Moderne Produktionsmaschinen sind heute eine Form von Computer geworden. Allerdings keine für den Nutzer/Betreiber hoch anpassbaren Versionen wie wir sie aus der Office IT kennen, sondern streng nach dem ausgerichtet, was für die definierte Funktion der Maschine benötigt wird. Unter der Oberfläche verstecken sich aber häufig die gleichen Produkte, wie Linux- oder Windows-Systeme in unterschiedlichen Formen, die aber in der Regel nur vom Hersteller anpassbar sind. Der Betreiber und die Nutzer haben nur eingeschränkte Möglichkeiten der Konfigurationen. Sicherheitsmaßnahmen, die bei Office-IT Best-Practice sind, sind so nicht 1:1 in die Produktion übertragbar, obwohl sie im Zuge der Digitalisierung genauso benötigt werden: die Anforderungen an die Vernetzung der Maschinen nimmt zu, und die in der IT bekannten Schwachstellen finden sich nun auch in der Produktion. Der Vortrag geht auf typische Sicherheitsprobleme bei Produktionsmaschinen ein und gibt einen Überblick über Sicherheits- und Risikoszenarien durch den Einsatz von "intelligenten" Maschinen", predicitve Maintenance und mobilen Geräten zur Produktionssteuerung in mittelständischen Produktionsumgebungen.

Bei der Fernsteuerung von IoT-Geräten ist die via Smartphone besonders praktisch, denn das Smartphone ist meistens zur Hand. Ein typisches Beispiel aus dem privaten Bereich wäre das Öffnen der Haustür aus der Ferne ("Smart Lock") mit dem Smartphone. Unter all den Sicherheitsgefahren dabei soll es in diesem Vortrag darum gehen, welche Gefahr ein Trojaner auf dem Auslöse-Smartphone darstellt. Ein Trojaner könnte beispielsweise Passwort und andere Credentials auf dem Smartphone abhören und dann mit diesen Credentials zu beliebiger Zeit selber von diesem Smartphone aus eine relevante Aktion des IoT Geräts auslösen, und zwar heimlich, d.h., unbemerkt vom Benutzer. Im Beispiel des Smart Locks wäre das z.B. das Öffnen der Haustür. Der Vortrag stellt diese Gefahren dar und prüft, ob Erweiterungen des Smartphones wie z.B. Secure Element, Trusted Zone oder Biometrie (Fingerprint, etc.) vor dieser Gefahr schützen. Als alternative Lösung wird vorgeschlagen, das Auslösen von relevanten IoT-Aktionen mit einem Hardware Token zu bestätigen, das per NFC oder Bluetooth mit dem Smartphone kommuniziert. Idealerweise zeigt das Token dem Benutzer die geplante Aktion auf einem Display an ("Haustür öffnen?"). Es wird eine flexible Smartcard mit Display und Bluetooth vorgestellt, die genau diese Aufgabe erfüllt.

In der Behördenwelt definiert sich IT-Sicherheit entlang offizieller Einstufungsgrade für Verschlusssachen, wie "Nur für den Dienstgebrauch", "Vertraulich", "Geheim" oder "Streng Geheim". Wie sehen mobile Syteme aus, die solche behördliche Sicherheitanforderungen erfüllen sollen? Wie werden die Sicherheitsanforderungen vor dem Hintergrund der kurzlebigen Smartphone und Tablet-Generationen in Bundesbehörden umgesetzt? Und wie gehen Bundesbehörden mit den enormen Möglichkeiten von Apps aus App Stores um, ohne die Sicherheit ihrer Systeme zu gefährden?

Der Vortrag stellt die Herausforderungen der Smartphones und Tablets in Bundesbehörden und die Möglichkeiten eines sicheren Betriebs dar. Vor diesem Hintergrund werden die bereits vom BSI zugelassenen mobilen Systeme vorgestellt.

