[datensicherheit.de, 11.09.2018] Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Domain Validation zur Verifitkation der Identität einer Website

Zertifikate werden von sogenannten Web-CAs ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Weitere Informationen zum Thema:

Fraunhofer SIT
Domain Validation ++ / Die sichere Version von Domain Validation

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge

datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen

[datensicherheit.de, 27.01.2015] Hessens Staatsminister für Wissenschaft und Kunst, Boris Rhein, hat am Mittwoch, 28.01.2014,  die Darmstädter Cybersicherheitsforschung besucht. Sein besonderes Interesse galt dabei dem im Rahmen der hessischen LOEWE-Initiative geförderten Center for Advanced Security Research Darmstadt (CASED), das gemeinsam von der Technischen Universität Darmstadt, der Hochschule Darmstadt und dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) betrieben wird. Beim Besuch informierte sich Minister Rhein auch über neue Software-Testverfahren. Damit hatten CASED-Forscher erst vor Kurzem einen Banking-Trojaner aufgespürt. Höhepunkt des Besuchs bildete ein Blick ins neu eingerichtete Cyberphysical Security Lab, wo datenschutzfreundliche IT-Systeme für das Auto der Zukunft entwickelt werden.

Die TU Darmstadt und die Hochschule Darmstadt bilden einen Arbeitsschwerpunkt der IT-Sicherheit, was sich aich an der großen Anzhal der beteiligten Professuren ablesen lässt. Zusammen mit dem Fraunhofer SIT arbeiten mehr als 350 Forscherinnen und Forscher am Schutz von digitalen Daten, Diensten, Geräten und Infrastrukturen.

„Mein Ziel ist der gezielte Ausbau des Cyber-Security Forschungsstandorts Darmstadt als national und international sichtbarer Hotspot der IT-Sicherheit. Daher begrüße ich die Pläne, in Darmstadt ein Spitzenforschungszentrum für Cybersicherheit einzurichten, das die Forschungskapazitäten von Technischer Universität, Hochschule Darmstadt und Fraunhofer SIT weiter bündeln soll“, erklärte Wissenschaftsminister Boris Rhein.

„Die IT-Sicherheit gehört zu den national wie international hoch sichtbaren Themenfeldern, die das Forschungsprofil der TU Darmstadt prägen“, betonte TU-Präsident Professor Hans Jürgen Prömel anlässlich des Minister-Besuchs. „Dank der LOEWE-Förderung konnten an der TU Darmstadt substantielle und nachhaltige Strukturen aufgebaut werden, die von Professuren bis zur Gebäudeinfrastruktur reichen. Wir sehen darin eine gute Ausgangslage für die erfolgreiche Weiterentwicklung dieses gesellschaftlich wichtigen Themenfeldes.“

Empfangen wurde der Minister von Spitzenvertretern der drei an CASED beteiligten Forschungsinstitutionen, angeführt durch Professor Dr. Hans Jürgen Prömel, dem Präsidenten der Technischen Universität Darmstadt, und Professorin Dr.-Ing. Mira Mezini, der Vizepräsidentin der Technischen Universität Darmstadt. Professor Dr. Arnd Steinmetz vertrat die Hochschule Darmstadt und Professor Dr. Michael Waidner das Fraunhofer-Institut für Sichere Informationstechnologie.

[datensicherheit.de, 26.09.2014] 60 Prozent der beliebtesten iOS-Apps sind nicht für den Unternehmenseinsatz geeignet. Das haben Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie im Rahmen einer Testreihe herausgefunden. Die Forscher prüften die beliebtesten kostenlosen Apps aller Kategorien aus Apples App Store und fanden teils gravierende Sicherheitslücken in der Programmierung: Bei rund 25 Prozent der Apps verzichteten die Entwickler absichtlich auf Schutzfunktionen und 12,5 Prozent der Apps verschicken Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben. Bei zahlreichen Anwendungen stellten die Experten auch Verschlüsselungsmängel fest. „Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten“, sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt. Für ihre Untersuchung haben die Fraunhofer-Experten das Testwerkzeug Appicaptor genutzt, das große Mengen von Apps automatisiert auf Sicherheit prüft. Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellen die Forscher vom 7. bis 9. Oktober die Testergebnisse vor.

