Cybersicherheitsforschung für die Zukunft

IT-Sicherheit ist die Grundvoraussetzung für die Digitalisierung. Ob bei Automotive, Produktion, kritischen Infrastrukturen oder digitalen Services – das Vertrauen in die Sicherheit neuer Technologien ist unabdingbar.

Cybersicherheitsforschung für die Zukunft

Interview: »Oft mangelt es am Bewusstsein«

Prof. Michael Waidner (Fraunhofer SIT) und Prof. Claudia Eckert (Fraunhofer AISEC).
© Foto Fraunhofer

Prof. Michael Waidner (Fraunhofer SIT) und Prof. Claudia Eckert (Fraunhofer AISEC).

Die digitale Transformation ermöglicht und treibt neue Geschäftsmodelle voran. Wenig Zweifel gibt es, dass Digitalisierung ohne Sicherheit und Vertrauen in neue Technologien nicht erfolgreich sein wird. Vernetzte Autos, Industrie 4.0, digitale Services oder die Energiewende sind ohne ein Höchstmaß an Cybersicherheit nicht denkbar.

Ein Interview mit Prof. Claudia Eckert vom Fraunhofer-Institut für Integrierte Sicherheit AISEC und Prof. Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie SIT zu Herausforderungen, Chancen und Initiativen in punkto Cybersicherheit.

Cybersicherheit Automotive

© Foto Fraunhofer ESK

Ob selbstfahrende Autos oder Elektromobilität  – die Digitalisierung verändert Fahrzeuge und Automobilindustrie. Moderne Autos enthalten heute mehr Programmiercode als ein Flugzeug und der Fahrer hinterlässt heute Datenspuren – zum Beispiel Bewegungs- und Geschwindigkeitsprofile. Autohersteller nutzen solche Informationen, um ihre Produkte zu verbessern. Versicherungen können anhand des Fahrverhaltens beispielsweise Vergünstigungen für umsichtige Fahrer anbieten. Datenschützer sehen das Ganze allerdings skeptisch: Denn bislang hat der Fahrer keine Kenntnis und keinen Einfluss darauf, welche Daten er preisgibt. Dies wollen Forscher vom Fraunhofer-Institut für Sichere Informationstechnologie SIT im Projekt »Selbstdatenschutz im vernetzten Fahrzeug – SeDaFa« nun gemeinsam mit Partnern aus Forschung, Bund und Industrie ändern.

Mit steigender Komplexität der Fahrzeug-IT wachsen zudem auch die Risiken der Hackerangriffe. Gleich in mehreren EU-Projekten entwickeln Fraunhofer-Forscher deshalb durchgängige und einheitliche IT-Sicherheitskonzepte für die Car2X-Kommunikation, um die Authentizität, Integrität und Vertraulichkeit beim Austausch von sensiblen Daten sicherzustellen.

Ein weiteres mögliches Sicherheitsrisiko der Autos der Zukunft betrifft das Thema tanken: Wie kann man sicherstellen, dass niemand sein Auto auf Kosten anderer betankt? Wie lässt sich vermeiden, dass sich aufgrund der Tankvorgänge Bewegungsprofile erstellen lassen? Solchen und ähnliche Fragen widmen sich Forscher im Projekt »Delta«.

Aktuelle Projekte

 

Selbstdatenschutz im vernetzten Fahrzeug

Vernetzte Fahrzeuge senden Daten an Hersteller, Werkstätten, Versicherungen oder Ersatzteilproduzenten. Im Projekt SeDaFa – Selbstdatenschutz im vernetzten Fahrzeug – entwickelt das Fraunhofer SIT Lösungen, mit denen Autonutzer selbst darüber bestimmen können, auf welche Daten zugegriffen werden darf.

 

IT-Sicherheit und Datenschutz für die Elektromobilität

Im Projekt DELTA entwickelt das Fraunhofer SIT zusammen mit den Projektpartnern ein Schutzprofil für sicheres und datenschutzgerechtes Laden und Abrechnen von Elektrofahrzeugen sowie  einen Prototyp einer sicheren Ladesäule.

