#WeKnowCybersecurity

Cybersecurity-Blog des Fraunhofer AISEC

Cybersicherheit
Alexander Küchler

Codyze: Automatisierte Analyse von Cybersicherheitsanforderungen im Software-Code

Die manuelle Überprüfung der Einhaltung von regulatorischen Anforderungen wie den Bestimmungen des Cyber Resilience Acts ist nicht skalierbar. Unser Code-Analyse-Tool Codyze wandelt produktbezogene Anforderungen in überprüfbare Regeln um und bewertet automatisch, ob der Quellcode des Produkts diese erfüllt – sprach- und mikroserviceübergreifend. Zudem legt Codyze alle Analyseergebnisse für Entwickler, Sicherheitsteams und Auditoren transparent dar.

Zum Artikel »
Cybersicherheit
Nisha Jacob Kabakci

Laboruntersuchung zur Sicherheit der OpenTitan-Silizium-Root-of-Trust

Das Fraunhofer AISEC hat in Zusammenarbeit mit Google und lowRISC® die Hardware-Sicherheit des OpenTitan-Chip (OpenTitan-Silicon-Root-of-Trust) untersucht. Ziel war es, die Sicherheit von OpenTitan® unter einem starken Angriffsmodell zu analysieren, bevor der Einsatz in Servern und Chromebooks erfolgt. Die Evaluierung untersuchte die zentralen Sicherheitseigenschaften von OpenTitan und führte zu mehreren Härtungsmaßnahmen sowie Verbesserungen der Sicherheit.

Zum Artikel »
Quantencomputing
Daniel Loebenberger

Vom Warnsignal zur Werkbank: das PQC-Update 2026 zeigt, dass die Post-Quanten-Ära begonnen hat

Als wir das PQC-Update 2026 eröffneten, stand eine Frage im Raum: Ist Post-Quanten-Kryptografie noch Zukunftsmusik – oder längst Alltag für Behörden, Industrie und Standards? Die Antworten unserer Vortragenden waren überraschend konkret: Niederländische Leitfäden, deutsche Ausweise mit PQC, neue Sicherheitschips, aktualisierte Internet-Standards, Roadmaps einer kritischen Infrastruktur und Werkzeuge, die schon heute Ihre Krypto-Altlasten sichtbar machen. Wer nur wissen will, ob man sich jetzt kümmern muss: Ja. Wer wissen will, wie, liest weiter.

Zum Artikel »
Cybersicherheit
Matthias Hiller

Hardwaresicherheit in einer vernetzen Welt | Über Bedrohungsszenarien, Manipulationsschutz und die Bedeutung von Vertrauensankern

Wie können wir der Hardware vertrauen, die das Herzstück unserer vernetzten Welt bildet? In diesem Interview mit der Forschungsfabrik Mikroelektronik (FMD) erläutert Dr. Matthias Hiller, Leiter der Abteilung Hardware Security am Fraunhofer AISEC, welche Chancen und Herausforderungen im Design sicherer Hardware bestehen und wie sich Systeme wirksam vor Angriffen und Manipulation schützen lassen. Außerdem beleuchtet er die Bedeutung von Hardwaresicherheit für Europa und zeigt auf, welchen Beitrag das Fraunhofer AISEC im Rahmen der APECS-Pilotlinie zur Absicherung von Chiplets liefert.

Zum Artikel »
Cybersicherheit
Michael Weiß

Secure System-on-Chip: Interview mit Dr. Michael Weiß zum Schutz von Betriebssystemen und Hardware

Wie können wir Chips und Betriebssystemen vertrauen, die IoT-Geräte, die Industrie und die Cloud antreiben? In diesem Interview erklärt Michael Weiß, Cybersicherheitsforscher am Fraunhofer AISEC, wie GyroidOS, Secure System-on-Chip und offene Standards wie RISC-V überprüfbare und manipulationssichere Plattformen für die kritische Infrastruktur von morgen schaffen.

Zum Artikel »
IoT-Sicherheit
Christian Banse

Call for Paper: 2. Workshop zur Lifecycle Security für Smarte Systeme LIFESEC

Wie kann Sicherheit während des gesamten Lebenszyklus intelligenter Systeme gewährleistet werden – von Security by Design bis hin zur Einhaltung der EU-Regularien? Reichen Sie Ihr Paper bis zum 9. März ein, nehmen Sie am 22. Juni 2026 am LIFESEC-Workshop in Messina (Italien) teil und gestalten Sie die Cybersicherheit intelligenter Systeme mit.