© Fraunhofer

Viele iOS-Apps sind laut Fraunhofer SIT nicht sicher genug für den Unternehmenseinsatz

Zusätzlich zu den beliebtesten Apps testeten die Fraunhofer-Forscher 10.000 zufällig ausgewählte kostenlose Apps und damit mehr als doppelt so viel wie die Top200 aller Kategorien. Die meisten Sicherheitsmängel verursachen Programmierer, die absichtlich Schutzeinstellungen in der Programmierumgebung deaktivieren. Dadurch wird es für Angreifer wesentlich einfacher, Apps zu attackieren. In über 10 Prozent der Apps fanden die Fraunhofer-Tester eine besonders gravierende Sicherheitslücke: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren. Dadurch können Angreifer zum Beispiel bei Banking-Apps Geld von Benutzerkonten stehlen. Auch in Sachen Datenschutz und Datensicherung fanden die Wissenschaftler gravierende Mängel. So verschickte eine App Informationen an 16 Unternehmen.

Für den Massentest der iOS-Apps nutzte das Fraunhofer-Testlabor das selbstentwickelte Testwerkzeug Appicaptor, das jede App auf verschiedene Standardkriterien überprüft und automatisch Testberichte mit einer entsprechenden Gesamteinschätzung generiert. Unternehmen können die Lösung nutzen, um Apps schnell und einfach zu bewerten. „Apple selbst kann nichts für das schlechte Abschneiden vieler Apps“, erklärt Jens Heider. „Die iOS-Plattform bietet gute Möglichkeiten, Apps mit hoher Sicherheitsqualität zu programmieren, aber das kommt in der Masse der Apps nicht an, weil viele Entwickler nicht sauber arbeiten.“

Unterstützt wurde die Produktisierung von Appicaptor durch CIRECS — Center for Industrial Research in Cloud Security. CIRECS ist ein gemeinschaftliches Vorhaben des Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. Gefördert wird das Projekt vom Hessischen Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung (HMWEVL) mit Mitteln aus dem europäischen Fonds für regionale Entwicklung (EFRE). Unterstützt wurde die Entwicklung auch im Rahmen des BMBF-geförderten Kompetenzzentrums „European Center for Security and Privacy by Design“ (EC SPRIDE).

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2014
it-sa 2014: Datensicherheit als strategisches Ziel für Entscheider

datensicherheit.de, 17.09.2014
„Check your App“: Datenschutzprüfung für Applikationen

datensicherheit.de, 14.03.2014
Appicaptor: Start für App-Security-Test

Fraunhofer SIT –
Appicaptor Security Index

[datensicherheit.de, 17.09.2014] Hessens Wissenschaftsminister Boris Rhein hat am Mittwoch in Darmstadt das neue Gebäude des Fraunhofer-Instituts für Sichere Informationstechnologie SIT eröffnet. In Anwesenheit von 200 geladenen Gästen aus Wirtschaft und Wissenschaft sowie zahlreichen Ehrengästen unterstrich Rhein die große Bedeutung der IT-Sicherheitsforschung für Unternehmen und Gesellschaft.

Wissenschaftsminister Boris Rhein: „Hessen ist im Bereich der Cybersicherheit Vorreiter. Die Eröffnung des Neubaus ist zudem ein weiteres Beispiel für die positive Entwicklung der Cybersicherheitsforschung in Darmstadt. Daher begrüße ich auch die Pläne, in Darmstadt ein Nationales Leistungszentrum für Cybersicherheit einzurichten, das die Forschungskapazitäten von Universität, Hochschule und Fraunhofer bündeln soll. Mein Ziel ist die nochmalige Stärkung und der gezielte Ausbau des Cyber-Security-Forschungsstandorts Darmstadt als national und international sichtbarer Hotspot der IT-Sicherheit. Wissenschaft und Forschung sind die Grundlage für Wohlstand und wirtschaftliche Stärke in Hessen. Deshalb sind die Investitionen des Wissenschaftsministeriums in Höhe von 9,1 Millionen Euro für den Neubau sehr gut angelegt.“

© Fraunhofer SIT

Eröffnungsfeier des neuen Institutsgebäudes des Fraunhofer SIT

Die Eröffnungsfeier ist gleichzeitig der Startschuss für eine Aktionsreihe des Instituts zum Thema Digitale Souveränität mit Technologie-Workshops für Unternehmen und Bürgerdialogen zu aktuellen Themen rund um IT-Sicherheit und den Schutz der Privatsphäre.

