wie das IT-Sicherheitsgesetz und die Datenschutz-Grundverordnung (DSGVO) enthalten zudem die Forderung nach IT-Sicherheit nach dem Stand der Technik.
Der TeleTrusT bietet einen hilfreichen Überblick dazu, was denn Stand der Technik in der IT-Sicherheit ist. Dieser wird regelmäßig aktualisiert. Das bedeutet aber auch, dass die implementierte IT-Sicherheit womöglich aktualisiert werden müsste.
In Bereichen wie der industriellen IT und bei anderen langlebigen IT-Infrastrukturen muss man damit rechnen, dass es mehrfach den Bedarf geben würde, die IT-Sicherheitsverfahren zu aktualisieren. Das Problem ist nur, Updates sind dort ein großes Problem, auch für Security-Lösungen.
Die Security braucht Updates
Den Bedarf für updatefähige Sicherheit in Industrie 4.0 und langlebigen IKT-Strukturen haben Forscher bereits vor Jahren gesehen. Unter Führung der Infineon Technologies AG entwickelte das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, die Giesecke+Devrient Mobile Security GmbH, die Siemens AG, die Technische Universität München sowie die WIBU-SYSTEMS AG seit 2016 im Projekt ALESSIO chipbasierte Lösungen und Prototypen für vernetzte Rechneranwendungen und eingebettete Systeme.
ALESSIO wurde mit rund 3,9 Millionen Euro vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und endete am 31. Dezember 2019. Im Sommer 2020 wird der Abschlussbericht erscheinen. Wir konnten aber bereits erste Einblicke in die Ergebnisse bekommen und haben Dr. Johann Heyszl, zuständig für Hardware Security bei Fraunhofer AISEC dazu befragt.
:quality(80)/images.vogel.de/vogelonline/bdb/1198900/1198995/original.jpg "Ziel des Verbundprojekts ALESSIO ist es updatefähige Sicherheitsmechanismen für Industrie 4.0 und langlebige vernetzte Geräte zu erforschen und zu bewerten. Die Projektpartner sind Fraunhofer AISEC, Giesecke & Devrient, Infineon, Siemens, TU München und Wibu-Systems. (Infineon Technologies)")
ALESSIO-Projekt
Vernetzte Maschinen und Geräte durch updatefähige Lösungen schützen
Ergebnisse des Projektes ALESSIO
Security-Insider: Welche technischen / rechtlichen Voraussetzungen bestehen für die Umsetzung Ihrer Projektergebnisse?
Dr. Johann Heyszl: Im Zuge des IT-Sicherheitsgesetzes (IT-SiG) in Deutschland und der Netzwerk- und Informationssicherheits-Verordnung (NIS) der Europäischen Kommission wurden verpflichtende Maßnahmen zur Erhöhung der Sicherheit informationstechnischer Systeme für die Betreiber von kritischen Infrastrukturen (KRITIS) erforderlich.
In der Regel handelt es sich bei KRITIS-Systemen und -Komponenten um langlebige Investitionsgüter, die über eine Sicherheitsfunktionalität verfügen sollten, die flexibel auf neue und/oder intelligentere Angriffsverfahren reagieren und einen Zeitraum von deutlich mehr als 10 bzw. 20 Jahren abdecken kann. Genau diese Herausforderung haben wir mit ALESSIO adressiert.
Security-Insider: Wo sehen Sie konkret mögliche Anwendungen für Ihre Projektergebnisse?
Dr. Johann Heyszl: Für eingebettete Systeme in Anwendungen wie Industriesteuerung, Automobiltechnik, Medizintechnik und in mobilen Endgeräten ist Informationssicherheit ein zentraler Bestandteil. Ziel von ALESSIO war es, zu untersuchen, wie man langfristig sichere eingebettete Systeme für eben solche Anwendungen erreichen kann, indem man ein Update-fähiges Sicherheitselement integriert.
Im Projekt wurden dafür zwei Ansätze verfolgt: zum einen wurden normale Smartcards mit einer zusätzlichen Update-Funktion ausgestattet und zum anderen wurden FPGA-basierte Systeme (programmierbare logische Schaltungen) entwickelt, bei denen der Sicherheitsanker in der konfigurierbaren Hardware liegt. Die zweite Lösung eignet sich insbesondere für Anwendungen, in denen bereits FPGA-basierte Systeme eingesetzt werden.
Security-Insider: Ist es bereits geplant, Ihre Ergebnisse in Produkten (z.B. der Projektpartner) umzusetzen? Oder ist dies schon geschehen?
Dr. Johann Heyszl: Der letzte Meilenstein des Projekts war es, umfassende Sicherheitsanalysen der verschiedenen Systeme abzuschließen und entsprechende Demonstratoren zu implementieren. Dabei haben wir unter anderem ein FPGA-basiertes Secure Element in einem industriellen Szenario integriert: in Kooperation mit der Siemens AG und der TU München hat das Fraunhofer AISEC eine FPGA-basierte System-on-Chip-Plattform entwickelt, die die sichere Update-Fähigkeit von
Teilen der Hardware während der Laufzeit demonstriert. Dabei wurde besonders auf den Schutz vor Seitenkanalangriffen Wert gelegt. Die Ergebnisse aus Alessio nun tatsächlich in die Realität zu übertragen, ist ein nächster Schritt.
Security-Insider: Wie kann ein Anbieter aus dem Bereich Industrie 4.0, der nicht Projektpartner war, von Ihren Ergebnissen profitieren? Wie kann man sie konkret nutzen, um die eigene IT-Sicherheit in den Produkten zu verbessern?
Dr. Johann Heyszl: Im Rahmen von ALESSIO wurden Methoden und Werkzeuge erarbeitet, die Entwickler von sicherheitskritischen Komponenten, wie z.B. Implementierungen von kryptografischen Algorithmen, bei der Arbeit unterstützen. Die Ergebnisse des Projekts wurden in mehreren Konferenzbeiträgen veröffentlicht.
Ein direkter Austausch mit Unternehmen war während der Abschlussveranstaltung von ALESSIO möglich. Hier waren zahlreiche Vertreter aus Industrie und Wirtschaft anwesend, um sich über die Ergebnisse zu informieren. Natürlich stehen das Fraunhofer AISEC und alle Projektpartner als Ansprechpartner zur Verfügung. Der offizielle Projektbericht wird dann im Sommer 2020 veröffentlicht.
(ID:46481448)
:quality(80)/p7i.vogel.de/wcms/88/8b/888b403f937b5d18a417fefedb2291f7/0109721875.jpeg "Im Projekt „Quinssida“ entwickeln die Forschenden Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: Fraunhofer IPMS)")
:quality(80)/p7i.vogel.de/wcms/31/e1/31e103b798918ab4ad655412deccf42c/0110875167.jpeg "Das Forschungsprojekt PoQuID hat die Grundlagen geschaffen, die Sicherheit elektronischer Ausweis-Dokumente fit fürs Quantencomputer-Zeitalter zu machen. (Bild: pinkeyes - stock.adobe.com)")