Zum Artikel »
Industrial Security
Patrick Wagner

Cybersecurity Risk Management in der Automobilindustrie bereichsübergreifend meistern

Moderne Fahrzeuge sind vernetzte Systeme aus Software, Sensoren und Cloud-Diensten. Da Automobilhersteller ihre Arbeit auf Bereiche wie Entwicklung, Produktion und Backend aufteilen, können Cybersicherheitsrisiken leicht zwischen den Zuständigkeiten verloren gehen. Standards wie ISO/SAE 21434, die ISO/IEC 27000 Familie und die IEC 62443 Reihe liefern zwar wichtige Bausteine, erklären aber nicht, wie Cybersicherheit bereichsübergreifend wirksam aufeinander abgestimmt werden kann. Unsere Forschung am Fraunhofer AISEC zeigt die Folgen: schwer vergleichbare Risikoanalysen, unklare Kommunikation und fragmentierte Schutzstrategien. Die Lösung liegt in einem bereichsübergreifenden Ansatz, der Prozesse, Werkzeuge und Terminologie verbindet. Auf Basis einer strukturierten Analyse zentraler Cybersicherheitsstandards und Interviews mit Experten von sechs Automobilherstellern kontrastiert dieser Artikel die Erwartung der Standards mit der gelebten Praxis – und skizziert konkrete Schritte, um die bestehenden Lücken zu schließen.

Zum Artikel »
Cybersicherheit
Christian Banse

Automatisierte Cloud-Zertifizierung mit EMERALD: Architektur, Evidenz und vertrauenswürdige Sicherheit

Die Sicherheit von Cloud-Diensten wird angesichts zunehmender Komplexität und regulatorischer Anforderungen zur Herausforderung. Mit herkömmlichen Zertifizierungsverfahren lassen sich diese Anforderungen nur unter hohem finanziellem und zeitlichem Aufwand erfüllen. Das EU-Forschungsprojekt EMERALD verfolgt daher einen neuen Ansatz: Es entwickelt ein Framework für kontinuierliche, automatisierte Sicherheitszertifizierung auf Basis semantisch strukturierter Evidenzen. Dieser Beitrag erläutert die Konzepte, Methoden und Validierungsansätze der EMERALD-Plattform.

Zum Artikel »
Quantencomputing
Sebastian Issel

Ansätze zur Verifikation klassischer Software mit Quantencomputern

In diesem Beitrag untersuchen wir die Möglichkeit, die formale Verifikation klassischer Programme mithilfe von Quantencomputern zu beschleunigen. Häufige Programmierfehler wie Nullzeiger-Dereferenzierung und Zugriffe außerhalb von Array-Grenzen gehören zu den Hauptursachen für Sicherheitslücken. Unser Ansatz besteht darin, aus Codeausschnitten eine SAT-Instanz (Satisfiability) zu generieren, die genau dann erfüllbar ist, wenn das unerwünschte Verhalten im Programm vorhanden ist. Diese Instanz wird anschließend in ein Optimierungsproblem überführt, das mithilfe quantenbasierter Algorithmen gelöst wird – was potenziell eine asymptotisch polynomielle Beschleunigung ermöglicht.

Zum Artikel »
Industrial Security
Sebastian N. Peters

Gateway to the Danger Zone: Sicherer und authentischer Remote-Reset in der Maschinensicherheit

Die moderne Fertigung wird zunehmend digital. Dies ermöglicht neue Geschäftsmodelle und eine nie dagewesene Effizienz. Während die Fernsteuerung von Maschinen alltäglich geworden ist, erforderte die Maschinensicherheit immer noch ein persönliches, lokales Eingreifen – bis jetzt. Diese Lücke schließen wir mit einem sicheren, authentischen Remote-Reset-System für Sicherheitsereignisse und vereinen dafür zukunftssichere Kryptographie mit robustem Sicherheitsdesign. Hier erfahren Sie, wie wir die Grenzen der sicheren, dezentralen Fertigung neu definieren.