Auch die anderen Grußwort-Überbringer, darunter Stefan Müller, parlamentarischer Staatssekretär bei der Bundesministerin für Bildung und Forschung, bestätigte die wichtige Rolle der IT-Sicherheit für Deutschland und die große Forschungskompetenz dazu am Standort Darmstadt. Den Eröffnungsvortrag hielt Airbus-CIO Guus Dekkers, der Einblicke in die tatsächliche IT-Bedrohungslage für Unternehmen gab. Weitere Ehrengäste der Veranstaltung waren Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik, Mira Mezini, Vizepräsidentin der Technischen Universität Darmstadt, Jochen Partsch, Oberbürgermeister der Stadt Darmstadt, Arnd Steinmetz, Vizepräsident der Hochschule Darmstadt, Alexander Verl, Vorstand der Fraunhofer-Gesellschaft sowie Brigitte Zypries, parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie.

„Das neue Gebäude symbolisiert sehr gut die gewachsene Bedeutung von Cybersicherheitsforschung. Themen wie Sicherheit für Industrie 4.0 und digitale Wirtschaft, für Cloud Computing und Big Data, Sicherheit und Privatsphärenschutz für den Bürger und natürlich die Cybersicherheit an sich erfordern alle mehr Raum. Wir müssen neue Konzepte entwickeln und in realistischen Laborumgebungen ausprobieren und testen können “, sagte Michael Waidner, Institutsleiter des Fraunhofer SIT. „Besonders wichtig ist, dass Forschung den Dialog mit Unternehmen und Bürgern führt. Deshalb werden wir die nächsten Wochen und Monate für eine Aktionsreihe nutzen, in der wir mit Vorträgen, Workshops und Bürgerdialogen in unseren neuen Räumen den Wissens- und Erfahrungsaustausch verstärken werden.“

Der von Land und Bund mit insgesamt 18 Millionen Euro geförderte Neubau bietet rund 170 moderne Arbeitsplätze.

Weitere Informationen zum Thema:

datensicherheit.de, 08.09.2014
Fraunhofer SIT: Der Weg zur sicheren Industrie 4.0

[datensicherheit.de, 08.09.2014] Wie lässt sich ausreichende IT-Sicherheit für die Industrie der Zukunft erreichen? Diese Frage diskutierten Experten aus Industrie und Informationstechnik in einem Fachgespräch im Kloster Eberbach. Ausgehend von den wesentlichen Herausforderungen erarbeiteten die Teilnehmer konkrete Lösungsvorschläge. Hierzu gehören unter anderem Security by Design-Methoden für das industrielle Umfeld, konkrete Bauanleitungen und Mindeststandards für Anlagen und Komponenten sowie eine herstellerübergreifende Systematik, um industrielle IT-Sicherheit aussagekräftig bewerten zu können. Die vollständigen Ergebnisse dieses Eberbacher Gesprächs hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT jetzt in einem Bericht veröffentlicht, der kostenlos heruntergeladen werden kann. „Unsere Veröffentlichung beschreibt die wichtigsten Aufgabenstellungen, die Forschung und Entwicklung zur industriellen IT-Sicherheit in den nächsten Jahren lösen müssen“, sagt Institutsleiter Michael Waidner.

© Fraunhofer SIT

Der Weg zur sicheren Industrie 4.0

Die IT-getriebene Entwicklung der Industrie bezeichnet man in Deutschland als die Vierte industrielle Revolution oder kurz als Industrie 4.0. Bereits heute ist das Produktionsumfeld den gleichen Angriffen und Gefahren ausgesetzt wie die klassische IT-Welt, ohne dass es ausreichende Lösungen für industrielle IT-Sicherheit gibt. Beispielsweise können Anlagenbauer und produzierende Unternehmen bislang nicht die IT-Sicherheit von Anlagen aussagekräftig bewerten, weil es an Beschreibungsmöglichkeiten und Kennzahlensystemen mangelt. Grund hierfür ist, dass sich Forschung und Entwicklung in der IT-Sicherheit bislang vorwiegend mit der Absicherung der klassischen IT und insbesondere der Unternehmens-IT beschäftigt haben. „Die etablierten IT-Sicherheitsmethoden lassen sich prinzipiell auf die Produktions-IT übertragen“, so Michael Waidner. „Im Detail zeigen sich aber deutliche Unterschiede zwischen den beiden Welten und damit Anpassungsbedarf. So müssen zum Beispiel in industriellen Infrastrukturen anders als in der Unternehmens-IT Reaktionen in Echtzeit erfolgen.“

