Roadmap zur Cybersicherheitsforschung

Erstellt von Lara Kris­tin Zei­tel | |   Aktuelle Meldungen

Wie den di­gi­ta­len Be­dro­hun­gen auf eu­ro­päi­scher Ebene künf­tig bes­ser be­geg­net wer­den kann, haben unter der Ko­or­di­na­ti­on des BMBF-Ver­bund­pro­jek­tes se­cU­ni­ty 30 nam­haf­te eu­ro­päi­sche IT-Si­cher­heits­ex­per­ten in der se­cU­ni­ty-Road­map nie­der­ge­legt,

dar­un­ter For­sche­rin­nen und For­scher des Horst Görtz In­sti­tuts (HGI) der Ruhr Uni­ver­si­tät Bo­chum (RUB). Am heu­ti­gen Diens­tag, 5. Fe­bru­ar, stel­len die Wis­sen­schaft­le­rin­nen und Wis­sen­schaft­ler von se­cU­ni­ty die Road­map in Brüs­sel vor und über­ge­ben sie of­fi­zi­ell an die Eu­ro­päi­sche Agen­tur für Netz­werk und In­for­ma­ti­ons­si­cher­heit ENISA.

Über­mitt­lung von Nach­rich­ten, Ver­kehr, In­dus­trie­pro­duk­ti­on, For­schung, Ver­wal­tung – na­he­zu kein Be­reich kommt mehr ohne mo­der­ne In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gi­en aus. Gleich­zei­tig nimmt die Zahl der Cy­ber­an­grif­fe, die be­kannt wer­den, ste­tig zu. Sol­che At­ta­cken auf die di­gi­ta­le In­fra­struk­tur durch Kri­mi­nel­le oder staat­li­che Or­ga­ni­sa­tio­nen be­dro­hen den Wohl­stand und die Si­cher­heit un­se­rer Ge­sell­schaf­ten, am Ende sogar Frei­heit und De­mo­kra­tie. Bei einer Abend­ver­an­stal­tung in der Ver­tre­tung des Lan­des Hes­sen bei der Eu­ro­päi­schen Union in Brüs­sel wer­den se­cU­ni­ty-Wis­sen­schaft­ler mit Ver­tre­tern des Eu­ro­päi­schen Par­la­ments und der Eu­ro­päi­schen Kom­mis­si­on über „Zi­vi­le Cy­ber­si­cher­heits­for­schung für di­gi­ta­le Sou­ve­rä­ni­tät“ dis­ku­tie­ren und im An­schluss of­fi­zi­ell die se­cU­ni­ty Road­map ver­öf­fent­li­chen und an die Eu­ro­päi­sche Agen­tur für Netz­werk und In­for­ma­ti­ons­si­cher­heit über­ge­ben.

„Das Ge­fah­ren­po­ten­zi­al, das Cy­be­rat­ta­cken für hoch­ent­wi­ckel­te Län­der ent­fal­ten kön­nen, kann man nicht hoch genug ein­schät­zen“, warnt Pro­fes­sor Jörn Mül­ler-Qua­de, Spre­cher des Kom­pe­tenz­zen­trums für IT-Si­cher­heit KAS­TEL am Karls­ru­her In­sti­tut für Tech­no­lo­gie (KIT). In se­cU­ni­ty ar­bei­ten IT-Si­cher­heits­ex­per­ten aus ganz Deutsch­land zu­sam­men. Be­tei­ligt sind, neben den drei na­tio­na­len Kom­pe­tenz­zen­tren KAS­TEL, CRISP und CISPA, Spe­zia­lis­ten der TU Darm­stadt, der Ruhr-Uni­ver­si­tät Bo­chum und der Fraun­ho­fer-In­sti­tu­te AISEC und SIT.

