Zentrum für sichere Informationstechnologie – Austria

Orchestration von verteilten Cloud Anwendungen

Kategorie: Cloud Computing, IT-Sicherheit

Web-APIs spielen eine wichtige Rolle bei der Integration von Daten und Diensten. Viele Web-Dienste bieten heutzutage ein gesondertes Interface in der Form eines Web-APIs an, das den Austausch von Daten und die Verwendung von zur Verfügung gestellten Funktionalitäten ermöglicht. Jedoch ist das Management von Sicherheitsaspekten dieser Schnittstellen komplex und oft undurchsichtig. Aus der Rolle von Web-APIs, die als ein Grundstein und Treiber des modernen Internet und domänenübergreifender Transaktionen gelten, ist es notwendig, die Modellierung und folglich das Sicherheitsmanagement dieser Prozesse weiter zu entwickeln.

Weiter lesen…

Analyse von Fahrzeug Apps

Kategorie: IT-Sicherheit

Die anhaltende Popularität mobiler Kommunikationstechnologien führt dazu, dass diese seit einigen Jahren verstärkt auch im Automotive-Bereich zum Einsatz kommen. Ein Beispiel hierfür sind mobile Apps, die es Lenkerinnen und Lenkern erlauben, mit ihrem Auto zu interagieren. Die Ver- und Entriegelung des Fahrzeugs oder das Remote-Starten von Standheizungen und Klimaanlagen sind nur einige der Use Cases, die von diesen Applikationen unterstützt werden. Mehrere Vorfälle in der jüngeren Vergangenheit zeigten jedoch auf, dass die von Automobilherstellern zur Verfügung gestellten Apps mitunter Angriffen nicht standhalten und so die Sicherheit des Gesamtsystems gefährden. Damit stellen mobile Anwendungen im Automotive-Bereich ein neues potentielles Anwendungsgebiet dar, das durch den richtigen Einsatz sicherer Informations- und Kommunikationstechnologien profitieren kann.

Weiter lesen…

Kontextbezogener Datenaustausch

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit

In diesem Projekt wurde eine Token-Struktur definiert, die eine multilaterale und flexible Definition von Autorisierungsanforderungen ermöglicht. Insbesondere zielt diese Struktur, die fortgeschrittene Anforderungen im Bezug auf die Expressivität, Kontextsensitivität sowie die Anpassbarkeit von Autorisierungen zu unterstützen. Weiters haben wir die entsprechende Softwarekomponenten entwickelt, die die Gestaltung, die Analyse sowie die Integration von dieser Struktur unterstützen. Anhand eines Prototyps und einer Fallstudie demonstrieren wir die praktische Anwendung sowie die Vorteile unseres Vorschlags für das Sicherheitsmanagement von domainübergreifenden Datenaustausche.

Flexible Zweifaktor-Authentifizierung mit FIDO

Kategorie: Elektronische Signatur, IT-Sicherheit

FIDO Universal Second Factor (U2F) ist ein Industriestandard für eine generell verwendbare Zweifaktor-Authentifizierung. Unter Verwendung eines USB-Security-Tokens können sich BenutzerInnen gegenüber einer Vielzahl von Webdiensten authentifizieren. Ein wesentliches Merkmal des U2F-Konzepts besteht darin, dass das entsprechende Hardware-Element zum Zeitpunkt eines Anmeldeverfahrens physisch mit dem Computer verbunden ist, sodass der Web-Browser über eine geeignete Schnittstelle damit unmittelbar interagieren kann. Weiter lesen…

13

Juli

2016

Serverlösungen zu Cloud-based Mobile Augmentation

Kategorie: Cloud Computing, IT-Sicherheit

Trotz der Tatsache, dass mobile Endgeräte immer leistungsfähiger werden, sind sie nach wie vor in ihrer Funktionalität eingeschränkt. Eine erhöhte Leistungsfähigkeit geht einher mit erhöhtem Stromverbrauch und führt somit zu einer erheblichen Reduktion der Gerätelaufzeit. Aus diesem Grund wurden in den letzten Jahren Frameworks bekannt, die es ermöglichen, dynamisch Rechenleistung von anderen Recheneinheiten zu verwenden in den letzten Jahren bekannt. Diese verfügbaren Frameworks nutzen aber bei Weitem nicht das Potential dieser Technologie aus. Bestehende Lösungen sind meist nur mit einer (Cloud-basierten) Recheneinheit fix verbunden und verwenden diese bei Bedarf.
Weiter lesen…

14

Juni

2016

Dynamische Schlüsselverwendungsrichtlinien

Kategorie: Cloud Computing, IT-Sicherheit

Immer mehr Daten und Ressourcen werden in die Cloud ausgelagert. Auch kryptografische Schlüssel profitieren mittlerweile von den Vorteilen der Cloud. Aktuell verwendete Authentifizierungsmethoden und Abwehrstrategien schaffen es aber oft nicht, Angriffe abzuwehren aber gleichzeitig dem rechtmäßigen Benutzer weiterhin das Service anzubieten. Vielmehr muss der Benutzer oft manuelle Schritte unternehmen, um das Service wieder nutzen zu können. Dadurch bleiben Denial-of-Service Angriffe gegen Benutzer wirksam.

