Suche
Close this search box.

#WeKnowCybersecurity

Cybersecurity-Blog des Fraunhofer AISEC

Cybersicherheit
Christian Banse

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act (CRA): Sicherheitslücken lassen sich schneller entdecken und beheben, indem Sicherheitsinformationen automatisiert erstellt und ausgetauscht werden. Das Fraunhofer AISEC hat jetzt die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt.

Zum Artikel »
Christian Banse 16. Oktober 2024
Cybersicherheit
Immanuel Kunz

Privacy By Design in der Software-Entwicklung

Verstöße gegen Datenschutzbestimmungen und Eingriffe in die Privatsphäre sorgen immer wieder für Schlagzeilen. Oft sind reaktive Maßnahmen nicht weitreichend genug, um persönliche Daten in Unternehmen und öffentlichen Einrichtungen zu schützen. Datenschutzbewusste Organisationen nutzen daher einen etablierten Software-Entwicklungsprozess, der systematische Schutzmaßnahmen umfasst. Dazu gehören die Auswahl von Technologien zur Verbesserung des Datenschutzes, die Analyse potenzieller Bedrohungen sowie die kontinuierliche Neubewertung von Risiken während der Programmlaufzeit. In diesem Blogbeitrag geben wir einen Überblick, wie datenschutz- und privacyfreundliche Software entwickelt und betrieben werden kann. Dabei konzentrieren wir uns auf risikobasiertes Privacy Engineering als Basis für »Privacy by Design«.

Zum Artikel »
Immanuel Kunz 4. Juni 2024
Headerbild zum Blogartikel "Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS" im Cybersecurityblog des Fraunhofer AISEC
Kryptografie
Silvan Streit

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS

Für die Sicherheit von eingebetteten Systemen muss die Integrität und Authentizität der Software geprüft werden – z. B anhand von Signaturen. Gezielte Hardware-Angriffe ermöglichen jedoch die Übernahme des Systems mit Schadsoftware. Welchen Risiken sind moderne kryptografische Implementierungen ausgesetzt? Welche Gegenmaßnahmen sind zu ergreifen?

Zur Beantwortung dieser Fragen führte das Fraunhofer AISEC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie zu Laser-basierten Fehlerangriffen auf XMSS durch. Im Fokus steht ein hash-basiertes, quantensicheres Schema für die Erstellung und Überprüfung von Signaturen, das auf dem Winternitz One-Time-Signature-Verfahren (WOTS) basiert.

Zum Artikel »
Silvan Streit 6. März 2024
Quantencomputing
Kilian Tscharke

Anomalieerkennung mit Quantum Machine Learning zur Identifizierung von Cybersicherheitsproblemen in Datensätzen

Seit der Veröffentlichung von ChatGPT hat die Popularität des maschinellen Lernens (ML) immens zugenommen. Neben der Verarbeitung natürlicher Sprache (NLP) ist die Erkennung von Anomalien ein wichtiger Zweig der Datenanalyse, dessen Ziel es ist, auffällige und vom restlichen Datensatz abweichende Beobachtungen oder Ereignisse zu identifizieren. Am Fraunhofer AISEC forschen Cybersecurity-Experten an Methoden des Quantum Machine Learning (QML) zur Erkennung von Anomalien, um Cybersicherheitsprobleme in Datensätzen zu erkennen. Der Blogbeitrag zeigt zwei Ansätze: Die Klassifizierung von Quantenmaterie und die Berechnung von sicherheitsrelevanten Anomalien mithilfe eines Quantencomputers.

Zum Artikel »
Kilian Tscharke 30. Januar 2024
Industrial Security
Nico Haas

Der Weg zum automatisierten Cloud-Sicherheitsmonitoring

Die Überwachung der Sicherheit einer Cloud und eine entsprechende Zertifizierung erfordern erheblichen Aufwand und bestehen aus vielen, hauptsächlich manuellen und somit fehleranfälligen Prozessen. Unser Assurance-Tool »Clouditor« schafft Abhilfe, indem es die Vorbereitung auf ein Zertifizierungsaudit systematisiert und automatisiert. So lassen sich Cloud-Dienste kontinuierlich überwachen und ihre Compliance mit Cloud-Sicherheitskatalogen wie BSI C5[1], EUCS[2] oder CCM [3] überprüfen.