Cy­ber­si­cher­heits­ex­per­ten be­män­geln schon lange, dass Fir­men, öf­fent­li­che Ein­rich­tun­gen und In­sti­tu­tio­nen nicht aus­rei­chend auf di­gi­ta­le Be­dro­hun­gen vor­be­rei­tet seien. Im Ge­gen­teil: Durch die fort­schrei­ten­de Ver­net­zung, die sich durch di­gi­ta­le Trends wie In­dus­trie 4.0, Smart Home oder selbst­fah­ren­de Autos noch po­ten­zie­ren wird, wür­den die An­griffs­flä­chen für Cy­ber­kri­mi­nel­le immer grö­ßer. In der jetzt vor­ge­leg­ten Road­map, die von dem BMBF-Ver­bund­pro­jek­tes se­cU­ni­ty in­iti­iert wurde, haben die über 30 eu­ro­päi­schen Au­to­ren zu­künf­ti­ge Her­aus­for­de­run­gen und Lö­sungs­we­ge iden­ti­fi­ziert. Zum Bei­spiel wer­den die Si­cher­heit ein­ge­bet­te­ter Sys­te­me, Ma­schi­nel­les Ler­nen, die Pro­ble­ma­tik der feh­len­den Awa­ren­ess und das Phä­no­men von Fake News un­ter­sucht und Vor­schlä­ge für mehr Si­cher­heit er­ar­bei­tet. Sehr kri­tisch sehen die Ex­per­ten die Ver­wen­dung von Hard­ware-Lö­sun­gen, die oft ohne IT-Si­cher­heits­über­prü­fung ver­wen­det wer­den. Dies ge­fähr­de die Di­gi­ta­le Sou­ve­rä­ni­tät Eu­ro­pas. "Eine Mög­lich­keit diese Si­tua­ti­on zu ver­bes­sern, wären hier eu­ro­päi­sche Prüf­insti­tu­te, um die Tech­nik un­ab­hän­gig zu ana­ly­sie­ren", so Pro­fes­sor Micha­el Waid­ner, Di­rek­tor des Na­tio­na­len For­schungs­zen­trums für an­ge­wand­te Cy­ber­si­cher­heit CRISP und des Fraun­ho­fer-In­sti­tuts SIT in Darm­stadt. Zudem kön­nen Open Sour­ce Soft­ware und Hard­ware-lö­sun­gen trans­pa­rent in der EU ent­wi­ckelt wer­den.

Da aber auch in Zu­kunft noch wei­ter­hin eine Viel­zahl von preis­wer­ten je­doch un­si­che­ren Hard- und Soft­ware­kom­po­nen­ten ver­baut und ge­nutzt wird, rei­chen An­sät­ze zur Ent­wick­lung ver­trau­ens­wür­di­ger eu­ro­päi­scher Lö­sun­gen nicht aus, um ver­netz­te Sys­te­me wirk­sam zu schüt­zen. Am Bei­spiel Smart Home führt Pro­fes­sor Clau­dia Eckert, Di­rek­to­rin des Fraun­ho­fer-In­sti­tuts für An­ge­wand­te und In­te­grier­te Si­cher­heit AISEC in Mün­chen aus: „Wir brau­chen Lö­sun­gen, um die Ri­si­ken sol­cher Kom­po­nen­ten zu mi­ni­mie­ren und die Sys­te­me resi­li­ent zu be­trei­ben. Ka­me­ras, Tür­öff­ner, die Hei­zungs­steue­rung – jedes Hei­m­au­to­ma­ti­sie­rungs­ge­rät ist ein mög­li­ches Ein­falls­tor für große Netz-At­ta­cken. Si­che­re Gate­ways für die Ver­bin­dung un­si­che­rer Kom­po­nen­ten kön­nen bei­spiels­wei­se dafür sor­gen, dass keine sen­si­ti­ve In­for­ma­ti­on die Heim­um­ge­bung ver­lässt und keine Zu­grif­fe von außen auf Steue­rungs­kom­po­nen­ten mög­lich sind.“ Resi­li­enz trotz un­kal­ku­lier­ba­rer Kom­po­nen­ten – dies muss na­tür­lich ins­be­son­de­re für kri­ti­sche In­fra­struk­tu­ren wie Ge­sund­heits- und En­er­gie­ver­sor­gung, aber auch für Be­hör­den und Un­ter­neh­men si­cher­ge­stellt wer­den. Auch die welt­weit stark vor­an­ge­trie­be­ne Ent­wick­lung von Quan­ten­com­pu­tern berge Ge­fah­ren. Pro­fes­sor Jörn Mül­ler-Qua­de warnt: „Es ist zwar bis­lang noch nicht ge­lun­gen, einen hin­rei­chend gro­ßen Quan­ten­com­pu­ter zu bauen, um die Si­cher­heit ak­tu­el­ler kryp­to­gra­phi­scher Ver­fah­ren zu ge­fähr­den, aber dies könn­te sich schnell än­dern. Der der­zei­ti­ge Fort­schritt in der Quan­ten­tech­no­lo­gie ist so groß, dass wir heute schon Vor­sor­ge tref­fen müs­sen. Wir müs­sen un­se­re kom­ple­xen ver­netz­ten Sys­te­me auf zu­kunfts­si­che­re, noch wei­ter zu er­for­schen­de Ver­schlüs­se­lungs­ver­fah­ren um­stel­len.”