Weiter lesen…

12

Mai

2016

Sicherheitsmanagement von API-basiertem Datenaustausch

Kategorie: Cloud Computing, IT-Sicherheit

Sicherheitsanforderungen – insbesondere jene zur Vertraulichkeit – erfordern IT-Prozesse mit dem Least-Privilege-Prinzip. Das aktuell breit verwendete Autorisierungsprotokoll OAuth 2.0 entspricht diesen Anforderungen nur teilweise. Etwa entfällt wegen frei definierbarer und dienstleisterabhängiger Darstellung von Access-Scopes praktisch die Möglichkeit, die Zugriffsbeschränkungen und -Autorisierungen strukturiert, granular und interoperabel darzustellen. Dieses Problem betrifft insbesondere domänenübergreifenden Datenaustausch, da die Sicherheitsmaßnahmen in verschiedenen Organisationen nur teilweise angewandt werden können.

Die Architektur sowie die einschlägige Ergebnisse wurden im Rahmen des DISSECT Workshops bei der IEEE/IFIP NOMS Konferenz präsentiert. Der vorgeschlagene Ansatz behandelt das Sicherheitsmanagement von API Interaktionen. Die Perspektiven von Dienstanbietern, Klienten und Dateninhaber werden in betrachtet, um die kontextuelle Abhängigkeit bei Datenaustausch, sowie die Granularität und Interoperabilität bei Sicherheitsmanagementprozessen, zu ermöglichen.

18

April

2016

Sichere Integration in der Cloud

Kategorie: Cloud Computing, IT-Sicherheit

Neue Produkte zu Cloud-Integrationsplattformen (iPaaS) leisten einen Mehrwert durch die Integration von diversen Cloud-Diensten von Drittparteien. Somit bietet ein Dienstleister einen Cloud-Dienst an, der die verschiedenen Produkte oder Dienste von anderen Anbietern und Organisationen zusammenfasst, verwendet und orchestriert. Dieses Konzept setzt voraus, dass die Interaktionen, Datenflüsse, Austausche und Dienstverwendungen in einer komplexen, durch verschiedene Domäne fließenden Umgebung stattfinden. Jedoch breitet die daraus resultierende Komplexität die sämtliche Angriffsoberfläche aus und erhöht das Sicherheitsrisiko von gesamten Interaktionen.

Im Rahmen der Konferenz ACM SAC 2016 wurde am 7. April 2016 eine Veröffentlichung präsentiert, die das Thema von Sicherer Integration in der Cloud, und insbesondere aus den Perspektiven von Protokollen, Integrationsplattformen sowie Sicherheitsanforderungen, analysiert.

17

März

2016

Privatsphäre-Auswirkungen neuer Web-Technologien

Kategorie: IT-Sicherheit

In dieser Kurzstudie werden bestehende Web-Tracking Technologien und Methoden aufgezeigt. Basierend auf diesen Methoden werden zwei neue Web Technologien, Web Sockets und WebRTC analysiert, mit Hinblick auf Auswirkungen auf die Privatsphäre von Benutzerinnen und Benutzern. Unter Verwendung dieser neuen Web Technologien werden vier Szenarien entwickelt, die einerseits die Privatsphäre von Benutzerinnen und Benutzern gefährden und andererseits die unbemerkte Identifikation von einzelnen Benutzerinnen und Benutzern erheblich „verbessern“ können.
Weiter lesen…

Sicherheitsempfehlungen für Behörden

Kategorie: eGovernment, IT-Sicherheit

Kryptographie ist ein mächtiges Werkzeug, das – richtig eingesetzt – die Vertraulichkeit, Integrität und Authentizität elektronisch gespeicherter, verarbeiteter und übertragener Daten gewährleistet. Elektronische internetbasierte Dienste aus sicherheitskritischen Bereichen wie E-Government oder E-Banking wären ohne die Verwendung kryptographischer Methoden unmöglich. Die korrekte Verwendung kryptographischer Methoden ist daher unter anderem auch für Behörden von zentraler Bedeutung.
Weiter lesen…