Im Rahmen des Eberbacher Gesprächs identifizierten die Teilnehmer sechs Handlungsfelder, die für die Realisierung einer sicheren Industrie 4.0 von entscheidender Bedeutung sind. Hierzu zählt die Erarbeitung von Bauanleitungen und Mindeststandards: Anlagenplaner, Integratoren und Betreiber benötigen konkrete Leitfäden für Planung und Betrieb von Systemen. Für die Modernisierung bestehender Anlagen braucht es darüber hinaus auch ein Reifegradmodell, mit dem sich Übergangsstrategien entwickeln und die dafür notwendigen Investitionen verlässlich planen lassen.

Ein weiteres wichtiges Thema ist Security by Design, also die Berücksichtigung von IT-Sicherheit bereits in Planung und Entwurf. Hierfür gilt es, Methoden und Werkzeuge zu entwickeln, die den technischen und organisatorischen Anforderungen der industriellen Welt gerecht werden. Um ausreichende Verlässlichkeit in der Industrie 4.0 zu gewährleisten, so das Expertengremium, braucht es außerdem eine Vertrauensinfrastruktur, die verlässliche Identitäten und Systemintegrität entlang von Wertschöpfungsketten gewährleistet. Als Basis hierfür sehen die Experten die kryptografisch basierte Ende-zu-Ende-Sicherheit. Diese müsse in Referenzarchitekturen praktisch erprobt werden. Hierzu gehören auch Systeme, welche die Integrität von cyberphysischen Systemen prüfen und Angriffe automatisch erkennen und abwehren können.

Weitere Informationen zumThema:

Fraunhofer SIT
Eberbacher Gespräch zu »Sicherheit in der Industrie 4.0«

[datensicherheit.de, 16.04.2014] Die aktuelle Heartbleed-Schwachstelle zeigt, wie wichtig es ist, die Softwaresicherheit zu verbessern. Konkrete Handlungsempfehlungen dazu diskutierten IT-Experten im Eberbacher Gespräch zu Software Security . Neben der Entwicklung besserer Testwerkzeuge fordern die Teilnehmer, die Sicherheit von Software bei öffentlichen Ausschreibungen stärker zu berücksichtigen sowie eine Diskussion der Haftungsfragen. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Ergebnisse jetzt in einem Bericht veröffentlicht, der die wichtigsten Herausforderungen und passende Lösungsansätze beschreibt. Unter www.sit.fraunhofer.de  lässt sich das Positionspapier kostenlos herunterladen.

Software ist heute so komplex, dass Menschen selbst schwerwiegende Fehler trotz intensiver Prüfung nicht erkennen können.  So bemerkte auch der Prüfer im Heartbleed-Fall den Fehler nicht. Dabei handelte es sich um Open-Source-Software, deren Programmcode sogar öffentlich einsehbar und nachprüfbar ist. Wie bei vielen Open-Source-Projekten nutzten Unternehmen den kostenlosen Code und sorgten so unabsichtlich für eine Verbreitung des Fehlers. „Das Beispiel zeigt, wie wichtig es ist, die Sicherheitsqualität von Programmcode vor dem Einsatz besser zu prüfen, und wie gefährlich die Nutzung von fremdem Code ist“, sagt Prof. Michael Waidner, Leiter des Fraunhofer SIT und Direktor des BMBF-Komptenzzentrums European Center for Security and Privacy by Design (EC SPRIDE). „Auch wenn noch nicht klar ist, welche Schäden durch die Schwachstelle entstanden sind, zeigt das Beispiel doch erneut, dass es wesentlich teurer ist, Softwarefehler nachträglich zu beheben, als sie in der Entwicklungsphase zu beseitigen.“