Die neue Zahlungsdienstrichtlinie PSD2 der Europäischen Union enthält Anforderungen, die zukünftig bei der Konzeption und dem Betrieb technischer Anwendungen durch kontoführende Institute zu berücksichtigen sind. Im Vortrag werden die Anforderungen der PSD2 zu den Themengebieten "Starke Kundenauthentifizierung" und "Bankenschnittstelle für Dritte" aus Sicht der IT-Sicherheit erläutert. Die sicherheitstechnischen Anforderungen werden interpretiert und mögliche Lösungen zur Erfüllung der Anforderungen aufgezeigt. Dabei stehen mobile Lösungen bei der Erfüllung der Anforderungen zur "Starke Kundenauthentifizierung" im Mittelpunkt der Betrachtung. In Bezug auf die "Bankenschnittstelle für Dritte" wird eine aktuell in der Diskussion befindliche Lösung zur Absicherung der Schnittstelle vorgestellt.

Jeder kennt das Problem aus seinem Alltag, wie war gleich nochmal das Passwort für diesen Dienst oder für diese E-Mail Adresse. Aus Sicherheitsgründen sollte man nicht zweimal dasselbe Passwort verwenden, weiterhin sollten jene auch eine entsprechende Länge und Komplexität aufweisen, um als sicher zu gelten. Als eine gute Lösung für diese Problematik haben sich Passwort Manager-Anwendungen herausgestellt. Neben den klassischen Desktop Lösungen gibt es auch Passwort Manager-Apps für Smartphones. Damit sollten prinzipiell alle wichtigen Passwörter oder anderweitigen Geheimnisse sicher und zentral auf einem Gerät gespeichert sein.

Eine Gruppe von Wissenschaftlern am Fraunhofer SIT hat mehrere bekannte und weit verbreitete Password Manager-Apps für Android auf deren Sicherheit untersucht. In dem Vortrag werden die Ergebnisse dieser Untersuchung vorgestellt. Dabei werden generelle Verwundbarkeiten, mögliche Angriffe und Implementierungsfehler in diesen Applikationen aufgezeigt. Weiterhin werden mögliche Schutzmaßnahmen und Best-Practice Ansätze diskutiert, welche Passwort Manager bzw. allgemeine Krypto-Containerlösungen in der Praxis umsetzen sollten.

Smartphones und andere Mobilgeräte sind mittlerweile praktisch omnipräsent sowie immer öfter wesentlicher oder sogar einziger relevanter Spurenträger. Es ist jedoch gefährlich, blind den Ergebnissen der verfügbaren IT-Forensik-Werkzeugen zu vertrauen. Denn neben offensichtlichen Herausforderungen wie der häufigen Schwierigkeit Geräte auch inkl. gelöschter Bereiche vollständig oder ohne Root-Rechte auszulesen, drohen besonders bei Live-Forensik auch mittels Anti- Forensik platzierte Gegenmaßnahmen, sowie simple Verarbeitungsfehler. Der Vortrag beleuchtet diese Gefahren und skizziert Handlungsmöglichkeiten.

Der Vortrag konzentriert sich auf Hardware-nahe IT-Sicherheit von Sicherheitschips und allgemeineren Chip-Platformen für eingebettete Systeme. Dabei werden wichtige Angriffe und Gegenmaßnahmen aus dem neuesten Stand der Technik diskutiert und deren Relevanz für allgemeine (mobile) eingebettete Systeme dargestellt.

Im Zuge der wachsenden Vernetzung eingebetteter Systeme im Rahmen von IoT und Industrie 4.0 wird die Realisierung von Sicherheit auch auf stark ressourcenbeschränkten Plattformen immer wichtiger. Die Absicherung der Kommunikation mittels kryptographischer Algorithmen und Protokolle wie TLS bildet dabei einen wesentlichen Baustein. Anhand der Softwarebibliothek fleaTLS werden die wesentlichen Aspekte und Alternativen, die beim Einsatz von kryptographischen Software- und Hardwarelösungen auf Microcontrollerplattformen von Bedeutung sind, erläutert.