Zum Artikel »
Nico Haas 6. Dezember 2023
Industrial Security
Tobias Specht

gallia – ein erweiterbares Framework für Penetrationstests

gallia ist ein erweiterbares Framework für Penetrationstests mit Fokus auf den Automotive-Bereich, das von Fraunhofer AISEC unter der Apache 2.0 Lizenz entwickelt wurde. Der Anwendungsbereich der Toolchain umfasst die Durchführung von Penetrationstests von einem einzelnen Steuergerät bis hin zu ganzen Fahrzeugen. Derzeit liegt der Hauptfokus von Testings auf der UDS-Schnittstelle, ist aber nicht darauf beschränkt.
Der folgende Blogartikel gibt einen Gesamtüberblick über die Architektur von gallia. Er geht auf die Plugin-Schnittstelle sowie den beabsichtigten Automotive-Anwendungsfall ein. Der Beitrag behandelt zudem die Interaktion zwischen einzelnen Komponenten und zeigt, wie gallia für andere Anwendungsfälle erweitert werden kann.

Zum Artikel »
Tobias Specht 28. August 2023
Mobile Security
Lawrence Dean

Sicherheitskritische Risiken mit Android App Links

Android App Links ermöglichen die Verknüpfung von Webinhalten mit mobilen Anwendungen. Die bestehenden Systeme weisen jedoch mehrere sicherheitskritische Probleme auf – vor allem drei verschiedene Arten des Link-Hijacking. Bisher gab es kaum Informationen über den Forschungsstand hinsichtlich dieser Sicherheitslücken. Wurden sie bereits behoben und wann? Wie funktionieren unsichere Übertragungswege von Webinhalten zu mobile Anwendungen? Dieser Beitrag informiert über den Stand dieser Probleme und zeigt Wege auf, den Transfer sicherer zu gestalten.

Zum Artikel »
Lawrence Dean 19. Juli 2023
Kryptografie
Maximilian Richter

Eine behutsame Einführung in die gitterbasierte Post-Quanten-Kryptografie

In den letzten Jahren wurden erhebliche Fortschritte bei der Erforschung und Entwicklung von Quantencomputern erzielt. Ein voll entwickelter Quantencomputer wird in der Lage sein, eine Reihe von mathematischen Problemen – wie die ganzzahlige Faktorisierung und den diskreten Logarithmus – effizient zu lösen, die die Grundlage für eine Vielzahl von kryptografischen Verfahren bilden. Im Jahr 2016 hat das US-amerikanisch National Institute of Standards and Technology (NIST) einen offenen Wettbewerb ausgeschrieben, mit dem Ziel, geeignete Algorithmen für quantenresistente Kryptografie zu finden und zu standardisieren. Die Standardisierungsbemühungen des NIST streben sichere Post-Quanten-KEMs und digitale Signaturen an. In diesem Artikel werden zwei der zu standardisierenden Algorithmen, Kyber und Dilithium, vorgestellt und einige ihrer mathematischen Details skizziert. Beide Algorithmen basieren auf sogenannten Gittern und dem darauf aufbauenden »Learning with Errors«, die im Artikel näher beleuchtet werden.

Zum Artikel »
Maximilian Richter 14. Juni 2023
Trusted AI
Claudia Eckert

ChatGPT – neues Lieblingstool für Hacker?

Der KI-Software ChatGPT wird einiges zugetraut: Zeitungsartikel soll sie schreiben, Abschlussarbeiten verfassen – oder Malware programmieren. Entwickelt sich mit ChatGPT ein neues Tool, mit dem Hacker und Cyberkriminelle noch einfacher Schadsoftware erstellen können? Institutsleiterin Prof. Dr. Claudia Eckert und KI-Experte Dr. Nicolas Müller ordnen das Bedrohungspotential durch ChatGPT für die digitale Sicherheit ein.

Zum Artikel »
Claudia Eckert 5. April 2023
IoT-Sicherheit
Katharina Bogad

Mit Fuzzing Schwachstellen in der Wi-Fi-Kommunikation finden

Fuzzing ist eine automatisierte Methode, um Software zu testen. Dabei werden ungültige, fehlerhafte oder unerwartete Eingaben eingegeben, um Fehler aufzudecken. Unsere Kollegin Katharina Bogad aus der Abteilung Secure Operating Systems nutzt Fuzzing, um Security-Schwachstellen in eingebetteten Wi-Fi-Geräten aufzuspüren.
Im Blogartikel gibt unsere Expertin Einblicke in das automatische (Fuzz-)Testen von 802.11-Firmware und -Treibern.
Sie erklärt, warum es notwendig ist, eine drahtlose Verbindung willkürlich zu ändern, und untersucht die Hardware- und Softwareanforderungen dafür. Darüber hinaus erläutert sie, wie man den Monitormodus für passives Hören und Frame-Injection verwendet, und schließt mit einem Überblick verschiedener Fallstricke der Methode.

Zum Artikel »
Katharina Bogad 24. Februar 2023

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
Twitter Linkedin Youtube Xing Rss