CLEARER-Projekt auf der D.A.CH Security 2017 in München

Die D.A.CH Security hat sich zum Ziel gesetzt, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere werden dabei Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt. Da IT-Sicherheit integrierter Bestandteil nahezu aller informationstechnischen Anwendungen und Prozesse ist, sind auch regelmäßig Beiträge zu rechtlichen Rahmenbedingungen und wirtschaftlichen Faktoren enthalten. In diesem Jahr wurde u. a. das BMWi-Forschungsprojekt CLEARER vorgestellt. Veranstaltungsort war die Universität der Bundeswehr München, zu der die Hochschule Hannover eine enge Kooperation unterhält.

Auf der diesjährigen Konferenz ging es schwerpunktmäßig um KRITIS-Umgebungen und Gegenmaßnahmen zu Social Engineering. So wurde gleich am Anfang über Sicherheitsaudits von Embedded Systems auf Microcontroller-Ebene diskutiert, da diese vielfältig in KRITIS- und Industrie4.0-Umgebungen eingesetzt werden und für vernetze Systeme ursprünglich nicht eingeplant waren. Hier gestaltet sich die Überprüfung der Firmware schwierig, da diese nicht einfach zugänglich ist, sondern z.B. über ein Bootloader-Passwort geschützt ist. Zudem werden Seitenkanalangriffe und inverse Analyse zum Auslesen von Firmware immer häufiger angewandt. Mittels klassischer Codeanalyse wird dann versucht ein Eingriff bei sicherheitskritischen Operationen (z. B. Bootloader Checks) oder Leseoperationen auf einer Kommunikationsschnittstelle (Overread) zu erhalten. Abgesicherte Microcontroller werden heute meistens nur bei sicherheitsrelevanten Anwendungen, wie Online-Banking, verwendet. In anderen Industrien, wie z. B. im Automobilbereich sind diese Controller noch viel zu wenig verbreitet, wodurch noch zu viele Schwachstellen vorhanden sind.

Abbildung:Projektpräsentation im großen Hörsaal der Bundeswehr-Universität München
Abbildung: Projektpräsentation im großen Hörsaal der Bundeswehr-Universität München

Im Beitrag des CLEARER-Projektes wurde das SIEM-Projekt beschrieben, in dem mit Open-Source-Zutaten eine dynamische IT-Compliance umgesetzt wird. Dabei sollen NAC-Systeme um SIEM-Funktionalität erweitert werden. Der Beitrag enthält das Kernziel von CLEARER, nämlich die Erfüllung von Compliance-Anforderungen durch automatisierte Bearbeitung von IT-Sicherheitsvorfällen, sowie die entwickelte Architektur und Lösungen. Auch wurde auf ein Anwendungsbeispiel genauer eingegangen.

Die Universität der Bundeswehr setzte hingegen bei ihrem Vortrag auf Präventionsmaßnahmen, indem die Netzverteidigung mittels Simulation getestet werden soll. Grund ist, dass in heutigen Unternehmen Ausbildung und Training zum Thema IT-Sicherheit immer noch zu wenig vorgenommen wird, da für die Umsetzung meistens technische Maßnahmen notwendig sind. Die Motivation war daher die sog. Shooting Range – eine Anlage zum Trainieren und Üben des Umgangs mit Schusswaffen – auf die IT-Sicherheit zu übertragen. Eine Aufgabe dabei ist es, sich mit einem Test-Netzwerk vertraut zu machen und spielerisch Angriffe zu erkennen und auswerten zu können. Das Projekt „Cyber Range“ eignet sich damit hervorragend für die Durchführung von Praktikumsmodulen und vorlesungsbegleitenden Übungen. Ein Einsatz in der Forschung wäre auch möglich, um prototypische Implementierungen testen zu können.

Des Weiteren wurde eine Studie vorgestellt, nach der die IT-Sicherheit in KRITIS-Umgebung bisher unterrepräsentiert ist. Angriffe wurden zwar von fast allen Unternehmen festgestellt, wobei bei 40% auch Daten verloren gingen. Aber die eigene Lage wird meistens positiver eingeschätzt, als die Lage von anderen Unternehmen. Eine externe Zusammenarbeit mit IT-Dienstleistern findet oftmals statt, die IT-Sicherheit verbleibt aber meistens intern. Was etwas verwundert: das neue IT-Sicherheitsgesetz wird überwiegend als nicht überdimensioniert angesehen. Diese Aussage wird aber wohl nur von Unternehmen getroffen, die es auch kennen. Immerhin führen nur 55% eine regelmäßige IT-Risikobewertung durch. Der Bedarf nach Forschung ist dementsprechend hoch. Das Projekt CLEARER scheint daher auf dem richtigen Weg zu sein.

Zurück