Studien & Reports

Edilife -- Ethik, Recht und Sicherheit des digitalen Weiterlebens

Digitale Technologien bestimmen zunehmend unser Leben – sie beeinflussen jedoch auch mehr und mehr den Umgang mit Tod, Trauer und Erinnerung. Technologien im Kontext der Digital Afterlife Industry (DAI) ermöglichen das „Weiterleben“ und die Interaktion mit digitalen Repräsentationen von Verstorbenen als Avatar, als Chatbot oder als Absender von Textnachrichten. In der vorliegenden Studie hat ein interdisziplinäres Team von Wissenschaftlerinnen und Wissenschaftlern aktuelle Dienste im Kontext des digitalen Umgangs mit dem Tod reflektiert, zukünftige Entwicklungen versucht zu antizipieren sowie Handlungsbedarf gekennzeichnet und Handlungsoptionen erarbeitet. 


Compliance - Ein Überblick über wichtige Rechtsvorschriften für KMU

Sarah Stummer

Die Führung eines kleinen oder mittleren Unternehmens (KMU) ist mit einer Vielzahl von Aufgaben verbunden. Neben den organisatorischen und wirtschaftlichen Herausforderungen, mit denen sich die Unternehmensleitung konfrontiert sieht, gilt es insbesondere auch gesetzliche oder andere verbindliche Vorschriften und Anforderungen einzuhalten (sog. Compliancepflicht). Dieser Beitrag gibt einen Überblick über wesentliche rechtliche Anforderungen im Zusammenhang mit dem Geschäftsideenschutz sowie dem rechtskonformen Marktverhalten, insbesondere im Bereich des Marketings und des Vertriebs, welche es durch KMU zu berücksichtigen gilt.


Studie: Verhaltensbeeinflussung durch Beobachtung?

Maximilian Büscher, Amina Gutjahr, Prof. Dr. Gerrit Hornung, Dr. Stephan Schindler, Dr. Annika Selzer, Prof. Dr. Indra Spiecker genannt Döhmann, Sarah Stummer, Prof. Dr. Thomas Wilmer, Paul Zurawski

Unsere Datenschutz-Expert*innen haben untersucht, ob sich das Verhalten von Menschen verändert, wenn sie beobachtet werden, und was dies rechtlich bedeutet. Das Ergebnis: Menschen fühlen sich durch Beobachtung in unterschiedlichen Formen, sei es durch eine Kamera oder eine Person, beeinflusst und in ihrer freien Persönlichkeitsentfaltung gehemmt.

Die Forschenden – Rechtswissenschaftler*innen der Goethe-Universität Frankfurt, des Fraunhofer SIT, der Hochschule Darmstadt sowie der Universität Kassel – haben damit empirisch belegt, was in den Rechts­wis­sen­schaf­ten bisher weitestgehend nur angenommen wurde.


Whitepaper "Aktive Cyberabwehr"

Prof. Dr. Michael Waidner, Prof. Dr. Haya Shulman

Als Folge des russischen Angriffs auf die Ukraine ist auch die Diskussion über aktive Cyberabwehr neu entbrannt. Die Politik fordert verbesserte Fähigeiten. In ihrem Whitepaper "Aktive Cyberabwehr"nennen unser CEO Prof. Michael Waidner und unsere Cyber­security-Expertin Prof. Haya Shulman konkrete Beispiele, welche technischen Möglich­keiten es gibt, um die Cyberabwehr in Deutschland zu verbessern.


Compliance: Ein Überblick über wichtige Rechtsvorschriften für Startups in der Cybersicherheit

Dr. Annika Selzer, Sarah Stummer

Eine Gründung ist mit vielen He­raus­for­de­rung­en verbunden. Neben den organisatorischen und wirtschaftlichen Aufgaben sehen sich Gründer*innen auch mit rechtlichen Anforderungen und Schranken konfrontiert. Welche Gesellschaftsform soll gewählt werden, wie schützt man die eigene Geschäftsidee, und was muss bei Marketing und Vertrieb im Datenschutz beachtet werden? Das Whitepaper gibt einen Überblick über wesen­tliche rechtliche Anforderungen für Startups in der Gründungsphase. In der zusätzlichen Checkliste sind sämtliche im Whitepaper aufgeführten Punkte übersichtlich zusammengetragen, um die wichtigsten Compliance-Anforderungen an Gründer*innen auf einen Blick sichtbar zu machen.


