Sadeghi, Ahmed-Reza

System Security, Vortrag am 18.5.2016

Mehr zur Person

Die Herausforderung:

Wer Sicherheit und Privatheit getrennt behandelt, täuscht darüber hinweg, dass Maßnahmen zugunsten von Sicherheit oft auf Kosten der Privatheit gehen und umgekehrt. Nur wer vom engen Zusammenhang dieser Anforderungen ausgeht, kann sie auch miteinander vereinbaren.

Aus der Diskussion:

Sicherheit kann nicht in nachträglicher Absicherung eines Systems bestehen, sondern muss von Anfang an mitgedacht werden (Security by Design). Die vielen Anwendungen und Software-Komponenten auf heutigen Computern – vom Druckertreiber über das E-Mail Programm bis hin zur Datenbank – teilen sich typischerweise die gleiche Hardware, müssen aber isoliert voneinander bleiben, wenn diese sicherheitskritische Operationen durchführen. Greifen zum Beispiel das Infotainment System und das Bremssystem im Auto auf die gleichen Ressourcen (Hardware- und Elektronik-Komponenten, Verbindungen) zu, wäre es fatal, wenn über ein kompromittiertes Infotainment System die Bremsfunktion angegriffen werden kann und das auch über Entfernung, wie man immer wieder auf den Hackerkonferenzen wie Blackhat oder Defcon demonstriert. Die zunehmende Komplexität unserer IT Systeme scheint unvermeidbar, da wir zunehmend von Digitalisierung, Computersystemen und Automatisierung abhängig werden. Komplexe Systeme sind jedoch auch leichter angreifbar, bieten eine größere Angriffsfläche. Für den Nachweis von Sicherheit kann für Forschungszwecke auch „gehackt“ werden. Unabhängige Forscher sollten nach dem Motto „Responsible Disclosure“ Produkte auf Sicherheitslücken prüfen: Halten sie ihre behaupteten Sicherheitseigenschaften tatsächlich ein? Da Anwendungen für sich genommen oft gar kein Sicherheitsproblem darstellen (siehe wiederum das Infotainment-System im Auto), wer kümmert sich dann um sie zugunsten der Systemsicherheit?

Perspektive:

Systembedingte Vulnerabilität nimmt auch in anderen Technikfeldern größere Bedeutung an – was können sie voneinander lernen?