Um die Entwicklung sicherer Software zu fördern, erarbeiteten die Teilnehmer des Eberbacher Gesprächs sieben konkrete Empfehlungen: Dazu zählt neben der Beantwortung der Haftungsfrage die Entwicklung von flexiblen Sicherheitsprozessen, die sich auch für kleine und mittlere Softwarehersteller eignen. Neben einer verbesserten Ausbildung von Programmierern sollten auch die Vergaberichtlinien für Behörden so geändert werden, dass Mindestanforderungen hinsichtlich der IT-Sicherheit erfüllt werden. Um  Unternehmen Anreize zu geben, die Sicherheit eingesetzter Software zu erhöhen, müssen Manager die Kostenvorteile von sicherer Software berechnen können, etwa mit Hilfe von neuen quantitativen Modellen. Darüber hinaus braucht es nach Meinung der Teilnehmer auch neue Zertifizierungsmethoden, die dem rasanten Tempo der Softwareentwicklung entsprechen sowie neue Tools zur Schwachstellen-Analyse. „Gerade im Bereich der automatisierten Testwerkzeuge ist die deutsche Forschung besonders stark“, sagt Michael Waidner. „Neue Methoden erlauben es zum Beispiel, Fehler im Programmcode schneller und besser zu finden. Diese Ansätze gilt es jetzt, in Produkte zu verwandeln.“ Auf lange Sicht könnte sich auch eine Haftungsklärung positiv auf IT-Sicherheit und Datenschutz auswirken.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2014
Appicaptor: Start für App-Security-Test

datensicherheit.de, 07.03.2014
Schwachstellen-Scanner: Autokorrektur für Android-Entwickler

[datensicherheit.de, 14.03.2014] Welche Apps dürfen Angestellte gefahrlos auf Firmen-Tablets und Smartphones laden, ohne die Sicherheit des Unternehmens zu gefährden? Auf der CeBIT 2014 präsentiert das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit Appicaptor ein Werkzeug zur automatisierten Sicherheitsprüfung von Apps, das Unternehmen einfach und unkompliziert nutzen können. Appicaptor ist ab sofort als Testdienst für Android- und iOS-Apps verfügbar. Unterstützt wurde die Produktisierung von Appicaptor durch CIRECS — Center for Industrial Research in Cloud Security.

Viele Apps enthalten Schwachstellen, die Angreifer ausnutzen können, um Zugriff auf Passwörter oder sensible Unternehmensdaten zu erhalten. Wenn Mitarbeiter auf firmeneigene Tablets und Smartphones wahllos Apps installieren, gehen Unternehmen deshalb hohe Risiken ein. Ob eine App die notwendigen Sicherheitsanforderungen erfüllt, können Unternehmen jetzt mit dem Appicaptor-Testdienst prüfen: Der Auftraggeber bestimmt Apps und Testkriterien. Appicaptor liefert Testberichte, mit deren Hilfe IT-Leiter entscheiden können, welche App sie für ihr Unternehmen zulassen. Da Apps oft aktualisiert werden, wiederholt Appicaptor den Test regelmäßig und sorgt so für einen aktuellen Wissenstand. „Appicaptor richtet sich vor allem an Unternehmen, die viele Apps prüfen möchten. Unser Testdienst funktioniert wie ein Abo“, sagt Jens Heider vom Testlab Mobile Security am Fraunhofer SIT. „Unternehmen können die Ergebnisse sofort nutzen, ohne vorher etwas installieren zu müssen.“

Appicaptor erstellt zu jeder Android- oder iOS-App einen individuellen Testbericht. Diese sind so angelegt, dass auch Menschen ohne tiefe IT-Sicherheitskenntnisse auf ihrer Basis qualifizierte Entscheidungen treffen können. Im nächsten Schritt können Unternehmen mit Appicaptor eine Whitelist unbedenklicher Apps erstellen, die Mitarbeiter auf ihren mobilen Endgeräten nutzen dürfen. Alternativ ist auch die Erstellung einer Blacklist mit verbotenen Anwendungen möglich, die nicht die IT-Sicherheitsrichtlinien des Unternehmens erfüllen. Weiterhin können Unternehmen selbst entwickelte Apps oder Apps aus firmeneigenen App-Stores regelmäßig automatisiert auf Schwachstellen testen.

