Definition neuer Sicherheitsstandards für mobile Endgeräte künftiger Generation

Forschungsprojekt SEPIA ist ein Konsortium von fünf Partnern aus Industrie und Forschung

(05.11.10) - Fünf Partner aus Industrie und Forschung haben sich im europäischen Forschungs-projekt SEPIA (Secure Embedded Platform with advanced Process Isolation and Anonymity capabilities) zusammengetan, um Sicherheitsstandards für künftige Generationen von Mobilgeräten wie High-End-Mobiltelefonen und Tablet-PCs zu definieren. Da der Zugriff auf Finanzdienstleistungen wie Bankgeschäfte oder Zahlungsverkehr zunehmend über Mobilgeräte erfolgt, wird es immer wichtiger, sichere zertifizierte Plattformen für Mobiltelefone bereitzustellen, um solche kritischen Anwendungen effektiv vor Sicherheitsbedrohungen zu schützen. Das Forschungsprojekt SEPIA ist ein Konsortium der Unternehmen ARM, Brightsight, Giesecke & Devrient (G&D) sowie Infineon Technologies und wird durch das 7. EU-Forschungsrahmenprogramm (7. FRP) gefördert; die Projektkoordination obliegt der Technischen Universität Graz.

Mobile Endgeräte spielen heutzutage eine zunehmend wichtigere Rolle in Beruf und Privatleben. Sie werden immer häufiger für die Nutzung von Online-Banking, standortbezogener Dienste sowie sozialer Netzwerke im Internet eingesetzt. Daher gilt die zunehmende Sorge der Wahrung von Sicherheit, Privatsphäre und Anonymität der Nutzer. Derzeit existieren allerdings bei Mobil-plattformen jedoch keine einheitlichen Sicherheitsstandards, die Technik weist erhebliche Unterschiede auf. Dem soll SEPIA im Rahmen seiner Laufzeit von drei Jahren durch die Entwicklung verbesserter Sicherheitsmechanismen und neuer Zertifikationsmethoden Abhilfe verschaffen.

"SEPIA nimmt ein immer dringlicher werdendes Sicherheitsproblem in Angriff. Dieses findet auf europäischer Ebene zunehmend Beachtung, insbesondere im Hinblick auf mobile Anwendungen wie Online-Banking", sagt Herbert Reul, Vorsitzender des Ausschusses für Industrie, Forschung und Energie im Europäischen Parlament.

SEPIA soll es dem Verbraucher ermöglichen, über Mobilgeräte risikobehaftete Anwendungen wie Online-Banking, standortbezogene Dienste und Online-Netzwerke zu nutzen, während persönliche und vertrauliche Daten wie Nutzername, Kennwort und Standort, sowie Bankverbindung und Transaktionsdaten in einer separaten geschützten Umgebung gespeichert und verarbeitet werden. Ziel des Projekts: Kritische Anwendungen sollen neben anderen Diensten wie Online-Spiele und Software-Downloads in einer geschützten und isolierten Umgebung laufen, ohne von Viren, Trojanern und anderer Schadsoftware angegriffen zu werden.

Technisch wird das Projekt SEPIA auf einer Mobilplattform basieren, welche die "ARM-TrustZone"-Technologie, die eine geschützte Umgebung innerhalb moderner Einchipsysteme schafft, mit dem von G&D entwickelten hochsicheren Betriebssystem MobiCore kombiniert. Das Zusammenspiel stellt bei der Nutzung von Online-Diensten mit sicherheitsrelevanten Funktionen - wie etwa beim Online-Zahlungsverkehr - sicher, dass die über die Tastatur eingegebenen Daten wie Nutzername und Kennwort, beziehungsweise deren Wiedergabe auf dem Display, nicht durch Schadsoftware auf dem Mobiltelefon manipuliert werden können.

Dank seiner Erfahrung auf dem Gebiet hardwaregestützter Sicherheitslösungen kann Infineon eine zukunftweisende Technik einbringen, die Nutzerdaten und Kennwörter sicher speichert, um neue mobile Plattformen noch sicherer zu machen. Brightsight entwickelt neuartige und wirtschaftliche Zertifizierungsmethoden, so dass Mobilplattformen in Zukunft stufenweise zertifiziert und Produkteinführungszyklen verkürzt werden können. Das Institut für Angewandte Informations-verarbeitung und Kommunikationstechnologie der Technischen Universität Graz verantwortet die wissenschaftlichen Aspekte des Projekts, darunter Methoden zur Anonymitätswahrung und die Entwicklung von Sicherheitsmechanismen für künftige Mobiltelefonprozessoren.

Das Projekt SEPIA wird mit Mitteln aus dem 7. FRP der Europäischen Union gefördert und unterstützt Europas Vorreiterrolle auf dem Gebiet der Mobilfunktechnologie. Gemeinsame plattformübergreifende Sicherheitskonzepte können mit SEPIA leichter etabliert werden; zudem sorgt der neue Ansatz bei der Sicherheitsevaluation für kürzere Produkteinführungszeiten. (Giesecke & Devrient: ma)