 

Fahrzeug-zu-Fahrzeug-Kommunikation

Das EU-Forschungsprojekt PRESERVE hat sich das Ziel gesetzt, ein sicheres und skalierbares Subsystem für die Fahrzeug-zu-Fahrzeug-Kommunikation zu entwerfen, zu implementieren und zu testen, welches insbesondere die Anforderungen der IT-Sicherheit berücksichtigt.

 

Mehr Sicherheit für Automotive IT

Die zunehmende Vernetzung von Autos birgt auch neue Angriffsmöglichkeiten. Basierend auf einem TPM 2.0 (Trusted Platform Module) hat das Fraunhofer SIT eine Software-Plattform entwickelt, mit der sichere Steuergeräte entwickelt werden können.

Cybersicherheit in der Produktion

© Foto Fraunhofer IWU

Produktionsanlagen waren bislang kaum an das Netz angebunden – und somit vor Angriffen aus dem Internet geschützt. Im Zuge von Industrie 4.0 ändert sich das: Die Maschinen kommunizieren miteinander, die Netzwerke werden weiter geöffnet, sei es innerhalb des Unternehmens oder zu externen Partnern. Die Anlagen sind damit verwundbarer: Pro Jahr entsteht allein der Industrie ein Schaden von mehr als 22 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage, ermittelte der Branchenverband Bitkom 2016.

Um vernetzte Industrieanlagen effektiv vor Cyberangriffen und Spionage zu schützen, wurde das »Nationale Referenzprojekt für IT-Sicherheit in der Industrie 4.0«, kurz IUNO, ins Leben gerufen. 21 Partner ziehen dort an einem Strang – darunter drei Fraunhofer-Institute sowie Bosch, Siemens und Volkswagen.

Speziell auf Produktions- und Automatisierungstechnik zugeschnitten ist das IT-Sicherheitslabor des Fraunhofer IOSB. In dem Labor können Wissenschaftler die gesamte komplexe IT-Infrastruktur einer Fabrik nachbilden, samt Büronetz sowie den Netzen zur Produktionsplanung, -überwachung und –steuerung.

Wie es um rechtliche, organisatorische und technische Aspekte in punkto IT-Sicherheit für die Industrie steht, haben die Forscher mehrerer Fraunhofer-Institute gemeinsam mit weiteren Partnern für die gleichnamige Studie des Bundesministeriums für Wirtschaft und Energie BMWi analysiert.

Aktuelle Projekte

 

Schutz für intelligente Fabriken

Der effektive Schutz der vernetzten Produktion vor Cyberangriffen und Spionage ist das Ziel des Forschungsvorhabens »Nationales Referenzprojekt zur IT-Sicherheit in Industrie 4.0«, kurz IUNO. Dabei sollen Bedrohungen und Risiken für die intelligente Fabrik identifiziert und entsprechende Schutzmaßnahmen entwickelt werden.  

 

IT-Sicherheitslabor checkt Produktionsnetze

Mit einem speziell für Produktions- und Automatisierungstechnik ausgestatteten IT-Sicherheitslabor bietet das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB eine gesicherte Testumgebung, um potenzielle Angriffe auf Produktionsnetze nachzustellen.

 

Werkzeug für kritische Fragen

Die Kontrolle abstrakter Cloud-Ressourcen ist anspruchsvoll und vielschichtig. Oft lassen sich wichtige Fragen nicht eindeutig beantworten. Hier setzt der Clouditor an, ein Assurance-Werkzeug, das Produkten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf genau auswertet.

 

Industrial Rights Management

Das Fraunhofer SIT hat ein Konzept entwickelt, mit dem Unternehmen Fabrikationsdaten auch in verteilten und vernetzten Umgebungen der Industrie 4.0 schützen können. Dies unterstützt Unternehmen bei der Realisierung neuer organisationsübergreifender Geschäftsmodelle.

 

Industrial Data Space

Die Initiative zum Industrial Data Space zielt vor diesem Hintergrund darauf ab, einen sicheren Datenraum zu schaffen, der Unternehmen verschiedener Branchen und aller Größen die souveräne Bewirtschaftung ihrer Datengüter ermöglicht. Die Initiative zum Industrial Data Space ist nicht durch geografische Grenzen limitiert, sondern hat eine europäische bzw. internationale Ausrichtung.

