secUnity-Roadmap in Brüssel an ENISA übergeben

30 namhafte europäische IT-Sicherheitsexperten adressieren digitale Bedrohungen und formulieren Sicherheitsanforderungen

[datensicherheit.de, 10.02.2019] Laut einer Meldung des Karlsruher Instituts für Technologie (KIT) haben unter der Koordination des BMBF-Verbundprojektes „secUnity“ 30 namhafte europäische IT-Sicherheitsexperten in der „secUnity-Roadmap“ niedergelegt, wie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann: Am 5. Februar 2019 stellten diese – darunter KIT-Forscher – das Papier in Brüssel vor und übergaben es damit offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit (ENISA).

Wohlstand und die Sicherheit bedroht

Nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus – egal ob Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung oder Verwaltung… Gleichzeitig nimmt die Zahl der Cyber-Angriffe, die bekannt werden, stetig zu: Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen bedrohten den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie, warnt das KIT.
„Das Gefahrenpotenzial, das Cyber-Attacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, betont Prof. Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit (KASTEL) am KIT. Um all diesen Herausforderungen zu begegnen, brauche die zivile Cyber-Sicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cyber-Sicherheitsforschung auf EU-Ebene.

Angriffsflächen für Cyber-Kriminelle dehnen sich aus

In „secUnity“ arbeiten demnach IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind laut dem KIT, neben den drei nationalen Kompetenzzentren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit (AISEC) und für Sichere Informationstechnologie (SIT).
Cyber-Sicherheitsexperten bemängelten schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, „Smart Home“ oder selbstfahrende Autos noch potenzieren werde, würden die Angriffsflächen für Cyber-Kriminelle immer größer.

Digitale Souveränität Europas gefährdet

In der jetzt vorgelegten „Roadmap“, die das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Verbundprojekt „secUnity“ initiiert hat, haben laut KIT die über 30 europäischen Autoren zukünftige Herausforderungen und Lösungswege identifiziert. Zum Beispiel würden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von „Fake News“ untersucht und Vorschläge für mehr Sicherheit erarbeitet.
Sehr kritisch sehen die Experten demnach die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die Digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, sagt Prof. Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit (CRISP) und des Fraunhofer-Instituts SIT in Darmstadt. Zudem könnten Open-Source-Software- und Hardwarelösungen transparent in der EU entwickelt werden.

Systeme resilient betreiben!

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten verbaut und genutzt werde, reichten Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen nicht aus, um vernetzte Systeme wirksam zu schützen.
Am Beispiel „Smart Home“ führt Prof. Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben. Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies müsse natürlich insbesondere für kritische Infrastrukturen (KRITIS) wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Quantencomputer und KI: Neben Chancen gravierende Risiken für IT-Sicherheit

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. So warnt Professor Müller-Quade: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”
Methoden der Künstlichen Intelligenz (KI) brächten viele neue Anwendungsfälle, aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse könnten durch gezielte Manipulationen während der Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Prof. Thorsten Holz von der Ruhr-Universität Bochum.

Europäisch harmonisierter Rechtsrahmen für IT-Sicherheit gefordert

Auch würden neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen aufwerfen: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit“, unterstreicht Dr. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.
Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden; ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big Data).

Bürgern helfen, sich souverän in Sozialen Netzwerken zu bewegen!

Zudem müssten die Bürger selbst, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden:
„Ziel der Forschung ist daher zum Beispiel, Methoden für einen ,Privacy Advisor‘ zu entwickeln. Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in Sozialen Netzwerken zu bewegen“, kündigt Prof. Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit, an.

Wertvolles hat besonderen Schutz und Sicherheit verdient

Angesichts der immer größer werdenden Datenbestände, ergäben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im Digitalen Zeitalter zu verlieren: „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt.
Die Bürger sollten sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssten. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

Abbildung: BMBF-Verbundprojekt „secUnity“

Am 5. Februar 2019 offiziell an die ENISA übergeben

Weitere Informationen zum Thema:

secUnity
Supporting the security community

secUnity
secUnity-Roadmap

datensicherheit.de, 11.12.2018
ENISA: EU möchte Cyber-Sicherheitsagentur stärken