Ein Vorschlag für die datenschutzkonforme Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen

Dr. Annika Selzer, Prof. Dr. Ingo J. Timm

Plant eine Organisation ein neues IT-System, mit dem es personenbezogene Daten ihrer Kunden oder Mitarbeiter verarbeiten möchte, so stellt es den Planer des IT-Systems häufig vor große Herausforderungen, die Entwicklung und Inbetriebnahme des neuen IT-Systems unter Beachtung der einschlägigen datenschutzrechtlichen Anforderungen umzusetzen. Häufigster Hemmschuh für eine datenschutzkonforme Entwicklung und Inbetriebnahme eines neuen IT-Systems sind einerseits fehlende Fachkenntnisse zu datenschutzrechtlichen Rahmenbedingungen – insbesondere die datenschutzrechtlichen Anforderungen, die sich aus der Datenschutz-Grundverordnung ergeben und die entsprechend des darin verankerten risikobasierten Ansatzes angemessen umzusetzen sind – sowie andererseits fehlende Erfahrungen zur Gestaltung der Umsetzung dieser Anforderungen, auch hinsichtlich der Einbindung von Funktionsträgern innerhalb der Organisation seitens des Planers des IT-Systems. Der vorliegende Aufsatz möchte vor diesem Hintergrund einen Beitrag dazu leisten, Planern von IT-Systemen die wichtigsten einschlägigen Datenschutzanforderungen aufzuzeigen sowie Empfehlungen zur Umsetzung dieser Anforderungen zu geben.


Technik für den digitalen Jugendschutz

Prof. Dr. Martin Steinebach, Inna Vogel

Durch die Corona-Pandemie hat sich vieles im Sozialleben ins Digitale verlagert; auch Kinder und Jugendliche nutzen noch stärker als vorher digitale Dienste und Kommunikationstools. Gleichzeitig, so warnt die europäische Polizeibehörde Europol, steigt die Gefahr durch Cybergrooming. Eine Machbarkeitsstudie des Fraunhofer SIT im Auftrag des Landes Hessen zeigt, welche Technologien dabei helfen können, Kinder und Heranwachsende vor Übergriffen im Netz und Fehlern beim Umgang mit digitalen Medien zu schützen. Ergebnis: Mithilfe künstlicher Intelligenz und Multimediaforensik können viele Delikte erkannt oder sogar unterbunden werden.


China Electric Vehicle and Connected Vehicle Security and Privacy

The world's largest automotive market, China, is experiencing high growth rates for electric cars. In order to successfully compete in China, international automakers must comply with Chinese cybersecurity, cryptography and data security regulations. Fraunhofer SIT and Fraunhofer Singapore have summarized these in a joint study: It contains an overview of laws and regulations, including the responsible institutions in China, from 2015 until 2021. The study also addresses research and development facilities as well as standardization authorities. 

Privacy und Big Data

C. Winter, M. Steinebach, W, Heereman, S. Steiner, V. Battis, O. Halvani, Y. Yannikos, C. Schüßler

Die Analyse großer Datenmengen ermöglicht zahlreiche Verbesserungen – bei der Bekämpfung des Klimawandels ebenso wie in der Medizin. Gleichzeitig entstehen durch heutige Big-Data-Analysemöglichkeiten ganz neue Risiken für die Privatsphäre von Menschen. Fügt man beim Analysieren Datenmengen aus unterschiedlichen Quellen zusammen, kann man oftmals vermeintlich anonymisierte Daten zu persönlichen Profilen zusammenführen, mit teils unabsehbaren Folgen für die betroffenen Personen. Die Studie zeigt deshalb, wie Big-Data-Technologien genutzt werden können, ohne der Privatsphäre Einzelner zu schaden.