Zum Artikel »
Trusted AI
Dariush Wahdany

Differentially Private Prototype Learning (DPPL): Mit Prototypen Datenschutz und Privatsphäre im Machine Learning ermöglichen

Wie kann maschinelles Lernen die Privatsphäre wahren, ohne die Fairness zu beeinträchtigen? Die prototypbasierte Methode Differentially Private Prototype Learning ermöglicht, strenge Datenschutzvorgaben einzuhalten und gleichzeitig die Genauigkeit bei der Abbildung von unterrepräsentierten Gruppen zu verbessern. Durch die Berücksichtigung von Verzerrungen gewährleistet dieser Ansatz eine ethische und integrative KI-Entwicklung ohne Leistungseinbußen.

Zum Artikel »
Kryptografie
Markus Bever

Multi-Party Computation in the Head – eine Einführung

Im Jahr 2016 kündigte das National Institute of Standards and Technology (NIST) einen Standardisierungsprozess für quantensichere kryptografische Primitive an. Ziel war es, sichere Schlüsselkapselungsmechanismen (KEM) und Signaturverfahren zu finden. Ein einzigartiger Ansatz war das PICNIC-Signaturverfahren, das das MPC-in-the-Head-Paradigma (MPCitH) nutzt und als besonders sicher gilt, weil es auf gut erforschten Blockchiffren und Hash-Funktionen beruht. PICNIC wurde vom NIST als alternativer Kandidat angekündigt. Daraufhin wurden viele auf PICNIC aufbauende Nachfolgeverfahren wie BBQ, Banquet und FEAST vorgeschlagen, die verschiedene Blockchiffren und Variationen des ursprünglichen Konstruktionsparadigmas verwenden. Im Jahr 2022 kündigte das NIST eine zweite Ausschreibung speziell für Signaturverfahren an. Auf dem MPC-in-the-Head-Paradigma basierende Signaturschemata wurden aufgrund der Fülle der Anträge zu einer eigenen Kategorie. Dieser Artikel erklärt die Kernidee und Funktionalität früher MPCitH-basierter Signaturverfahren und wie wir am Fraunhofer AISEC diese Konzepte nutzen.

Zum Artikel »
Trusted AI
Nicolas Müller

Wie man passende Datensätze baut, um erfolgreich Audio-Deepfakes zu erkennen

Deepfakes stellen eine erhebliche Bedrohung für die Demokratie sowie für Privatpersonen und Unternehmen dar. Sie ermöglichen unter anderem Desinformation, den Diebstahl geistigen Eigentums oder Trickbetrug. Robuste KI-Erkennungssysteme bieten eine Lösung, doch ihre Effektivität hängt entscheidend von der Qualität der zugrunde liegenden Daten ab: »Garbage in, garbage out«. Aber wie erstellt man einen Datensatz, der für die Erkennung von Deepfakes – die sich ständig weiterentwickeln – gut geeignet ist und eine robuste Detektion erlaubt? Was macht hochwertige Trainingsdaten aus?

Zum Artikel »
Cybersicherheit
Tobias Specht

Parsing von X.509-Zertifikaten: Wie sicher sind TLS-Bibliotheken?

Digitale Zertifikate wie X.509 sind für die sichere Internetkommunikation unerlässlich, da sie Authentifizierung und Datenintegrität ermöglichen. Unterschiede in der Art und Weise, wie sie von verschiedenen TLS-Bibliotheken geparst werden, können jedoch zu Sicherheitsrisiken führen. In einer aktuellen Studie des Fraunhofer AISEC wurden sechs weit verbreitete X.509-Parser mit realen Zertifikaten analysiert. Die Ergebnisse zeigen Unstimmigkeiten auf, die sich auf sicherheitskritische Anwendungen auswirken könnten. In diesem Artikel fassen wir die wichtigsten Ergebnisse zusammen und erklären, warum Unternehmen ihre kryptografischen Bibliotheken genau unter die Lupe nehmen sollten.

Zum Artikel »
Kryptografie
Ivan Gavrilan

Impeccable Keccak: Absicherung kryptografischer Implementierungen mit fehlerresisitenten Schaltkreisen

Bedrohungen für die Cybersicherheit entwickeln sich stets weiter und kryptografische Implementierungen sind zunehmend von Angriffen durch Fehlerinjektionen gefährdet. Das Fraunhofer AISEC präsentiert mit Impeccable Keccak einen neuen Ansatz zur Sicherung von SLH-DSA (SPHINCS+), einem digitalen Signaturverfahren der Post-Quanten-Kryptografie, das von der NIST 2024 standardisiert wurde. Durch den Einsatz fehlerresistenter Schaltkreise und die Gewährleistung aktiver Sicherheit stellt dies einen neuen Ansatz für fehlerresistente Kryptografie dar.

