CAST-Workshop

Mobile und Embedded Security

Termin: 01.06.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstraße 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Kpatcha Bayarou
Fraunhofer SIT
Kpatcha Bayarou
Kerstin Lemke-Rust
Hochschule Bonn-Rhein-Sieg
Kerstin Lemke-Rust
10:10
Marion Steiner
IT-Security@Work GmbH
Marion Steiner
Einsatz von mobilen und eingebetteten Systemen in der "intelligenten" Produktion

Moderne Produktionsmaschinen sind heute eine Form von Computer geworden. Allerdings keine für den Nutzer/Betreiber hoch anpassbaren Versionen wie wir sie aus der Office IT kennen, sondern streng nach dem ausgerichtet, was für die definierte Funktion der Maschine benötigt wird. Unter der Oberfläche verstecken sich aber häufig die gleichen Produkte, wie Linux- oder Windows-Systeme in unterschiedlichen Formen, die aber in der Regel nur vom Hersteller anpassbar sind. Der Betreiber und die Nutzer haben nur eingeschränkte Möglichkeiten der Konfigurationen. Sicherheitsmaßnahmen, die bei Office-IT Best-Practice sind, sind so nicht 1:1 in die Produktion übertragbar, obwohl sie im Zuge der Digitalisierung genauso benötigt werden: die Anforderungen an die Vernetzung der Maschinen nimmt zu, und die in der IT bekannten Schwachstellen finden sich nun auch in der Produktion. Der Vortrag geht auf typische Sicherheitsprobleme bei Produktionsmaschinen ein und gibt einen Überblick über Sicherheits- und Risikoszenarien durch den Einsatz von "intelligenten" Maschinen", predicitve Maintenance und mobilen Geräten zur Produktionssteuerung in mittelständischen Produktionsumgebungen.

10:45
Bernd Borchert
Borchert IT-Sicherheit UG
Bernd Borchert
Die Sicherheit von Smartphones als Fernsteuerungsgeräte für IoT-Devices

Bei der Fernsteuerung von IoT-Geräten ist die via Smartphone besonders praktisch, denn das Smartphone ist meistens zur Hand. Ein typisches Beispiel aus dem privaten Bereich wäre das Öffnen der Haustür aus der Ferne ("Smart Lock") mit dem Smartphone. Unter all den Sicherheitsgefahren dabei soll es in diesem Vortrag darum gehen, welche Gefahr ein Trojaner auf dem Auslöse-Smartphone darstellt. Ein Trojaner könnte beispielsweise Passwort und andere Credentials auf dem Smartphone abhören und dann mit diesen Credentials zu beliebiger Zeit selber von diesem Smartphone aus eine relevante Aktion des IoT Geräts auslösen, und zwar heimlich, d.h., unbemerkt vom Benutzer. Im Beispiel des Smart Locks wäre das z.B. das Öffnen der Haustür. Der Vortrag stellt diese Gefahren dar und prüft, ob Erweiterungen des Smartphones wie z.B. Secure Element, Trusted Zone oder Biometrie (Fingerprint, etc.) vor dieser Gefahr schützen. Als alternative Lösung wird vorgeschlagen, das Auslösen von relevanten IoT-Aktionen mit einem Hardware Token zu bestätigen, das per NFC oder Bluetooth mit dem Smartphone kommuniziert. Idealerweise zeigt das Token dem Benutzer die geplante Aktion auf einem Display an ("Haustür öffnen?"). Es wird eine flexible Smartcard mit Display und Bluetooth vorgestellt, die genau diese Aufgabe erfüllt.

11:20 Kaffeepause
11:50
Matthias Hirsch
BSI
Technische Lösung des BSI zur Absicherung mobiler Plattformen

In der Behördenwelt definiert sich IT-Sicherheit entlang offizieller Einstufungsgrade für Verschlusssachen, wie "Nur für den Dienstgebrauch", "Vertraulich", "Geheim" oder "Streng Geheim". Wie sehen mobile Syteme aus, die solche behördliche Sicherheitanforderungen erfüllen sollen? Wie werden die Sicherheitsanforderungen vor dem Hintergrund der kurzlebigen Smartphone und Tablet-Generationen in Bundesbehörden umgesetzt? Und wie gehen Bundesbehörden mit den enormen Möglichkeiten von Apps aus App Stores um, ohne die Sicherheit ihrer Systeme zu gefährden?

Der Vortrag stellt die Herausforderungen der Smartphones und Tablets in Bundesbehörden und die Möglichkeiten eines sicheren Betriebs dar. Vor diesem Hintergrund werden die bereits vom BSI zugelassenen mobilen Systeme vorgestellt.

12:25
Sandro Amendola
SRC GmbH
Sandro Amendola
Umsetzung der Zahlungsdienstrichtlinie PSD2: „Starke Authentifizierung“ bei mobilen Lösungen und „Banken-Schnittstelle für Dritte“

Die neue Zahlungsdienstrichtlinie PSD2 der Europäischen Union enthält Anforderungen, die zukünftig bei der Konzeption und dem Betrieb technischer Anwendungen durch kontoführende Institute zu berücksichtigen sind. Im Vortrag werden die Anforderungen der PSD2 zu den Themengebieten "Starke Kundenauthentifizierung" und "Bankenschnittstelle für Dritte" aus Sicht der IT-Sicherheit erläutert. Die sicherheitstechnischen Anforderungen werden interpretiert und mögliche Lösungen zur Erfüllung der Anforderungen aufgezeigt. Dabei stehen mobile Lösungen bei der Erfüllung der Anforderungen zur "Starke Kundenauthentifizierung" im Mittelpunkt der Betrachtung. In Bezug auf die "Bankenschnittstelle für Dritte" wird eine aktuell in der Diskussion befindliche Lösung zur Absicherung der Schnittstelle vorgestellt.

