Hochwertiger Zufall schützt Unternehmen
"Bugs" der 90er leben versteckt in IoT-Geräten, integrierten Systemen und Industriesteuerungen
 |
Echter Zufall aus einem Generator (Quelle: René Pfeiffer, eigenes Werk) |
Wien (pts006/20.11.2019/09:15) Moderne Informationssicherheit kommt nicht ohne Mathematik aus. Dabei geht es weniger um Statistik in Form von Betriebsdaten oder Risikoanalysen. Es geht um Kryptographie, die wird ständig im Alltag einsetzen. Sie benutzt Elemente, welche auf hochwertigen Zufallszahlen aufbauen, um Informationen vor Attacken zu schützen. Die diesjährige DeepSec Sicherheitskonferenz widmet sich wichtigen Aspekten der Umsetzung in Produkten - Schutz von Daten bei Transport und Speicherung.
Schutz der digitalen Transformation
Egal ob "intelligente" Glühlampen und Leuchtmittel, Heizungs- oder Gebäudesteuerungen, Fernseher, Industrieanlagen oder ganze Produktionsstraßen - die digitale Transformation erfasst alle Bereiche unseres Lebens und führt zu Veränderungen.
Auf der einen Seite eröffnet die Digitalisierung Chancen wie die Optimierung von Prozessen, eine effizientere Nutzung eigener und externer Ressourcen, die Vernetzung von Wertschöpfungsketten oder digitale Wartung. Gleichzeitig ergeben sich jedoch nicht zu unterschätzende Risiken. Das Gewährleisten der Datensicherheit und -echtheit sowie die Einhaltung geforderter Sicherheitsstandards stellt viele Unternehmen vor große Herausforderungen. Dabei spielen die Kryptographie und der damit einhergehende Schutz der kryptographischen Schlüssel eine fundamentale Rolle - wer die Schlüssel besitzt hat die Kontrolle.
Auf der diesjährigen DeepSec Sicherheitskonferenz in Wien stehen Experten der sematicon AG bereit um Risiken und Gefahren aktueller Implementierungen zu zeigen. Darüber hinaus werden sie mit Praxisbeispielen den Nachweis erbringen, dass es für alle Bereiche dieser neuen Technik passende und einfache Lösungen sowie Werkzeuge gibt um die Sicherheit - durch den Einsatz starker Kryptographie - drastisch zu erhöhen. Hierbei müssen solche Implementierungen keinesfalls auf Benutzerfreundlichkeit oder Wartbarkeit verzichten. Als Nebeneffekt erhöhen korrekt implementierte Lösungen sogar die Geschwindigkeit und sparen Strom, was gerade bei dezentralen sowie batterie- oder solarbetrieben Systemen von großem Interesse ist.
Warum man die IT-Sicherheit dem Zufall überlassen sollte
Seit den Berichten von Edward Snowden über die durchdringende Überwachung von Kommunikation hat sich die Verwendung von Verschlüsselung im Internet stark erhöht. Kaum eine bekannte Webseite verzichtet noch hierauf. Auch für Systeme jenseits des Desktops von intelligenten Sensoren bis hin zu großen Industrieanlagen ist Verschlüsslung heute unabdingbar. Diese Schlüssel müssen zufällig erzeugt werden, damit sie nicht leicht erraten werden können. Hochqualitative Zufallszahlen sind dafür notwendig. Zufall ist aber keine "Funktion" einer Softwarelösung, sondern bedient sich speziellen physikalischen Effekten, um eine hochwertige Qualität der Zufallszahlen sicherzustellen. Lassen sich diese Erraten oder Nachvollziehen ist der Weg zur Errechnung des Schlüssels nicht mehr weit. Die Erzeugung der schützenswerten Schlüssel basiert auf dem Prinzip des qualitativen Zufalls - auch bekannt als Entropie. Wer viele davon benötigt oder die Qualität steigern möchte, der sucht sich passende Quellen wie beispielsweise Hardware-Sicherheitsmodule, auch Hardware Security Modules (HSMs) genannt.
Auf der diesjährigen DeepSec Sicherheitskonferenz in Wien wird in Zusammenarbeit mit dem Münchner Unternehmen sematicon gezeigt, dass es für alle Bereiche der Technik passende Lösungen gibt, und dass die Angst vor einem Einsatz im eigenen Unternehmen unbegründet ist.
Seitenkanalangriffe - oder wie man Krypto-Schlüssel aus geschützter Hardware extrahiert
Während der DeepSec Konferenz wird durch die Firma sematicon AG unter anderem gezeigt, wie einfach man mit Windows-Bordmitteln und einer falsch konfigurierten PKI Zugriff auf ganze Unternehmensnetzwerke erlangt, oder wie man kryptographische Schlüssel aus vermeintlich geschützten IoT- oder Embeded Geräten extrahiert und somit die Firmware manipulieren kann. So werden einfache Haushaltsgeräte wie Glühlampen zum Einfallstor für Hacker. Ebenfalls wird kurz darauf eingegangen, wie Geheimnisse von Industrie-Equipment erlangt werden können, wenn die Sicherheit nicht von Anfang an korrekt implementiert wurde. Dabei handelt es sich keinesfalls um speziell präparierte Systeme, sondern um klassische Implementierungen wie man diese in der Wirtschaft findet. Es geht dabei keinesfalls um "Live Hacking", sondern um fachliche Expertise von Krypto-Experten die schon sehr viele Jahre in der Branche tätig sind und reichhaltig Erfahrung mitbringen. Gedacht ist diese Vorführung für alle die in ihrer Infrastruktur sichere Datenübertragung einbauen müssen, ganz egal auf welcher Ebene.
Kryptographie zugänglich vermittelt
Trotz dem thematischen Anteil höherer Mathematik ist es der DeepSec Konferenz und der sematicon AG ein Anliegen die Bedeutung der eingesetzten Methoden und Technologien für den Praxiseinsatz einem breitem Fachpublikum zu vermitteln. Die Demonstrationen und Vorträge richten sich nicht nur an Techniker und Entwicklerinnen, sondern auch an Projektverantwortliche, Manager und Designer von Produkten. Es sollen alle Ebenen eingebunden werden, da Informationssicherheit ein interdisziplinäres Unterfangen ist. Furcht vor der Materie ist daher völlig unbegründet. Die Vorträge und Veranstaltungen während der Konferenz bieten mehrere Wege zum Einstieg und zur Fortbildung durch Austausch mit Experten. Nutzen Sie diese Möglichkeit.
Programme und Buchung
Die DeepSec 2019 Konferenztage sind am 28. und 29. November. Die zweitägigen DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 26. und 27. November statt.
Der Veranstaltungsort für die DeepSec-Veranstaltung ist das Hotel The Imperial Riding School Vienna - A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.
(Ende)| Aussender: | DeepSec GmbH |
| Ansprechpartner: | René Pfeiffer |
| Tel.: | +43 676 5626390 |
| E-Mail: | deepsec@deepsec.net |
| Website: | deepsec.net |