Gefördert wurde die Entwicklung von Appicaptor im Rahmen des Projekts CIRECS — Center for Industrial Research in Cloud Security. CIRECS ist ein gemeinschaftliches Vorhaben des Fraunhofer SIT und des House of IT, beide mit Sitz in Darmstadt. CIRECS hat es sich zum Ziel gesetzt, wichtige und praktisch relevante IT-Sicherheitsfragen im Zusammenhanb mit der Nutzung von Cloud Computing zu behandeln. Dazu gehören auch Technologien, mit denen Anwender auf Cloud-Dienste und Infrastrukturen zugreifen. Im Rahmen des Projekts werden Cloud-Innovationen entwickelt, die Unternehmen IT-Sicherheit und Datenschutz bieten. CIRECS wird vom Hessischen Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung (HMWEVL) mit Mitteln aus dem europäischen Fonds für regionale Entwicklung (EFRE) gefördert.

Weitere Informationen zum Thema:

Fraunhofer SIT
Appicaptor – Testwerkzeug für App-Sicherheit

CIRECS
Center for Industrial Research in Cloud Security

datensicherheit.de, 12.03.2014
Web-Tracking-Report 2014: Lagebericht des Fraunhofer SIT

[datensicherheit.de, 12.03.2014] Das Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt hat den Web-Tracking-Report 2014 veröffentlicht. Über ein Jahr haben Mitarbeiter des Instituts regelmäßig mehr als 1600 von Deutschlands beliebtesten Internet-Auftritten analysiert und geprüft, in welchem Umfang dort das Nutzerverhalten durch Web-Tracking erfasst wird: Oft sind 50 verschiedene Tracker auf den Webseiten eines einzigen Anbieters aktiv und sammeln Daten. Für Verbraucher können dadurch unerwartete Nachteile entstehen, etwa schlechtere Konditionen bei Krankenversicherungen oder Benachteiligungen beim Online-Shopping. Die Studie liefert einen umfangreichen Überblick über die aktuelle Praxis, Risiken und Schutzmöglichkeiten. Sie ist im Internet kostenlos verfügbar.

© Fraunhofer SIT

Fraunhofer SIT Web Tracking Report 2014

Auf vielen Webseiten wird das Surf-Verhalten der Nutzer überwacht. Was viele nicht wissen: Oft sammeln nicht nur die Betreiber der Web-Angebote Informationen, sondern im Hintergrund überwachen auch fremde Tracker das Online-Verhalten. Auf einzelnen Seiten fanden die Fraunhofer-Forscher Spitzenwerte mit über 100 dieser Datensammler. Sind diese Tracker bei mehreren Web-Angeboten aktiv, können sie sich ein sehr umfangreiches Bild von einzelnen Seitenbesuchern machen. So lassen sich mitunter Bezüge zum realen Namen und Wohnort herstellen. „Bestimmte Tracker waren über den Analysezeitraum auf mehr als 70 Prozent der von uns beobachteten Seiten aktiv“, sagt Dr. Markus Schneider, stellvertretender Leiter des Fraunhofer SIT und Hauptautor des Berichts, „dadurch können diese Tracker sich ein umfassendes Bild über einzelne Verbraucher und ihre Vorlieben machen, ohne dass dies den Besuchern der Webseiten bewusst ist.“

Die Wissenschaftler des Fraunhofer SIT haben recherchiert, was weltweit über die Verwendung von Tracking-Daten bisher bekannt geworden ist, und weisen auf weitere risikoreiche Verwertungsmöglichkeiten hin. „Auch wenn die Daten heute vorrangig für zielgerichtete Werbung gesammelt werden, so ist die Verwertung der Daten nicht auf diesen Zweck beschränkt“, sagt Schneider. So lassen sich die Daten zum Beispiel nutzen, um Risikofaktoren aus dem Internetverhalten abzuleiten, Kreditwürdigkeit von Verbrauchern oder Gesundheitsrisiken von Krankenversicherten abzuschätzen. Da Tracker in vielen Fällen die gesammelten Daten mit der echten Identität eines Verbrauchers in Verbindung bringen können, sind auch Verwertungen außerhalb der Online-Welt denkbar. „Die gesammelten Daten sind eine Art Rohstoff, der über zielgerichtete Werbung hinaus viele weitere Geschäftsmodelle ermöglicht“, sagt Schneider. „Verbraucher können sich vor Tracking-Aktivitäten schützen, indem sie entsprechende Werkzeuge verwenden.“ Ein Beispiel ist die Tracking-Protection-Liste des Fraunhofer SIT. Die Liste wird regelmäßig aktualisiert und Verbraucher können sie sich im Internet unter www.sit.fraunhofer.de/tpl kostenlos herunterladen. Die unabhängige Studie wurde von Microsoft finanziell unterstützt.