Der digitale Nachlass

Marcel Kubis, Magdalena Naczinsky, Annika Selzer, Tim Sperlich, Simone Steiner, Ulrich Waldmann

Nur wenige Menschen wissen, dass und wie sie über ihren digitalen Nachlass verfügen können. Obwohl sich jeder zwangsläufig irgendwann in seinem Leben auch mit Nachlassfragen beschäftigen muss bzw. sollte, wissen viele nicht, was ein digitaler Nachlass ist, welche Daten, Vertragsbeziehungen und Nutzungsrechte damit verbunden sind und ob das Thema für sie überhaupt relevant werden könnte. 

Vor diesem Hintergrund haben die drei Projektpartner Fraunhofer SIT, Uni Bremen und Uni Regensburg von Mai bis Dezember 2019 das Thema des digitalen Nachlasses aus rechtswissenschaftlicher und technischer Sicht aufbereitet. Ziel der Studie ist es aufzuzeigen, welche Möglichkeiten zur Vorsorge für den digitalen Nachlass bestehen und welche Benachteiligungen aus Verbrauchersicht beim digitalen Nachlass derzeit zu befürchten sind sowie Empfehlungen zu geben, wie im Sinne einer Verbraucherfreundlichkeit die Vererbbarkeit digitaler Werte verbessert werden kann. Betrachtet werden diese Fragen sowohl aus Sicht des Erb-, Datenschutz-, Urheber- und Verbraucherschutzrechts als auch aus Sicht der Technik.


Eberbacher Gespräch on AI, Security & Privacy

M. Kreutzer, O. Küch, M. Steinebach

Trotz zahlreicher Innovationsmöglichkeiten zögern viele Unternehmen und Behörden noch bei der Nutzung von Künstlicher Intelligenz (KI) im Bereich Cybersicherheit. Ein wesentlicher Grund: Die Leistungsfähigkeit von Systemen ist oft nur schwer zu beurteilen. In diesem Bericht sind von Expertinnen und Experten aus Wissenschaft und Wirtschaft erarbeitete Empfehlungen zusammengefasst, wie Hindernisse für den KI-Einsatz überwunden werden können, etwa konkrete Qualitätskriterien und Prüfmöglichkeiten. 


System Security Mechanisms for Electric Vehicles and Charge Points Supporting ISO 15118 - Proposal for a Technical Guideline

D. Kern, Ch. Krauß, M. Zhdanova

SIT-TR-2019-04

This technical guideline provides recommendations for the secure operation of an emobility charging infrastructure. The focus is on system security of the Electric Vehicle (EV) and Charge Point (CP) / Electric Vehicle Supply Equipment (EVSE), with their respective communication control units, the Electric Vehicle Communication Controller (EVCC) and the Supply Equipment Communication Controller (SECC), as well as the secure usage of their communication protocols. Both systems are required to be equipped with a Hardware Security Module (HSM), providing a hardware trust anchor for secure storage and usage of their corresponding private credentials. The trust anchor is also used to provide more advanced security features like software integrity validation or secure firmware updates. Additional recommendations are given, aiming to increase the security of the communication between EVCC and SECC using ISO 15118 [10] as well as the backend communication of the SECC.


Security Module for the Electric Vehicle Charging System - Proposal for a Protection Profile

A. Fuchs, Ch. Krauß, N. Lahr, R. Petri

SIT-TR-2019-03

In the field of eMobility, Electric Vehicles (EVs) are charged using a Charge Point (CP). To enable a trustworthy and reliable charging and billing process for the transferred electrical energy, data is exchanged between the vehicle and the CP through the charge cable and specific protocols are applied. Further, the CP is part of an infrastructure that connects the point on the one hand to the energy grid and to an energy provider, billing system, and other valueadded service providers on the other hand. The international standardisation system has created a basis for communication between an electric vehicle and the charging infrastructure in the form of international standard ISO/IEC15118, which is already in place. ISO/IEC15118 defines the communication between the electric vehicle and the CP. However, some protocols that are required for the value-added services are extensions of ISO/IEC15118.


