protection- , security- und safety-aspekte >>> ihre ... · byod sicherheit &...
TRANSCRIPT
Protection- , Security- und Safety-Aspekte
>>> ihre Bedeutung für die Mobilität in der
Verkehrsentwicklung für die Zukunft
Dr. Hans Jörg Otto Business Development
Safety & Security Department
AIT Austrian Institute of Technology
Co-Autoren: Helmut Leopold, Dr. Markus Tauber
Vienna, Oktober 2014
Mobilität der Zukunft?
25.09.2014 2
Quellen: US-Magazin 50er Jahre
Quellen: Google Inc.
The “shift” im Benutzerverhalten Neue Generation, Content Produktion, Cloud
Orientierung - “bring your own device”
Zunehmende Vernetzung Always on, machine-to-machine (M2M) communication
Virtual infrastructures (Cloud, etc.)
5 große Industrietreiber
Industrietrend zu “open network architectures” Offene Protokolle (e.g. IP)
Viele 3rd-Party Schnittstellen
Wachsende Komplexität der IT Systeme Erste Mondlandung: software mit 7,500 lines of code
Mercedes-Benz S-Klasse: 20 mio, Chevrolet Volt: 100 mio
Wachsende Abhängigkeit
smart city, smart home, smart grid, eMobility (car2X),
eGovernment, eEnvironment, eHealth, etc.
25.09.2014 3
Mobilität der Zukunft?
25.09.2014 4
von der manuellen Steuerung zur autonomen Fahrzeugführung
vom motorisierten Individualverkehr hin zum höchst flexibelsten ÖPNV
von der Nutzung fossiler Brennstoffe hin zu elektrischen Antrieben
von der single-modalen zur multi-modalen Fortbewegung
nicht mehr besitzen von Automobilen, sondern kaufen von
Transportkapazität
von der starren Verkehrssteuerung hin zu intelligenten, adaptiven
Systemen
Mobilität der Zukunft?
25.09.2014 5
Daten!
Daten als Technologietreiber für Mobilität
25.09.2014 6
Intelligente Systeme brauchen Daten zur Entscheidung
Multi-modale Sensoren jederzeit und überall als Datenquelle
Unterschiedlichste Daten-Formate werden verwendet
Alle Systeme vernetzen sich und tauschen Daten auf verschiedenen
Ebenen aus
Algorithmen/Modelle entscheiden und steuern die Systeme
Die Datenverwaltung und –übertragung folgt Endconsumer-Lösungen in
die Cloud
7 Protection-, Security- und Safety-Aspekte
25.09.2014 7
(1) (Semi)autonome Systeme mit Gefahr für Leib und Leben unterliegen
höchsten Sicherheitsanforderungen im Safety-Sinne
>>> viel Erfahrung für geschlossene Systeme vorhanden
(2) Offene und vernetzte Systeme sind per se verwundbar
>>> neue Ansätze der IKT Security notwendig
(3) Durch die Technologie-Vernetzung entstehen systemische Lösungen
aus verschiedenen Domänen mit sehr unterschiedlicher
Vergangenheit und Methoden-Repertoire
>>> Safety ist aber nicht Security und Security ist nicht Safety
7 Protection-, Security- und Safety-Aspekte
25.09.2014 8
(4) Endconsumer-Applikationen fokussieren auf Skalierbarkeit und
Elastizität
>>> Kritische Infrastruktur/Verkehr verlangt aber höhere
Anforderungen
(5) Systemische Lösungen schaffen Abhängigkeiten und neue
Schnittstellen
>>> Kaskaden-Effekte als Fehler-Typus völlig neuer Dimension
7 Protection-, Security- und Safety-Aspekte
25.09.2014 9
(6) Begriffe, Abgrenzungen und Rechtslage für Systeme unklar
