Digital Security
Director Prof. Dr. Eric Bodden
Manager Dr. Simon Oberthür
1. Motivation
Im Zeitalter der digitalen Transformation durchdringen Informations- und Kommunikationstechniken (IKT) nahezu alle Bereiche. Einhergehend damit werden immer mehr verteilte Systeme – Cloud-Computing, Ubiquitous Computing, Service Oriented bzw. Microservice Architekturen – genutzt. Das damit verbundene verteilte Rechnen und das Speichern von Daten in virtuellen Umgebungen erfordert zum einen eine erhöhte Kommunikation, zum anderen das Nutzen externer Anbieter. Industrie 4.0 & IIoT sind hier gute Anwendungsbeispiele für den Wandel durch zunehmende Digitalisierung.
Unter dieser Ausgangslage – nämlich den Einsatz komplexer Systeme und die ständige Konnektivität („always on“) – können leicht Sicherheitslücken entstehen. Grundziele der IT-Sicherheit sind entsprechend das Aufrechterhalten der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität, usw.) und der Schutz der Persönlichkeitsrechte (Privacy und Datenschutz).
Daraus ergeben sich verschiedene Herausforderungen, wie beispielsweise
-
Was muss beim Entwurf beachtet werden, damit im Betrieb die gewünschten Sicherheitseigenschaften eingehalten werden?
-
Wie kann Sicherheit trotz unsicherer Netzwerke und teilweise unsicheren Ausführungsplattformen gewährleistet werden?
-
Wie können die gewünschten Sicherheitseigenschaften effizient (Ressourcen, Organisation) umgesetzt werden?
-
Wie können die Privatsphäre geschützt und GDPR-compliant umgesetzt werden?
-
Wie kann ein sicherer (mobiler) Zugriff auf Daten in der Cloud realisiert werden? Wie müssen Zugriffskontrollen in diesem Szenario aussehen? Ist dafür SAML, OpenID Connect oder OAuth geeignet?"
-
Wie werden sich Quantencomputer auf die IT-Sicherheit auswirken?
-
Welche neuen Techniken der IT-Sicherheit und Kryptografie bieten Potenzial für innovative Produkte und Sicherheitslösungen?
-
Wie können Systeme gegen Angriffe von morgen abgesichert werden?
-
Wie können Sicherheitseigenschaften hinreichend auf IoT-Geräten mit wenig Ressourcen umgesetzt werden?
-
Wie müssen Webtechnologien abgesichert werden, damit sie heutigen Angriffen standhalten?
-
Wie kann Fuzzing effizient eingesetzt werden, um potentielle Sicherheitslücken in den Implementierungen zu finden?
2. Anwendungsfelder
Permanente Konnektivität und die verteilte – in cloudbasierten Systemen oft auch transparente – Platzierung von Daten bieten Zugriff auf diese von überall und eröffnen eine Vielzahl von neuen Angriffsmöglichkeiten. Diese neuen Anforderungen verlangen nach neuen Verfahren im Bereich IT-Sicherheit und Kryptografie.
Homomorphe Verschlüsselung ermöglichen es auf verschlüsselten Daten Berechnungen durchzuführen. So können zum Beispiel Berechnungen verschlüsselt in eine Cloud ausgelagert werden, ohne dass der Clound-Betreiber die Daten "sehen" kann, auf denen er rechnet.
- Wie können diese Verfahren effizient in der Praxis eingesetzt werden?
- Wie lässt sich der korrekte Einsatz kryptografischer Verfahren im Anwendungscode sicherstellen?
Moderne Zugangskontrollmechanismen ermöglichen einen wesentlich flexibleren Schutz von Daten als klassische Passworte. Dabei können sie optional auch den Schutz der Privatsphäre von Nutzern deutlich verbessern. Welche neuen Verfahren gibt es hier und wie können sie eingesetzt werden?
Da Programmfehler und/oder Softwarefehler ("bugs") nicht ausgeschlossen werden können, müssen Systeme deshalb updatefähig gestaltet werden.
Projekte (Auswahl)
-
Sonderforschungsbereich 901 - On-The-Fly Computing
-
Sonderforschungsbereich 1119 - CROSSING (TU Darmstadt)
-
Static Analysis Method and Tooling to Detect Insecure Usages of Crypto APIs (Oracle Inc.)