Eberbacher Gespräch: Next Generation Cryptography

R. Niederhagen, M. Waidner, O. Küch

Ob Online-Banking oder Blockchain – die meisten IT-Sicherheitsmechanismen für Daten und digitale Kommunikation beruhen auf Kryptografie. Quantencomputer und neue Angriffsmöglichkeiten bedrohen zahlreiche dieser IT-Sicherheitsmechanismen. Wie Wirtschaft und Gesellschaft die Cyberwelt in der Zukunft vor solch großen Bedrohungen schützen können, diskutierten Experten aus Wirtschaft, Forschung und Politik beim Eberbacher Gespräch „Next Generation Cryptography“. Das Fazit der Experten: Kryptografie muss dringend flexibler werden, um schnell auf technische Veränderungen reagieren zu können.


Blockchain und Smart Contracts - Technologien, Forschungsfragen und Anwendungen

M. Kreutzer, M. Fritz, U. Leiner et al.

Dieses Positionspapier analysiert die Blockchain-Technologie aus wissenschaftlicher und anwendungsorientierter Sicht der Fraunhofer-Gesellschaft. Es untersucht relevante Technikaspekte und damit verbundene Forschungsfragen. Dabei zeigt sich, dass die Technik in allen Bereichen noch grundlegende Forschungs- und Entwicklungs-Herausforderungen aufweist. Diese liegen beispielsweise in der Modularisierung einzelner Blockchain-Konzepte sowie deren Kombination und Integration für anwendungsspezifische Blockchain-Lösungen.


Ratgeber für eine sichere zentrale Softwareverteilung

M. Herfert, T. Kunz, R. Wolf

Vor allem in größeren Unternehmen und Organisationen gewinnt eine automatisierte Softwareverteilung zunehmend an Bedeutung. Die zentrale Softwareverteilung berührt hierbei viele Aspekte der IT-Sicherheit. Neben naheliegenden Gefährdungen wie dem Einschleusen von Schadsoftware, müssen weitere Themenfelder wie beispielsweise Vertrauensbeziehungen zwischen Netzwerkdomänen, Umgang mit administrativen Berechtigungen und Erkennung von Sicherheitsvorfällen berücksichtigt werden. Dieser Ratgeber richtet sich an Administratoren, die eine zentrale, netzwerkübergreifende Softwareverteilung in ihrem Unternehmen planen und sich über die zu berücksichtigenden Sicherheitsaspekte informieren möchten.


Practical Post-Quantum Cryptography

R. Niederhagen, M. Waidner

Quantum computers are hanging over the security of our information like a sword of Damocles: We do not know when or even if quantum computers will become a reality — but once they arrive, they will break confidentiality, privacy, and authenticity of our modern communication. It will no longer be possible to trust digital certificates and signatures and it will no longer be possible to exchange secret keys for data encryption using current cryptographic primitives like RSA, ECC, DH, DSA, and so on. However, there is hope: The cryptographic community is working on post-quantum cryptography in order to provide alternatives using hard mathematical problems that cannot be broken by quantum computers. There is a zoo of alternative cryptographic primitives and protocols that are under investigation and standardization bodies like NIST and ETSI are starting processes to standardize post-quantum algorithms.


Cybersicherheit in Deutschland

M. Waidner, M. Backes, J. Müller-Quade

SIT-TR-2017-01

Durch die zunehmende Digitalisierung des Alltags erhält die Informationstechnologie und ihre Absicherung eine zentrale Bedeutung für Wirtschaft, Staat und Gesellschaft. Durch Gesetze und neue Regeln wie das IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung hat sich die Cybersicherheitslage in Deutschland und Europa zwar verbessert, doch die Bedrohungen und Herausforderungen verändern sich. Durch die Verschmelzung von digitaler und physischer Welt erhöht sich die Angriffsfläche für IT-basierte Angriffe. Im Positionspapier machen die Wissenschaftler konkrete Vorschläge, wie sich diese Herausforderungen bewältigen lassen. Unter anderem empfehlen die Experten die strategische Verbesserung der digitalen Souveränität in Deutschland und Europa, die gezielte Förderung von Cybersicherheitsinfrastrukturen sowie eine Verbesserung des Forschungsrahmens, etwa durch Forschungswettbewerbe und durch Strukturen zur schnellen Reaktion auf Forschungsbedürfnisse.