>>> Gemeinsame Definitionen, Architekturen und Gesetze
notwendig
(7) Bewusstsein und Stimmungslage der Bevölkerung schwer
einschätzbar
>>> Klare Sprachregelungen, Kommunikation, Position
öffentliche Hand
Bedeutung
25.09.2014 10
Protection-, Security- und Safety-Aspekte
können gar nicht früh und substantiell genug
bei ALLEN Stakeholdern
für zukünftige Mobilitätslösungen
eingebracht werden…
AIT Security Ecosystem
11
Technologie
Prozesse
Tools &
Methoden
Int. Sicherheits-
forschung Community
Strategische Kooperationen
Nationale
Sicherheitsprovider
Projekt Kooperationen
Sicherheits- & IKT
Industrie
ICT-Security @ AIT
25.09.2014
Kritische IKT Infrastruktur Sicherheit (Tools & Methoden, IT Architekturen, Komponenten)
Sichere
Smart Grids
Nationale
Cyber Security
Nationale Cyber Abwehr,
Grenzkontrolle &
Physische Security
Risiko
Management
Ethische &
Soziale Aspekte
Sichere Cloud
Infrastrukturen
Geschäfts-
interessen
Next Gen
Verschlüsselungs-
Tools
Info Sharing &
Cyber Situational
Awareness
für den Betrieb von
kritischen Infrastrukturen
Sichere IT
Architekturen
Safety & Security
Engineering
Wissenschaftliche Schlüsselkompetenzen
12
ICT-Security @ AIT
Nationale und International Forschungsprojekte:
Risiko-Management bzgl. BYOD
Sicherheit & Datenschutz (M2M, Smart-*, Cloud)
13 25.09.2014
14 25.09.2014
Cyber Defense and Situational Awareness
Motivation
Fahrerassistenz- und Autonome
Systeme sind Sicherheits- und
„Mission-Critical“
Hohe Qualität und effiziente Testmethoden sind von größter Bedeutung, um den
ordnungsgemäßen und sicheren Betrieb unter allen Umständen zu garantieren
15
Highly Reliable Software and System
Technologie
Modellbasierte automatische Testfallgenerierung
Vollständige Fehlerabdeckung
Effiziente / minimal Test-Sets
Modul-und Systemebene
Wiederverwendung von Legacy-Tests
Referenzen
Auswertung durch sektorspezifische Anwendungsfälle zusammen mit
industriellen Partnern in nationalen und internationalen Projekten
Integration in ARTEMIS-Technologie-Plattform
Sicherheit ist ein kontinuierlicher Prozess…
Es reicht nicht, ein System sicher zu machen, man muss es auch sicher
halten!
Gerade in diesem Moment werden Methoden entwickelt, die derzeit sichere
Systeme angreifbar machen,
über Wege, an die bisher niemand gedacht hat…
16 25.09.2014 Quelle: „Exploits of a Mom“, http://xkcd.com/327/
AIT Austrian Institute of Technology your ingenious partner
AIT Austrian Institute of Technology
Safety & Security Department
Donau-City-Strasse 1 | 1220 Vienna | Austria
Dr. Hans Jörg Otto
Business Development
Safety & Security Department
Phone: +43 6642351755
eMail: [email protected]
Web: www.ait.ac.at/safety_security
Backup
19 25.09.2014
Österreichische
Industrie
~ 1.100 MitarbeiterInnen
Budget: 120 Mio. €
Business Modell
40:30:30
Bundesministerium für Verkehr,
Innovation und Technologie
50,46%
Industriellenvereinigung
49,54%
AIT ICT Security Referenzprojekte I
SECCRIT | EU FP7 SECURITY (Coordinator)
Secure Cloud Computing for Critical Infrastructure IT
Nr. 1 of CP‘s in FP7 SEC Call 5 (326 Projects!)