 

Vertrauenswürdiger Austausch geistigen Eigentums

Jedes fünfte deutsche Unternehmen musste bereits Delikte von Wirtschaftsspionage oder konkrete Verdachtsfälle verzeichnen. Vor diesem Hintergrund widmet sich das Projekt  »Vertrag« dem  »Vertrauenswürdiger Austausch geistigen Eigentums in der Industrie«.

 

Sicherheit für industrielle IT-Netze

Um Produktions-, Steuerungs- und Wartungsprozesse zu verbessern, vernetzen Unternehmen ihre industriellen Umgebungen mit Büro-IT und Internet. Dadurch steigt die Gefahr, dass es zu Störungen in den Betriebsabläufen kommt oder Angreifer Industrieanlagen und Maschinen gezielt manipulieren oder sabotieren.

Cybersicherheit für kritische Infrastrukturen

© Foto Fraunhofer

Energie, Wasser, medizinische Versorgung – legen Cyberangriffe solche Infrastrukturen lahm, sind die Ausmaße enorm. Doch gerade für kleinere Versorgerunternehmen ist es oftmals schwer, sich und damit das gesamte System adäquat zu schützen. Vor allem für diese Zielgruppe vereinfachen Fraunhofer-Forscher Schutz und Risikobewertung.

Die Herausforderung: Im Zuge der Energiewende sind die Anlagen nicht nur direkt miteinander, sondern zunehmend auch über das Internet verbunden. Was energiepolitisch viel Sinn macht, bedeutet aus Sicht der Cybersicherheit große Herausforderungen und verlangt leistungsstarke Sicherheitslösungen. Für die Verantwortlichen in den Betreiberanlagen heißt das: Sie müssen die IT-Sicherheit jederzeit auf dem neuesten Stand und flächendeckend aufrechterhalten – und zwar nicht  für eine zentralisierte Struktur, sondern für zahlreiche heterogene, regionale Unternehmen. Doch gerade für sie ist es oft schwierig, die Sicherheit zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationstechnik BSI gibt zwar eine standardisierte Beurteilung – eine Art umfassender Fragenkatalog – vor, um Risiken zu identifizieren. Allerdings ist diese zu komplex für kleinere Unternehmen. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC arbeiten daher im Projekt MOSAIK daran, diese Bewertung zu verschlanken: »Wir vereinfachen das Experten-zentrierte Verfahren des BSI auf ein einfacheres Vorgehen, welches auch Fachanwender durchführen können.«, sagt Dr. Jörn Eichler, Abteilungsleiter am AISEC.

Langfristig soll es dann sogar möglich sein, vorab verschiedene Maßnahmen durchzuspielen und zu testen, wie hilfreich sie jeweils gegen die konkret ermittelten Bedrohungen sind, ohne den laufenden Betrieb zu stören.

Aktuelle Projekte

 

MoSaIK - Analyse für kritische Infrastrukturen

Das Verbundprojekt MoSaIK (Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen) verfolgt das Ziel, insbesondere kleinere Betreiber Kritischer Infrastrukturen bei der Analyse der IT-Sicherheit ihrer Computer-, Leit- und Steuerungssysteme zu unterstützen.  

 

PREVENT - Sicherheit für Rechenzentren

Die Geschäftsprozesse von Banken sind von funktionierenden IT-Systemen abhängig. Im PREVENT-Projekt werden Methoden und Werkzeuge für eine systematische Sicherheitsbewertung von Rechenzentren entwickelt. 

 

Keine Chance für Kreditkartenbetrug

Der illegale Handel mit Kreditkartendaten blüht und Betrüger sind erfinderisch in der Wahl ihrer Mittel. Ob Trojaner im Kartenlesegerät oder gehackte Online-Accounts, die Betrugsmuster ändern sich schnell. Die Software »MINTify rule« unterstützt Banken dabei, Kreditkartenbetrug zu erkennen und stoppt verdächtige Abbuchungen nach bestimmten Regeln.