13:00 Mittagsbuffet
14:10
Stephan Huber
Fraunhofer SIT
Passwort Manager Dos and Don’ts: Design-Fehler und Verwundbarkeiten in Sicherheitskritischen Android Apps

Jeder kennt das Problem aus seinem Alltag, wie war gleich nochmal das Passwort für diesen Dienst oder für diese E-Mail Adresse. Aus Sicherheitsgründen sollte man nicht zweimal dasselbe Passwort verwenden, weiterhin sollten jene auch eine entsprechende Länge und Komplexität aufweisen, um als sicher zu gelten. Als eine gute Lösung für diese Problematik haben sich Passwort Manager-Anwendungen herausgestellt. Neben den klassischen Desktop Lösungen gibt es auch Passwort Manager-Apps für Smartphones. Damit sollten prinzipiell alle wichtigen Passwörter oder anderweitigen Geheimnisse sicher und zentral auf einem Gerät gespeichert sein.

Eine Gruppe von Wissenschaftlern am Fraunhofer SIT hat mehrere bekannte und weit verbreitete Password Manager-Apps für Android auf deren Sicherheit untersucht. In dem Vortrag werden die Ergebnisse dieser Untersuchung vorgestellt. Dabei werden generelle Verwundbarkeiten, mögliche Angriffe und Implementierungsfehler in diesen Applikationen aufgezeigt. Weiterhin werden mögliche Schutzmaßnahmen und Best-Practice Ansätze diskutiert, welche Passwort Manager bzw. allgemeine Krypto-Containerlösungen in der Praxis umsetzen sollten.

14:45
Martin Wundram
DigiTrace GmbH
Martin Wundram
Anti-Forensik und andere Herausforderungen bei der IT- forensischen Untersuchung von Smartphones

Smartphones und andere Mobilgeräte sind mittlerweile praktisch omnipräsent sowie immer öfter wesentlicher oder sogar einziger relevanter Spurenträger. Es ist jedoch gefährlich, blind den Ergebnissen der verfügbaren IT-Forensik-Werkzeugen zu vertrauen. Denn neben offensichtlichen Herausforderungen wie der häufigen Schwierigkeit Geräte auch inkl. gelöschter Bereiche vollständig oder ohne Root-Rechte auszulesen, drohen besonders bei Live-Forensik auch mittels Anti- Forensik platzierte Gegenmaßnahmen, sowie simple Verarbeitungsfehler. Der Vortrag beleuchtet diese Gefahren und skizziert Handlungsmöglichkeiten.

15:20 Kaffeepause
15:50
Johann Heyszl
Fraunhofer AISEC
Johann Heyszl
Hardware-nahe IT-Sicherheit im Eingebetteten IoT

Der Vortrag konzentriert sich auf Hardware-nahe IT-Sicherheit von Sicherheitschips und allgemeineren Chip-Platformen für eingebettete Systeme. Dabei werden wichtige Angriffe und Gegenmaßnahmen aus dem neuesten Stand der Technik diskutiert und deren Relevanz für allgemeine (mobile) eingebettete Systeme dargestellt.

16:25
Falko Strenzke
cryptosource GmbH
Falko Strenzke
Sichere und leichtgewichtige TLS Kommunikation für eingebettete Systeme

Im Zuge der wachsenden Vernetzung eingebetteter Systeme im Rahmen von IoT und Industrie 4.0 wird die Realisierung von Sicherheit auch auf stark ressourcenbeschränkten Plattformen immer wichtiger. Die Absicherung der Kommunikation mittels kryptographischer Algorithmen und Protokolle wie TLS bildet dabei einen wesentlichen Baustein. Anhand der Softwarebibliothek fleaTLS werden die wesentlichen Aspekte und Alternativen, die beim Einsatz von kryptographischen Software- und Hardwarelösungen auf Microcontrollerplattformen von Bedeutung sind, erläutert.

Anmeldung und Preise

Generell können Sie sich bis zum Veranstaltungstag anmelden. Stichtag für eine Anmeldung zum Frühbucherrabatt ist der 22.05.2017, danach gilt der normale Teilnehmerbetrag. Um den Workshop optimal vorbereiten zu können bitten wir Sie, von dieser Möglichkeit Gebrauch zu machen. Für Schüler, Auszubildende und Studenten können Sonderkonditionen eingeräumt werden.

Bei Anmeldung ... bis zum Stichtag nach dem Stichtag
Teilnahmegebühr des Workshops 250,00 € 300,00 €
für Inhaber eines CAST-Leistungspaketes 125,00 € 150,00 €

Alle Preise inkl. 7% MwSt.

Um den reduzierten Tarif in Anspruch nehmen zu können, beantragen Sie bitte umgehend das CAST Leistungspaket.

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Kpatcha Bayarou (Mobile Security)
Fraunhofer SIT
E-Mail:

Kerstin Lemke-Rust
Hochschule Bonn-Rhein-Sieg
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Bitte beachten Sie, dass wir Anmeldungen zu unseren Veranstaltungen nur über das Online-Formular nicht jedoch über unsere Fax-Nummern entgegen nehmen können.

Wichtige Links

<www.bahn.de Anreisebutton>

Route berechnen

Start

z.B. Kantstraße 1, Berlin
Ziel
CAST e.V.
Rheinstraße 75
64295 Darmstadt