-
IntelliScan: Intelligent developer support for static vulnerability analyses (MKW NRW)
-
TESTIFY: Finding and Demonstrating Undesired Program Behavior (DFG)
-
Security-by-Design von Java-basierten Applikationen
-
Securing the Financial Cloud (BMBF Verbundprojekt 16KIS0062)
-
KogniHome (BMBF Verbundprojekt 16SV7055)
-
Digitale Zukunft - NRW Forschungsschwerpunkt
Industrie 4.0 wird stark durch datengetriebene Innovation definiert, die über eine intelligente Vernetzung von Maschinen und Abläufen erreicht wird. Flexible Produktion, wandelbare Fabriken, kundenzentrierte Lösungen und optimierte Logistik sorgen in diesem Kontext für eine hohe Dynamik und dezentrale Datenverarbeitung mit hohem Kommunikationsaufkommen. Der Kompetenzbereich erforscht wie Daten und Steuerung vor Angriffen geschützt werden können. Nachfolgend einige Anwendungsbeispiele:
Bedrohungsanalysen können helfen, auf IoT-Geräten einwirkende Bedrohungen frühzeitig zu erkennen und durch die Einführung und Umsetzung eines Secure Development Lifecycles beweisbar sicher zu vermeiden.
Automatisierte Test-Werkzeuge können Systeme einer Sicherheitsüberprüfung (Pentesting) unterziehen und so Schwachstellen aufzeigen.
Prozessdaten sind in vielen Firmen schützenswerte Güter, gleichzeitig unterliegen die Firmen einer gewissen Nachweispflicht. Hier kann Kryptografie helfen, nachträglich das Anfallen von Daten zu einem speziellen Zeitpunkt nachzuweisen.
Projekte (Auswahl)
-
Sichere Auslagerung von Daten und Steuerung in die Cloud
-
Kryptographischer Schutz von Vertraulichkeit und Integrität von Daten
-
Innovative Lösungsansätze, z.B. Blockchain-Technologie
-
Sicherheitsanalysen von IoT-Produkten aus den Bereichen Industrieautomatisierung und SmartHome
-
Einführung eines Secure Development Lifecycles (nach IEC 62443)
-
Marktintegration für die sichere Heimautomatisierung
3. Technologien und Methoden
Secure software by design
-
Automatisierte Methoden und Werkzeuge zum Auffinden von Sicherheitsschwachstellen im Programmcode
-
Methoden und Werkzeuge zur Bedrohungsmodellierung und Risikoabschätzung
-
Sicherere Programmiermodelle, Software- und Systemarchitekturen
-
Mechatronische Systeme "Secure by Design", durch integrierte modell-getriebene Verfahren
-
Langlebige Sicherheit (Update, Laufzeit, Authentizität, Kompatibilität)
Secure cryptographic primitives by design
-
Verschlüsselung, Authentifizierung, Integrität mit zusätzlichen Eigenschaften und beweisbarer Sicherheit
-
Post-Quantum kryptographische Verfahren (u.a. gitterbasierte)
-
Credential Systems
-
Blockchains und ihre Anwendungen
Secure communication by design
-
Entwicklung und Einsatz von kryptographischen Kommunikationsprotokollen, TLS 1.3, 0-RTT Protokolle und ihre Sicherheit
-
Methoden zur formalen Sicherheitsanalyse
-
Entwicklung von Tools für intelligentes Protokoll-Fuzzing und Test-Automatisierung
-
Analyse von neuartigen Seitenkanalangriffen
-
Scanning von Netzwerken für potentielle Angriffe
4. Digital Security Team
- FG Codes und Kryptographie Prof. Dr. Johannes Blömer
- FG Softwaretechnik Prof. Dr. Eric Bodden
- FG IT-Sicherheit Prof. Dr. Patricia Arias Cabarcos
- Medienpädagogik und empirische Medienforschung Prof. Dr. phil. Dorothee Meister
- Zentrum für Informations- und Medientechnologien (IMT) Prof. Dr. Gudrun Oevel
- Didaktik der Informatik Prof. Dr. Carsten Schulte
- System Security Prof. Dr.-Ing. Juraj Somorovsky
Ihre Ansprechpartner
Fragen, Anregungen oder Interesse? Wir freuen uns über Ihre Nachricht.