PARIS | EU FP7 SECURITY
Privacy Preserving Infrastructure for Surveillance
FASTPASS | EU FP7 SECURITY
A harmonized, modular reference system for all
European automatic border crossing points
SG2 | KIRAS (Coordinator)
Smart Grid Security Guidance
Ausgewählte Projektpartner:
20 25.09.2014
Forschungsthemen:
Secure Cloud Computing
Assurance Evaluation
Privacy by Design
Secure System Architectures for
complex ICT systems
Security Analysis of Smart Grids
Safety & Security Co-Design
AIT ICT Security Referenzprojekte II
MoSeS4eGov | KIRAS (national - Coordinator)
Model-based security system for eGovernment
SIS4you | KIRAS (national – Coordinator)
Security Information System for Citizen
ESA O3S Security | Contract Research
Security and Identity Management for the
ESA Open-standard Online Observation Service
PRECYSE | EU FP7 SECURITY
Prevention, protection and reaction to
cyberattacks to critical infrastructures
CAIS | KIRAS (national - Coordinator)
Cyber Attack Information System for Austria
FBC | KIRAS (national)
Future Border Control
Ausgewählte Projektpartner:
21 25.09.2014
Unsere Vision ist... führendes R&D Unternehmen auf dem Gebiet ICT
für Safety & Security in Europa zu sein.
Vision / Mission
“Safety”
‘Safety’ (Sicherheit) bezieht sich hier auf die entsprechenden Technologien und die persönliche
Sicherheit von Personen, die direkt oder indirekt von der ordnungsgemäßen Funktion oder
Verfügbarkeit eines datenverarbeitenden bzw. autonomen Systems abhängig ist.
“Security”
‘Security’ (Schutz) bezieht sich eher auf den Datenschutz und die Vermeidung einer möglichen
Verletzung durch unberechtigten Zugriff oder Veränderung von persönlichen Daten. 'Security’ kann
sich auch auf klassische, durch Informationstechnologie unterstützte Sicherungstechniken
(Überwachung) beziehen.
R&D in IKT für die Sicherstellung von operativer Effizienz und Zuverlässigkeit
aller kritischen Infrastrukturen – sowohl im privaten als auch öffentlichen
Sektor – vor allem in Zeiten möglicher ökologischer, wirtschaftlicher und
politischer Krisen.
öffentliche Verwaltung (eGovernment, eEnvironment), Gesundheitsbereich
(eHealth), Telekommunikation, Internet, Übertragungsnetze, Zahlungssysteme,
Stromversorgung, sowie der Unternehmens- und Industriesektor
Kritische
Infrastrukturen
Vorteile vs. Gefahr – Cloud
Einheitliche und aktuelle Sicherheitsvorkehrungen
Daten zentralisiert: komfortabel sicher & versionierbar
Limitierte lokale Kapazitäten (in Smart-phones & M2M)
Globale Sicht notwendig
23 25.09.2014
„Single Point of Failure“
Schwer zu isolierende
Technisch Fehlerursache
Rechtliche Verantwortlichkeit
Ein einziger erfolgreicher Einbruch hat große Folgen
„Die Cloud“
Eine Methode zur komfortablen Abstrahierung von Software über Hardware
Flexibilität
Skalierbarkeit
Redundanz
Einheitliche Sicherheit
24 25.09.2014
#include <cloudstdio.h>
#define Nbr of CPUs dynamic
main() {
cloudprintf("Hello World ");
}
„Single Point of Failure“
Fehlerursache schwer zu
isolieren (per Defintion)
cloudstdio.h
Beispiel: Bankomat Videoüberwachung & Cloud
25 25.09.2014
Bank CitySec TelCom
ATM Operator Security Service Provider Tenant System Mgmt
CloudCorp
Cloud Mgmt Provider
TenSys
Telecom Operator
Erhöhte Suchperformance nach „Mann mit roter Sturmhaube“
Techn. Herausforderungen durch Modularität (Outsourcing)
Rechtliche Herausforderungen bzgl. Datenschutz oder SLA
Eckdaten
10 Partner aus Österreich, Finnland, Deutschland, Griechenland, Spanien, UK
Projektbudget 4.8 Mio, teilw. gefördert durch EC FP7
Projektlaufzeit 1.1.2013 – 31.12.2015
Bedarfs und User orientiert
© SECCRIT Consortium 26
Kernthemen
Unterstützung bzgl. rechtlicher Grundlagen in Verknüpfung mit technischen
Informationen (SLA Management, Beweiskraftunterstützung - Datenschutz)
Neue Risiko-Bewertungsmethoden und Kataloge bzgl. kritischer Infrastrukturen
Verstehen von Verhalten in der Cloud („monitoring“, forensische Analyse,
Anomalie Erkennung, „root cause analysis“, „resilience“)
Richtlinien zum sicheren Betrieb von kritischer Infrastruktur IT in Cloud und
„Service Assurance“
Praxisnahe Evaluierung der Forschungsresultate
PRECYSE
© SECCRIT Consortium 27
Projekt Ziel
Definition, Entwicklung und Validierung von Methoden, Architekturen und Technologien zum
Verbessern der Sicherheit, Zuverlässigkeit und Resilienz von kritischer Infrastruktur IT.