Chancen durch Big Data und die Frage des Privatsphärenschutzes

M. Steinebach, C. Winter, O. Halvani, M. Schäfer und Y. Yannikos

SIT-TR-2015-06

Trotz Risiken für die Privatsphäre befürworten viele Bürger Big Data, wenn es ihnen konkrete Vorteile verschafft. Das ist das Ergebnis einer Online-Umfrage des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zum Thema Big Data und Privatsphärenschutz. Zwei Drittel der Befragten sehen in Big Data zwar ein Risiko für die Privatsphäre, gleichzeitig sehen mehr als die Hälfte der Befragten aber auch große wirtschaftliche und gesellschaftliche Vorteile – insbesondere in den Bereichen Kriminalitätsbekämpfung und Medizin. Bestätigt werden die Umfrageergebnisse durch einen Bürgerdialog und die Analyse von 10.0000 Online-Artikeln, Kommentaren und Twitter-Feeds. Die Gesamtergebnisse und Schlussfolgerungen haben die Wissenschaftler in dieser Studie zusammengefasst.


Vertraulichkeitsschutz durch Verschlüsselung

Reiner Kraft, Frank Weber, Ronald Marx, Mechthild Stöwer,Hubert Große-Onnebrink, Pedro Larbig, Alexander Oberle

SIT-TR-2015-03

Praktisch alle Unternehmen sind heutzutage existenziell von Informations- und Kommunikationstechnik abhängig. Parallel dazu ist der Grad der Vernetzung zwischen den Akteuren im Wirtschaftsleben – Unternehmen, Kunden und staatlichen Einrichtungen – stetig gestiegen. Dies ermöglicht völlig neuartige Anwendungen mit hoher Wertschöpfung, birgt gleichzeitig aber auch ebenso neuartige Risiken für das störungsfreie Funktionieren der kritischen Prozesse eines Unternehmens und die Vertraulichkeit der in ihnen gespeicherten, bearbeiteten und übertragenen Daten.


Eberbacher Gespräch zu »Sicherheit in der Industrie 4.0«

M. Waidner, M. Kasper, T. Henkel, C. Rudolph, O. Küch

Die Informationstechnologie (IT) ist einer der wichtigsten Innovationsmotoren für die Produktion und Automatisierung. In Deutschland werden die entsprechenden Entwicklungen unter dem Schlagwort Industrie 4.0 lebhaft diskutiert. Stets haben Politik, Industrie und IT-Wirtschaft dabei die wichtige Rolle der IT-Sicherheit herausgestellt. Sie gilt deshalb als grundlegende Voraussetzung für die neue Produktionswelt. Viele Struktur- und Detailfragen im Hinblick auf die konkreten Zielsetzungen der Anwendungsforschung sind jedoch noch unbeantwortet. Um Leitlinien und konkrete Vorschläge für eine sichere Industrie 4.0 zu formulieren, veranstaltete das Fraunhofer SIT das Eberbacher Gespräch »IT-Sicherheit in der Industrie 4.0«. Teilnehmer aus Industrie, Forschung und Verwaltung identifizierten die wichtigsten praktischen Herausforderungen zum Thema.