Cybersicherheit für Digitale Services

© Foto shutterstock

Seien es Suchmaschinen oder Online-Shops: Datenbasierte digitale und überall verfügbare Services erleichtern den Alltag. Aber wie ist es um die Sicherheit von Diensten, Schutz von Daten sowie letztlich auch Vermögenswerten und Identität bestellt? »Daten sind zum vierten Produktionsfaktor geworden«, sagt Michael Ochs, Geschäftsfeldmanager am Fraunhofer IESE. »Schutz der Privatsphäre, Identität und geistigem Eigentum sowie Vertrauen in die Services werden zu einer wesentlichen Fragestellung bei der Nutzung digitaler Dienste.«

Will man bestimmte Dienste nutzen, so geht das meist nicht, ohne die Geschäftsbedingungen zu akzeptieren. Ganz oder gar nicht. Das heißt aber auch: Man hat keinen Einfluss darauf, wer wann was mit den persönlichen Daten machen kann (be white). Möchte jemand nicht so transparent werden, bleibt nur, diese Dienste nicht zu nutzen (be black). Fraunhofer-Forscher ermöglichen nun eine dritte – und vor allem sicherere – Option: Be gray and be secure.

Aktuelle Projekte

 

Kontrolle über Daten

Mit der Technologie IND2UCE vom Fraunhofer IESE bestimmen die Nutzer allein, ob sie ihre Daten teilen wollen und wenn ja, in welcher Form. Zusammen mit biometrischen Verfahren, wie sie das Fraunhofer IGD es ermöglicht, steht einer sichereren Nutzung von digitalen Diensten nichts mehr im Wege.

 

Cloud Computing mit Geheimnisschutz

Gerade kleinere Unternehmen setzen heute noch zu selten Software-as-a-Service ein, weil sie hochvertrauliche Daten verarbeiteten. Sie verschenken so wichtige Effizienzpotentiale. Das Cloudless-Framework löst dieses Problem mit einem technologischen Ansatz.

Sicherheit leicht gemacht

© Foto shutterstock

Medizin muss bitter schmecken. Und Sicherheitslösungen müssen kompliziert sein, damit sie wirken. Das ist ein weit verbreiteter Irrtum. Denn tatsächlich könnten viele Angriffe verhindert werden, wenn Sicherheitstechnologien richtig eingesetzt werden oder Nutzer sie nicht umgehen würden. Dazu müssen sie leichter anwendbar sein.

Ziel des Usable-Security-Ansatzes ist, dass sich die Technik nach dem Menschen richtet statt – wie bisher viel zu oft – anders herum. Dabei stehen nicht nur die Endanwender im Fokus, sondern vor allem Softwareentwickler. Denn diese müssen Sicherheitsmechanismen von vorn herein mitdenken und in ihre Produkte einbinden. Je einfacher dies ist, desto weniger Fehler passieren bei der Integration und desto sicherer werden die Produkte.

Aktuelle Projekte

 

Volksverschlüsselung

Ende-zu-Ende-Verschlüsselung schützt vor Massenüberwachung. Obwohl es eine Vielzahl von Lösungen gibt, werden entsprechende Technologien bislang kaum genutzt, weil die Anwendung im Alltag für viele Menschen zu kompliziert ist. Mit der Volksverschlüsselung entwickelt das Fraunhofer SIT eine einfache Nutzungsmöglichkeit für Ende-zu-Ende-Verschlüsselung.

 

Maßgeschneiderte Netzwerksicherheit

Das Frauhofer SIT hat mit OrchSec (Orchestrator for Security Applications) eine Lösung entwickelt, die die Vorteile von Software-Defined Networking nutzt und dadurch ein höheres Maß an Netzwerksicherheit bietet, als dies in konventionellen Netzwerken möglich ist.

 

Human-Centric Security Visualizer

Bei dem Projekt Human-Centric Security Visualizer steht der Mensch bei der Sicherung des Cyberraums im Mittelpunkt. Dies geschieht durch ein integriertes Bild der IT-Sicherheitslage, welches verschiedene Aspekte von Netzwerk-Monitoring bis hin zu IT-Security-relevanten Prozessen berücksichtigt.

 

IT-Sicherheitspreis für Fraunhofer-Team

Die Horst Görtz-Stiftung hat Fraunhofer-Forschern des Centers for Research in Security and Privacy (CRISP) den Deutschen IT-Sicherheitspreis verliehen. Ausgezeichnet wurden Wissenschaftler aus Darmstadt und Paderborn für die Entwicklung der Harvester-Analysetechnik. Das Verfahren ermöglicht Aufdeckung versteckter Internet-Kommunikation von Android-Apps.