Weitere Informationen zum Thema:

Fraunhofer SIT
Web-Tracking-Report 2014

Fraunhofer SIT
Trackimg Protection List

shopbetreiber-blog.de, 12.03.2014
Datenschutzverstöße beim Webtracking abmahnfähig

datensicherheit.de, 12.06.2012
Wieso Webtracking zur Zeit ein Risiko darstellen kann

[datensicherheit.de, 07.03.2014] Das Fraunhofer-Institut für Sichere Informationstechnologie hat einen Schwachstellen-Scanner für Android veröffentlicht, mit dem App-Entwickler SSL-Sicherheitslücken automatisch finden und schließen können. Die Software ist im Internet kostenlos unter herunterladbar und ist ein Ergebnis aus dem vom Bundesministerium für Bildung und Forschung geförderten European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt. Dort entstanden neue Testwerkzeuge für Android- und Java-Code, die sich direkt in die Entwicklungsumgebung integrieren lassen und neue Analyseverfahren nutzen. Diese ermöglichen es,  auch schwer zu findende Fehler im Programm-Code äußerst schnell ausfindig zu machen. Werkzeuge und Verfahren stellt das Fraunhofer-Institut vom 10. bis zum 14. März auf der CeBIT in Hannover vor (Halle 9, Stand E40).

Viele Sicherheitslücken entstehen durch einfache Programmierfehler, die sich aufgrund der Komplexität heutiger Software-Produkte kaum vermeiden lassen. Oft besteht eine Software aus vielen Programm-Teilen, die von ganz unterschiedlichen Programmierern geschrieben wurden. Das Zusammenspiel der verschiedenen Teile ist für Menschen schon längst nur noch schwer nachvollziehbar. Deshalb nutzen Software-Unternehmen heute Testwerkzeuge, mit denen sich Programmcode automatisch prüfen lässt. Herkömmliche Schwachstellen-Scanner, die man auf dem eigenen Rechner betreiben kann, finden jedoch nur einfache Fehler. Um komplexere Sicherheitslücken im Programm-Code aufzuspüren, mussten Software-Unternehmen bislang den eigenen Code zum Beispiel von teuren Testdiensten aus Übersee analysieren lassen. Die Ergebnisse erhalten die Unternehmen jedoch erst zeitverzögert, wenn die Entwickler vielleicht schon mit ganz anderen Dingen beschäftigt sind.

Prof. Dr. Eric Bodden vom Fraunhofer SIT  und sein Team am Cybersicherheitszentrum EC SPRIDE haben deshalb effiziente Analyse-Verfahren entwickelt und in Testwerkzeuge integriert. Diese neuen  Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben, aber sie sind mächtiger als die teuren Analysedienste und finden mehr komplexe Fehler in kürzerer Zeit. Die CodeScan-Werkzeuge der Darmstädter Forscher liefern die Ergebnisse zum Teil schon in Millisekunden. Möglich machen das neue Analyse-Verfahren, die auch komplexe Wechselwirkungen im Code schnell prüfen können. „Sichere Software-Entwicklung ist wie ein Labyrinth“, sagt Bodden, „es ist ganz leicht falsch abzubiegen, aber sehr schwer, den richtigen Weg zu finden. Deshalb nutzen die Unternehmen Testwerkzeuge, um möglichst schnell zum Ziel zu kommen. Mit herkömmlichen Testwerkzeugen können Entwickler aber gerade mal um die nächste Ecke schauen. Mit unseren Tools blicken sie zehn Ecken voraus.“  Die Analyseverfahren lassen sich auf unterschiedliche Programmiersprachen anwenden und auch für bestimmte Aufgaben optimieren.

Das aktuelle Analysewerkzeug unterstützt beispielsweise hochkomplexe Datenflussanalysen. Ein einfacheres, aber in der Praxis sehr relevantes Beispiel ist der jetzt veröffentlichte Scanner für SSL-Schwachstellen. Dabei handelt es sich um ein Eclipse-Plug-In, das Programmierer problemlos in typische Entwicklungsumgebungen integrieren können. Das Testwerkzeug hilft App-Entwicklern dabei, fehlerhafte Verwendungen des Secure Socket Layer-Protokolls (SSL) in Android Code zu finden und kann als Open-Source-Software kostenlos genutzt werden. Wie groß das SSL-Problem für Apps ist, zeigte sich im vergangenen Jahr, als das Fraunhofer SIT entsprechende Fehler in zahlreichen Apps entdeckte, die für die Nutzer zum Teil mit großen Risiken verbunden waren.