Eberbacher Gespräch »Sichere Softwareentwicklung«

M. Waidner, E. Bodden, M. Kreutzer, S. Türpe, O. Küch

Was sind die aktuellen Herausforderungen für IT-Sicherheit und Datenschutz in der Praxis? Was ist in der Zukunft zu erwarten? Was kann und soll Technik leisten, wo sind die Grenzen des Machbaren? Wo braucht es neue Ideen? Angewandte Forschung braucht den Dialog zwischen Wissenschaft und Wirtschaft, um Antworten auf solche grundsätzlichen Fragen zu erhalten. Die »Eberbacher Gespräche« des Fraunhofer SIT bieten ein Forum für diesen Dialog. Experten aus Wissenschaft und Wirtschaft treffen sich für einen Tag im Kloster Eberbach und erarbeiten zu einem Thema gemeinsam Antworten auf diese Fragen. Im Juni 2013 war das Thema »Sichere Softwareentwicklung«.


Emerging Trends In Software Developement & Implications For IT Security: An Explorative Study

Carsten Ochs

SIT-TR-2014-2

There have been numerous transformations in the interrelated realms of software development (SD) and IT security. To form a clear picture of the SD trends and account for their implications, we conducted an explorative study comprising 23 interviews with SD and IT security experts from industry, academia and regulating institutions. The analysis reveals six major trends.


Web-Tracking-Report 2014

M. Schneider, M. Enzmann, M. Stopczynski

SIT-TR-2014-01

Durch die Enthüllungen von Edward Snowden im vergangenen Jahr ist öffentlich geworden, in welchem Umfang Geheimdienste Verbraucher bei ihrer Internetnutzung und bei ihrer Kommunikation überwacht haben. Doch die heimliche Verfolgung von Verbrauchern im Internet ist nicht nur den Geheimdiensten vorbehalten: Viele Unternehmen sind eifrig damit beschäftigt, möglichst viele Daten über Verbraucher zu sammeln. Personenbezogene Daten und Informationen sind ein wichtiger Rohstoff für viele neue Geschäftsmodelle, mit denen man hohe Umsätze erzielen kann. Wissenschaftler des Fraunhofer SIT haben mehr als 1600 von Deutschlands beliebtesten Internet-Auftritten analysiert und geprüft, in welchem Umfang dort das Nutzerverhalten durch Web-Tracking erfasst wird. Die Ergebnisse sind im Web-Tracking-Report 2014 zusammengefasst.


Herausforderungen für die IT-Sicherheitsforschung

Für die deutsche Forschung und Wirtschaft eröffnet sich die Chance, mit »Cyber Security Made in Germany« einen wesentlichen und nachhaltigen Beitrag zum Erfolg des Standorts Deutschland zu leisten. Profitiert werden kann hierbei vom hervorragenden Ruf des Gütesiegels »Made in Germany«.

»Cyber Security Made in Germany« hat das Potenzial, analog zu einem weiteren Erfolgsfaktor für den Standort Deutschland zu werden, wenn es gelingt, schlüssige Gesamtsysteme mit hoher Wirtschaftlichkeit, angemessen hohes Sicherheitsniveau und Schutz der Privatsphäre zu realisieren. Ein fokussiertes und koordiniertes Forschungsprogramm zur IT-Sicherheit ist eine wesentliche Voraussetzung, um die hohe technische Kompetenz des Wirtschaftsstandortes Deutschland zu erhalten und auszubauen sowie wertbeständige Lösungen zu entwickeln. Dieses Positionspapier der Fraunhofer-Gesellschaft gibt Empfehlungen zur Ausrichtung und Schwerpunktbildung eines solchen Forschungsprogramms.


Sicherheitstechnik im IT-Bereich

M. Waidner, M. Backes, J. Müller-Quade

SIT-TR-2013-04

In Wirtschaft und Verwaltung besteht großer Nachholbedarf in der Umsetzung von IT-Sicherheitslösungen. Selbst elementare Techniken wie Dateiverschlüsselung, Identitätsmanagement oder sichere Nachrichtenübertragung werden nur unzureichend eingesetzt.
IT-Sicherheit erfordert aber weit mehr als die Umsetzung bekannter Techniken. Es müssen auch zahlreiche Fragen der angewandten und der Grundlagenfor-schung beantwortet werden.


