close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

(& Privacy) by Design - Security in Information Technology

EinbettenHerunterladen
Security (& Privacy) by Design
Prof. Dr. Michael Waidner
© Fraunhofer-Gesellschaft 2012
 TU Darmstadt, Fachbereich Informatik
 Fraunhofer-Institut für Sichere Informationstechnologie
Akademisches Viertel
– 1 –2013
19. Juni
1. IT-Sicherheit ist wichtig. Angriffe und Befürchtungen
dominieren die öffentliche Diskussion
Anonymous
Stuxnet (2010)
RSA/Lockheed-Martin (2011), DigiNotar (2011)
Saudi Aramco (2012), EADS (2012), ...
NSA PRISM (2013)
Organized Cybercrime
–2–
© Fraunhofer-Gesellschaft 2012
Einheit 61398, Shanghai (2013)
Fehler sind die wichtigste Quelle von
Verwundbarkeiten in der IT
Beispiel: Web-Anwendungen
 86% Konfigurationsfehler
 79% Integrationsfehler
 Könnten alle sehr leicht abgefangen werden!
© Fraunhofer-Gesellschaft 2012
Quelle: IBM X-Force® Research and Development, 2012
–3–
© Fraunhofer-Gesellschaft 2012
2. Darmstädter Ansatz : Security and Privacy by Design
Kompetenzzentrum für CyberSicherheit, gefördert durch das:
–4–
Fehlerkorrektur
(Patching)
Security by
Design
Intrusion/Botnet
Detection
Intrusion
Prevention
Forensik
Weiterentwicklung
und Betrieb
Initiale Entwicklung
~30 x
~10 x
1x
Quelle: NIST 2002
–5–
© Fraunhofer-Gesellschaft 2012
€ / Fehler
Security and Privacy by Design
Was ist machbar?
Sicherheit
Unmöglich
100%
In 10 Jahren
Erreichbar mit
überschaubaren
Kosten für F&E
0%
Kosten
–6–
© Fraunhofer-Gesellschaft 2012
Heute
© Fraunhofer-Gesellschaft 2012
Security by Design lohnt sich
Beispiel: Microsoft Secure Development Lifecycle
© Microsoft Security Blog and Microsoft TechNet Security Blog
http://www.microsoft.com/security/sdl/learn/measurable.aspx
–7–
Softwareindustrie aber weit entfernt von Security by Design
(Aber zumindest das Problembewusstsein steigt)
23% wissen nicht einmal, ob sie
einen solchen Prozess haben.
44% der Unternehmen hat
keinen Prozess, um
Sicherheit herzustellen
© Strategic Security Report 2012, Information Week, 2012
–8–
© Fraunhofer-Gesellschaft 2012
Does your company have a formal secure software
development life cycle (SDLC) policy/process?
3. Technische Herausforderungen
Beispiele
 Messbarkeit
 Open Source Komponenten
 Legacy Software
 Integration im Großen
https://www.sit.fraunhofer.de/de/downloads-service/studien-reports/
–9–
© Fraunhofer-Gesellschaft 2012
 Zurechenbarkeit von Fehlern
4. Interdisziplinäre Herausforderungen
 Allmende-Problem von Security
(insbesondere: Security by Design)
 Motivation von Wirtschaft und Staat
zu Investitionen in bessere IT-Sicherheit
 Risikoverteiling und Haftung für IT-Unsicherheit
 Wie können Nutzer Sicherheit erkennen und vergleichen?
 Ist Cybersouveränität machbar und wünschenswert?
– 10 –
© Fraunhofer-Gesellschaft 2012
 Gibt es einen “Sicherheitsgurt” der IT-Sicherheit?
Prof. Dr. Michael Waidner
michael.waidner@sit.fraunhofer.de
Fraunhofer-Institut für
Sichere Informationstechnologie (SIT)
Institutsleiter
Rheinstraße 75
64295 Darmstadt
www.sit.fraunhofer.de
Technische Universität Darmstadt
Fachbereich Informatik,
Lehrstuhl Sicherheit in der IT (SIT)
Mornewegstraße 30
64289 Darmstadt
www.sit.tu-darmstadt.de
– 11 –
© Fraunhofer-Gesellschaft 2012
Direktor CASED und EC SPRIDE
Document
Kategorie
Bildung
Seitenansichten
6
Dateigröße
488 KB
Tags
1/--Seiten
melden