Zum Artikel »
Quantencomputing
Maximilian Wendlinger

Quantenbasierte und klassische KI-Sicherheit: Wie man robuste Modelle gegen Adversarial Attacks entwickelt

Der Fortschritt im Quantum Machine Learning (QML) bringt spannende Entwicklungen mit sich, wie z. B. höhere Effizienz oder das Potenzial, Probleme zu lösen, die für klassische Computer unlösbar sind. Doch wie sicher sind quantenbasierte KI-Systeme im Vergleich zu klassischen KI-Modellen gegen Adversarial Attacks? Eine vom Fraunhofer AISEC durchgeführte Studie geht dieser Frage nach, indem sie die Robustheit von Quanten- und klassischen Machine-Learning-Modellen in Angriffssituationen analysiert und vergleicht. Unsere Erkenntnisse über Schwachstellen und Robustheit von Machine-Learning-Modellen bilden die Grundlage für praktische Methoden zum Schutz vor solchen Angriffen, die in diesem Artikel vorgestellt werden.

Zum Artikel »
IoT-Sicherheit
Felix Oberhansl

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zur Synthese von kryptografischen Hardware-Implementierungen

Die Studie des Fraunhofer AISEC zur Sicherheit kryptografischer Hardware-Implementierungen fokussiert Angriffe auf physische Hardware, wie Seitenkanalangriffe und Fehlerangriffe, sowie Maßnahmen zu deren Abwehr. Diese Schutzmechanismen können durch Optimierungen im Prozess des Chip-Designs potenziell Schaden nehmen. Die Untersuchung zeigt, dass Schutzmaßnahmen in komplexe Design-Abläufe integriert und bei der Hardware-Design-Synthese berücksichtigt werden sollten, um gegenüber Hardware-Angriffen resilient zu sein. Die Erkenntnisse nutzen Hardware-Designern bei der Entwicklung von robusten und sicheren Chips.

Zum Artikel »
Cybersicherheit
Christian Banse

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act (CRA): Sicherheitslücken lassen sich schneller entdecken und beheben, indem Sicherheitsinformationen automatisiert erstellt und ausgetauscht werden. Das Fraunhofer AISEC hat jetzt die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt.

Zum Artikel »
Cybersicherheit
Immanuel Kunz

Privacy By Design in der Software-Entwicklung

Verstöße gegen Datenschutzbestimmungen und Eingriffe in die Privatsphäre sorgen immer wieder für Schlagzeilen. Oft sind reaktive Maßnahmen nicht weitreichend genug, um persönliche Daten in Unternehmen und öffentlichen Einrichtungen zu schützen. Datenschutzbewusste Organisationen nutzen daher einen etablierten Software-Entwicklungsprozess, der systematische Schutzmaßnahmen umfasst. Dazu gehören die Auswahl von Technologien zur Verbesserung des Datenschutzes, die Analyse potenzieller Bedrohungen sowie die kontinuierliche Neubewertung von Risiken während der Programmlaufzeit. In diesem Blogbeitrag geben wir einen Überblick, wie datenschutz- und privacyfreundliche Software entwickelt und betrieben werden kann. Dabei konzentrieren wir uns auf risikobasiertes Privacy Engineering als Basis für »Privacy by Design«.

Zum Artikel »
Headerbild zum Blogartikel "Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS" im Cybersecurityblog des Fraunhofer AISEC
Kryptografie
Silvan Streit

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS

Für die Sicherheit von eingebetteten Systemen muss die Integrität und Authentizität der Software geprüft werden – z. B anhand von Signaturen. Gezielte Hardware-Angriffe ermöglichen jedoch die Übernahme des Systems mit Schadsoftware. Welchen Risiken sind moderne kryptografische Implementierungen ausgesetzt? Welche Gegenmaßnahmen sind zu ergreifen?

Zur Beantwortung dieser Fragen führte das Fraunhofer AISEC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie zu Laser-basierten Fehlerangriffen auf XMSS durch. Im Fokus steht ein hash-basiertes, quantensicheres Schema für die Erstellung und Überprüfung von Signaturen, das auf dem Winternitz One-Time-Signature-Verfahren (WOTS) basiert.

Zum Artikel »

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
WordPress Cookie Plugin von Real Cookie Banner