Weitere Informationen zum Thema:

datensicherheit.de. 05.03.2014
Forscher testen 10.000 Android-Apps auf mögliche Sicherheitsmängel

datensicherheit.de, 23.04.2013
SRT Appguard: Erfolgreiche Anti-Spionage-App

[datensicherheit.de, 05.10.2013] Jede App, die ein Mitarbeiter auf einem mobilen Gerät installiert, stellt für sein Unternehmen ein Sicherheitsrisiko dar. Fraunhofer SIT hat deshalb „Appicaptor“ entwickelt – ein Testwerkzeug, das prüft, ob Apps die Sicherheitsanforderungen von Unternehmen erfüllen.

Drei Viertel aller geprüften Apps durchgefallen

Das Testwerkzeug wird gegenwärtig zur Analyse von „iOS“- und „Android“-Apps verwendet, sei jedoch auf andere Plattformen erweiterbar.
Die Sicherheitsüberprüfung einer App dauere durchschnittlich zehn Minuten. Wie wichtig eine solche Prüfung ist, zeigten Probeläufe mit Pilotkunden für „iPhone“-Apps, denn von den 400 beliebtesten Business-Apps, die mit „Appicaptor“ geprüft wurden, hätten über 300 nicht die Sicherheitsanforderungen des Unternehmens erfüllt.
Dabei hätten sie nur einen kleinen Ausschnitt der Sicherheitsanforderungen aus dem Gesamtkatalog geprüft, sagt Dr. Jens Heider, Abteilungsleiter am Fraunhofer SIT und Chefentwickler von „Appicaptor“.
Das Institut zeigt das Testwerkzeug nun erstmals vom 8. bis zum 10. Oktober 2013 auf der „it-sa“ in Nürnberg.

Apps als Einfallstore

Adressbuch, E-Mails, Passwörter – viele Nutzer wissen nicht, worauf ihre Apps zugreifen und was mit ihren Daten passiert. Darüber hinaus können Apps auch Schwachstellen enthalten, die für Unternehmen ein großes Risiko bedeuten. Denn Angreifer können solche Sicherheitslücken für Sabotage oder Wirtschaftsspionage nutzen, auch wenn sie selbst die Apps nicht programmiert haben. Die Sicherheitsprüfungen der verschiedenen App-Stores suchten nicht ausreichend nach Schwachstellen-Indikatoren, deshalb hätten sie „Appicaptor“ entwickelt“, erläutert Dr. Heider.

Foto: Fraunhofer-Institut für Sichere Informationstechnologie, Darmstadt

Motiv zur Entwicklung von „Appicaptor“: Apps als Einfallstore mit hohem Schadenspotenzial

„Appicaptor“ auch für Nutzer ohne tiefgreifendes Know-how der IT-Sicherheit

„Appicaptor“ generiert neben Black- oder Whitelists auch einen Testbericht, in dem die Ergebnisse detailliert beschrieben sind. Dadurch unterstütze das Werkzeug Unternehmen bei der Risikobewertung und der Einhaltung von Compliance-Vorschriften. Sie hätten bei der Entwicklung besonderen Wert darauf gelegt, dass auch Nutzer und Entscheider ohne tiefgreifendes Know-how in Sachen IT-Sicherheit das Risiko einschätzen können, so Dr. Heider. Bei Bedarf führten sie für unsere Kunden auch Tiefenanalysen durch, zum Beispiel bei sicherheitssensitiven Anwendungen wie Banking-Apps.
Derzeit bietet Fraunhofer SIT „Appicaptor“ nur im Rahmen von forschungsgestützten Dienstleistungen an. Dr. Heider und sein Team entwickeln das Testwerkzeug ständig weiter und fügen neue Prüfkriterien hinzu. Der Transfer der Forschungsergebnisse in die Praxis wird unterstützt durch den europäischen Fonds für regionale Entwicklung (EFRE).

Weitere Informationen zum Thema

Fraunhofer SIT
Appicaptor / Testwerkzeug für App-Sicherheit