Privatsphärenschutz und Vertraulichkeit im Internet

M. Herfert, M. Waidner

SIT-TR-2013-03

Seit Juni 2013 enthüllte der ehemalige US-Geheimdienstmitarbeiter Edward
Snowden zahlreiche Details über die massenhafte Ausspähung von Daten im
Internet durch die Geheimdienste NSA und GCHQ. Das Interesse an IT-Lösungen zum Schutz vor Ausspähung ist seither sprunghaft angestiegen. Viele sinnvolle IT-Lösungen existieren bereits, viele Probleme sind aber noch nicht ausreichend gelöst und erfordern weitergehende Forschung und Entwicklung in der Informationstechnologie. Wir präsentieren eine Reihe von Problemen, die erforscht und gelöst werden müssen, um Vertraulichkeit und Privatsphärenschutz im Internet angesichts der Gefahr von Massenüberwachung sicherzustellen. Massenüberwachung und der damit verbundene Verlust von Vertraulichkeit und Privatsphäre sind keineswegs die einzigen Gefahren, vor denen sich Bürger und Unternehmen im Internet schützen müssen. Viele weitere Aspekte von IT-Sicherheit und Privatsphärenschutz im Internet erfordern ebenfalls Forschung und Entwicklung.


Soziale Netzwerke bewusst nutzen

A. Poller, U. Waldmann

SIT-TR-2013-02

Soziale Netzwerke wie Facebook, Google+ oder LinkedIn interessieren eine immer größere Anzahl von Nutzern, zunehmend auch Personenkreise, welche eher zurückhaltend neue Technologie adaptieren. Auch Unternehmen und Institutionen nutzen soziale Netzwerke mehr und mehr für ihre Zwecke wie Personalanwerbung, Marketing und interne Unternehmens-
kommunikation. Neben dem positiven Nutzen, den die Anwender aus diesen Softwareangeboten ziehen, treten immer häufiger auch Nachteile der Dienste in den Vordergrund und werden in Medien, Wissenschaft und Politik kritisch diskutiert. Dieses Dossier dokumentiert und kategorisiert öffentlich verfügbaren Quellen Szenarien, in denen Nutzer von sozialen Netzwerken oder Unternehmen, welche diese Dienste selbst oder über ihre Mitarbeiter nutzen, Opfer von Angri ffen auf die Privatsphäre oder IT-Sicherheit werden können.

Keywords: Soziale Netzwerke, Datenschutz, Privatsphäre, Identitätsfälschung, Identitätsdiebstahl, Facebook


Eberbacher Gespräch zu »Cloud Computing«

M. Waidner, M.Herfert, M. Enzmann, O. Küch

Angewandte Forschung zur IT-Sicherheit braucht den Dialog zwischen Wissenschaft und Wirtschaft, um anwendungsrelevante Antworten auf die grundsätzlichen Fragestellungen zu erhalten: Was sind die aktuellen Herausforderungen für IT-Sicherheit und Datenschutz in der Praxis? Was ist für die Zukunft zu erwarten? Was kann und soll Technik leisten, wo sind die Grenzen des Machbaren? Wo braucht es neue Ideen? Die »Eberbacher Gespräche« des Fraunhofer SIT bieten ein Forum für diesen Dialog. Experten aus Wissenschaft und Wirtschaft treffen sich für jeweils einen Tag im Kloster Eberbach und erarbeiten für ein Thema gemeinsam Antworten auf diese Fragen. Im September 2011 ging es um »Sicherheit im Cloud Computing«.