Spezifische wissenschaftl. und techn. Kernthemen
Spezifikation einer Methode zur Identifikation der Assets, relevanten Bedrohungen und
Verwundbarkeiten von kritischer Infrastruktur IT zur Verbesserung deren Sicherheit.
Entwicklung von Werkzeugen zum Erkennen von Attacken gegen kritische
Infrastrukturen und zur Einleitung von Gegenmaßnahmen.
Architektur design für resiliente ICT Systeme für kritische Infrastrukturen
Untersuchung von rechtlichen und Datenschutz relevanten Aspekten
Support bei der Schaffung eines rechtlichen Regelwerkes.
Laufzeit: 01.03.2012 – 28.02.2015 Website: http://www.precyse.eu
PRECYSE Consortium
HyRiM: Hybrid Risk Management for Utility
Providers
28 25.09.2014
Entwicklung von Werkzeugen und Methoden zur Risikobewertung bzgl. neuer
Bedrohungsszenarien (z.B: Advanced Persistent Threats)
Definition von Security Architekturen bzgl. neuer Bedrohung und
Technologien durch z.B: BYOD Szenarien
Partners
Elective
Cooperative of
Alginet
Entwicklung und Evaluierung von Risiko-Kenngrößen für
gekoppelte, voneinander abhängige, kritische
Infrastrukturen
Smart Grid Security Guidance (SG)²
29 25.09.2014
KIRAS Projekt mit Laufzeit 2 Jahre, 11/2012 – 11/2014
Smart Grid Regulierung im österr. Kontext
Partner: AIT Austrian Institute of Technology
Technische Universität Wien
SECConsult Unternehmensberatung GmbH
Siemens AG, Corporate Technology Österreich
LINZ STROM GmbH
Energie AG Oberösterreich Data GmbH
Innsbrucker Kommunalbetriebe AG
Energieinstitut an der JKU Linz GmbH
Bundesministerium für Inneres
Bundesministerium für Landesverteidigung und Sport
Arrowhead
Arrowhead - Verbesserung von Effizienz, Flexibilität und Nachhaltigkeit auf
globaler Ebene bzgl. Produktion (Erzeugung, Prozesse, Energie), Smart-
buildings & Infrastrukturen, Elektromobilität & virtueller Energiemarkt.
Laufzeit 4 Jahre, 78 Partner (österr.: TU Graz, Campus 02 – FH Graz,
AIT, Evolaris, AVL, Invineon)
30 25.09.2014
Secure ?
31
Highly Reliable Software and Systems
AIT Forschungsgruppe Verification & Validation – innovativer
Technologielieferant im Artemis Kontext
Beteiligung an den Projekten MBAT, R3-COP, SafeCer, CRYSTAL
AIT Technologiekomponenten
Modellbasierte automatische Testfallgenerierung für
Steuerungssysteme und bildverarbeitungsbasierte Systeme
Workflow Engine for Analysis, Test & Certification
Data & Timeflow Simulator Engine für Kommunikationsnetzwerke
Integration in Artemis Referenz-Technologieplattform
Nutzung und Evaluierung der Technologien im Rahmen von Use Cases
mit Firmen