Interview mit Security-Päpstin
»Per Update lässt sich das nicht nachrüsten!«
Fortsetzung des Artikels von Teil 2
» SPSen brauchen ein Secure-Element «
Jetzt bin ich auf Ihre Lösung gespannt …
Jede Komponente braucht ein Secure-Element, das u. a. einen sicheren Speicher für sensitive Daten und Verschlüsselungsfunktionen beinhaltet. Damit kann eine sichere Kommunikation zwischen den Komponenten aufgebaut werden. Das von der Engineering-Station in die SPS übertragene Programm wird verschlüsselt und die Echtheit mit einer digitalen Signatur bestätigt. In der SPS befindet sich der Schlüssel, um die Herkunft des Programms und dessen Echtheit zu prüfen. Danach wird der Code in der SPS entschlüsselt.
Und wie viele SPSen in deutschen Fabriken enthalten ein solches Secure-Element?
Diese Frage musste ja kommen (lacht).
Ich kann meine Hand in noch eine Wunde legen (lacht). Nämlich die sogenannten SmartFactory-Apps, u. a. für Instandhaltung, Maschinensteuerung oder Fernwartung. Dazu gibt es in der Produktions-IT zunehmend Linux-basierte Android-Systeme auf Tablets. Wenn ich mir die »Sicherheit« von Googles Play-Store anschaue, bekomme ich ganz ehrlich gesagt Schüttelfrost.
Sie haben recht, wir haben 10.000 Apps aus dem PlayStore untersucht, die meisten haben z. T. gravierende Sicherheitsmängel. App-Analysewerkzeuge wie AppRay [2] sind dringend erforderlich. Die Kontrolle und das Einräumen von Berechtigungen erfolgt in Android nicht an zentraler Stelle mit der Folge, dass eine App Zugriff auf Komponenten erhalten kann, obwohl die entsprechende Zugriffsberechtigung fehlt.
» Android-Apps erlauben WLAN-Zugriff ohne Berechtigung «
Was z. B. haben Sie genau festgestellt bei Ihrer Untersuchung?
Zum Beispiel den Zugriff auf WLAN ohne Berechtigung mit der Folge, dass Informationen über den Gerätestandort ausgespäht und an Dritte kommuniziert werden konnten.
Lassen Sie uns abschließend zum sogenannten Industrial-Data-Space kommen, einem sicheren Datenraum mit Datenhohheit und Datensouveränität des Dateneigners. An der Entwicklung dieser Architektur und Technologie sind mehrere Fraunhofer-Institute beteiligt. Wie prüfen Sie diese mehr theoretischen Konzepte eigentlich auf realen Nutzen?
Das mit Forschungsgeldern der Bundesregierung unterstützte Projekt startete im Herbst 2015, parallel dazu wurde der Verein »Industrial e.V.« gegründet. Dieser besteht aus Unternehmen unterschiedlicher Branchen. Der Verein bekommt reale Anwendungsszenarien für den Industrial-Data-Space zur Verfügung gestellt und überprüft daran die entwickelten Konzepte und Technologien.
Frau Prof. Eckert, vielen Dank für Ihre Zeit!
Das Interview führte Frank Riemenschneider.
Prof. Dr. Claudia Eckert
Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) in München und Professor in der Technischen Universität München, wo sie den Lehrstuhl für IT-Sicherheit in der Fakultät für Informatik inne hat. Zu ihren Forschungsschwerpunkten zählen die Entwicklung von Technologien zur Erhöhung der System- und Anwendungssicherheit, die Sicherheit eingebetteter Systeme und die Erforschung neuer Techniken zur Erhöhung der Resilienz und Robustheit von Systemen gegen Angriffe. Ihre Forschungsergebnisse wurden in über 150 begutachteten Fachbeiträgen veröffentlicht.
Als Mitglied verschiedener nationaler und internationaler industrieller Beiräte und wissenschaftlicher Gremien berät sie Unternehmen, Wirtschaftsverbände sowie Politik in allen Fragen der IT-Sicherheit. In Fachgremien wirkt sie mit an der Gestaltung der technischen und wissenschaftlichen Rahmenbedingungen in Deutschland sowie an der Ausgestaltung von wissenschaftlichen Förderprogrammen auf EU-Ebene.
- »Per Update lässt sich das nicht nachrüsten!«
- » Maßnahmen zum Schutz der Cloud sind essentiell «
- » SPSen brauchen ein Secure-Element «
Lesen Sie mehr zum Thema
