Kompetenzbereiche

Security Engineering

Die zunehmende Vernetzung und Durchdringung von IKT in allen Lebens- und Arbeitsbereichen ist einer der Innovationsmotoren für die Gesellschaft und Wirtschaft des 21. Jahrhunderts. Sie birgt jedoch zeitgleich zunehmend Risiken und Gefahren in den Bereichen Datenschutzverletzung und Bedrohungen durch Cyber-Kriminalität. Die Diskussionen rund um die NSA-Affäre und die Enthüllungen von Edward Snowden zu den Spionagepraktiken internationaler Geheimdienste, aber auch die jüngst bekannt gewordenen Fälle von kriminellen Zugriffen auf Mailkonten und Passwörter sowie die „Heartbleed“-Lücke bei SSL-Verschlüsselungen zeigen, welch wichtige Anforderung IT-Sicherheit für Unternehmen ist, die von Informationstechnologie abhängen. Daher befasst sich die Abteilung Security Engineering mit Security im Software Engineering. Ein besonderer Schwerpunkt liegt hier auf der Datensicherheit, die für vernetzte Informationssysteme zunehmend an Bedeutung gewinnt. In modernen IT-Anwendungen und -Diensten werden ständig große Mengen an geschäftskritischen und personenbezogenen Daten verarbeitet und ausgetauscht. Dies kann unter Umständen sowohl unabsichtlich als auch unbemerkt vonstatten gehen. Daher ist es für das Unternehmen, aber auch für den einzelnen Anwender, essenziell, die Nutzung (einschließlich der Verbreitung) von schützenswerten oder sensiblen Daten kontrollieren zu können, um einen Missbrauch von Beginn an zu verhindern. Das von uns entwickelte IND²UCE Framework umfasst alle Komponenten, welche zu einer umfassenden Datennutzungskontrolle in einem Unternehmen führen. Es orientiert sich an gängigen Standards und ermöglicht durch einen komponentenbasierten Aufbau maßgeschneiderte Sicherheit für jedes Einsatzgebiet.

Schwerpunktthemen

Nutzungskontrolle für verteilte Daten

Um private Nutzer oder unternehmensbezogene Informationen hinsichtlich Datenmissbrauch, z. B. in Form von Identitätsdiebstahl, Preisgabe strategischer Geschäftsdaten oder Imageverlust aufgrund von Datenschutzverletzungen, schützen zu können, reichen einfache Formen der Zugangskontrolle nicht mehr aus. Deshalb setzt das Fraunhofer IESE auf innovative Mechanismen der Datennutzungskontrolle. Durch Verwendung von vordefinierten Regeln zur Datennutzung und Modifikationen an den verwendeten und beteiligten IT-Systemen wird überwacht und sichergestellt, dass die Daten nur gemäß spezifizierter Regeln, so genannter »Policies«, verwendet werden können.

Security Audits und Definition von Sicherheitskonzepten

Sicherheitslücken in IT-Systemen können gravierende Schäden verursachen und durch den Vertrauensverlust direkt auf den Geschäftserfolg durchschlagen. Wir unterstützen unsere Kunden bei der Ermittlung ihrer Sicherheitsanforderungen bezüglich einschlägiger Richtlinien und Standards. Im Kundenauftrag definieren wir Sicherheitskonzepte für Infrastruktur und Software oder führen werkzeuggestützte Bewertungen existierender Systeme und Konzepte hinsichtlich der relevanten Sicherheitsanforderungen und Standardkonformität durch.