 


Entwicklung sicherer Software durch Security by Design

M. Waidner, M. Backes, J. Müller-Quade

SIT-TR-2013-01

Software ist heute wie auch zukünftig der wichtigste Treiber von Innovationen in vielen Anwendungsbereichen und Branchen. Viele Schwachstellen und Angriffe lassen sich auf Sicherheitslücken in Anwendungssoftware zurückführen. Sicherheitsfragen werden bei der heutigen Entwicklung oder Integration von Anwendungssoftware entweder überhaupt nicht oder nur unzureichend betrachtet, so dass durch Anwendungssoftware immer wieder neue Ansatzpunkte für Angriffe entstehen. Dieser Trend- und Strategiebericht vertritt die These, dass die Entwicklung und Integration sicherer Software nach dem Prinzip Security by Design ausgestaltet werden muss und benennt entsprechende Herausforderungen für eine praxisorientierte Forschungsagenda.

Keywords: Security by Design, Secure Engineering, Software Engineering, Security Development Lifecycle, Application Security, Supply Chain, Software Development


Development of Secure Software with Security by Design

M. Waidner, M. Backes, J. Müller-Quade

SIT-TR-2013-01

This trends and strategy report argues that the development and integration of secure software has to follow the Security by Design principle and defines respective challenges for a practice oriented research agenda. Software is the most important driver for innovations in many industries today and will remain so in the future. Many vulnerabilities and attacks are due to security weaknesses in application software. During application software development or integration, security issues are either taken into account insufficiently or not at all, which
constantly leads to new openings for attacks.

Keywords: Security by Design, Secure Engineering, Software Engineering, Security Development Lifecycle, Application Security, Supply Chain, Software Development


Untersuchung von reputationsbasierten Schutzmechanismen gegen Malware-Angriffe in Browsern

K. Czajkowski, M. Schneider, R. Wolf, Y. Yannikos

SIT-TR-2012-02

Computerbenutzer sind heute im Internet vielen Risiken ausgesetzt. So drohen beispielsweise Angriffe mittels Malware, wenn sie mit ihrem Browser im Internet unterwegs sind. Browserhersteller haben in ihren Browsern Mechanismen vorgesehen, welche die Benutzer vor diesen Angriffen schützen. Diese Mechanismen zur verwenden Reputationssysteme, mittels derer sie Angriffsversuche von bekannten Internetadressen (URL) oder mit bekannter Malware blockieren können und somit die Risiken für Benutzer reduzieren. Die heutigen Browser verwenden zur Umsetzung dieser Reputationssysteme unterschiedliche Technologien. In dieser Arbeit wird die Leistungsfähigkeit reputationsbasierten Schutzmechanismen zur Abwehr von Malware-Angriffen untersucht und verglichen. Hierzu wurden die Browser vielen realen Angriffen ausgesetzt und ihre Eigenschaften im Rahmen eines Black-Box-Ansatzes getestet. Danach wurden die durch die Tests erhaltenen Messungen anhand von zahlreichen verschiedenen Kriterien analysiert und ausgewertet.

Die Untersuchung und Erstellung dieser Studie wurde mit finanzieller Unterstützung der Microsoft Deutschland GmbH und dem Center for Advanced Security Research Darmstadt durchgeführt.

Keywords: Malware, Reputationssysteme, Web-Sicherheit, Hacking, Browsersicherheit


On the Security of Cloud Storage Services

M. Borgmann, T. Hahn, M. Herfert, T. Kunz, M. Richter, U. Viebeg, S. Vowé

SIT-TR-2012-01

Cloud Storage-Dienste versprechen ständigen Zugriff auf digitale Daten - einfach und preiswert. Erfolgreiche Angriffe auf Cloud Storage-Dienste haben allerdings gezeigt, dass die Sicherheit dieser Dienste oft verbesserungswürdig ist. Zu diesem Ergebnis kommt auch das Fraunhofer-Institut für Sichere Informationstechnologie in seiner jüngsten englisch-sprachigen Studie: "On the Security of Cloud Storage Services", die Sie hier kostenlos in unterschiedlichen Formaten herunterladen können. Die Ergebnisse der Studie wurden kurz vor der Veröffentlichung noch einmal überprüft und werden regelmäßig aktualisiert. Das Addendum informiert über die jüngsten Entwicklungen und Änderungen.

Keywords: Cloud Computing, Cloud Storage, Security, Privacy, Encryption, Condentiality, Outsourcing