Schließ­lich er­mög­li­chen Me­tho­den der Künst­li­chen In­tel­li­genz viele neue An­wen­dungs­fäl­le, sie brin­gen aber auch gra­vie­ren­de Ri­si­ken für die IT-Si­cher­heit mit sich: Ma­schi­nel­le Lern­pro­zes­se kön­nen durch ge­ziel­te Ma­ni­pu­la­tio­nen wäh­rend des Lern­pha­se und auch im Be­trieb ein­fach an­ge­grif­fen wer­den. „Bevor diese Tech­no­lo­gi­en in kri­ti­schen Be­rei­chen oder zur Ver­bes­se­rung der Le­bens­qua­li­tät ein­ge­setzt wer­den kön­nen, muss das Ver­trau­en in diese Ver­fah­ren und in deren Zu­ver­läs­sig­keit auf ein wis­sen­schaft­li­ches Fun­da­ment ge­setzt wer­den“, for­dert Pro­fes­sor Thors­ten Holz von der Ruhr-Uni­ver­si­tät Bo­chum.

Auch wer­fen neue Mög­lich­kei­ten der In­for­ma­ti­ons­ge­sell­schaft wie etwa in­tel­li­gen­te Strom­net­ze, die den All­tag kom­for­ta­bler ma­chen und beim En­er­gie­spa­ren hel­fen, recht­li­che und ganz be­son­ders da­ten­schutz­recht­li­che Fra­gen auf: „An­ge­sichts der fun­da­men­ta­len Ri­si­ken, die durch die Di­gi­ta­li­sie­rung gan­zer In­dus­trie­zwei­ge und auch kri­ti­scher In­fra­struk­tu­ren wie die Strom- oder En­er­gie­ver­sor­gung für die Ver­sor­gungs­si­cher­heit ent­ste­hen, brau­chen wir drin­gend einen eu­ro­pä­isch har­mo­ni­sier­ten Rechts­rah­men für IT-Si­cher­heit", sagt Dr. iur. Oli­ver Raabe vom Zen­trum für An­ge­wand­te Rechts­wis­sen­schaft (ZAR) des KIT. Die recht­li­chen Maß­stä­be, wel­che Ri­si­ken ak­zep­ta­bel sind und wel­che Schutz­maß­nah­men den Un­ter­neh­men zu­ge­mu­tet wer­den könn­ten, müss­ten erst noch ent­wi­ckelt wer­den. Eben­so Maß­ga­ben für die Si­che­rung von Qua­li­tät und Un­ver­fälsch­bar­keit der gro­ßen Da­ten­be­stän­de (Big-Da­ta). Zudem müs­sen die Bür­ge­rin­nen und Bür­ger selbst bei der Be­nut­zung zu­neh­mend kom­ple­xer Kom­mu­ni­ka­ti­ons­sys­te­me beim Schutz ihrer Pri­vat­sphä­re und IT-Si­cher­heit un­ter­stützt wer­den. "Ziel der For­schung ist daher zum Bei­spiel, Me­tho­den für einen Pri­va­cy Ad­vi­sor zu ent­wi­ckeln. Diese sol­len beim Hoch­la­den von Bil­dern oder Nach­rich­ten ins Netz die Ri­si­ken ein­schät­zen und unter Be­rück­sich­ti­gung bis­he­ri­ger Posts auf­zei­gen, wie viel zu­sätz­li­che pri­va­te In­for­ma­ti­on durch die Ver­öf­fent­li­chung preis­ge­ge­ben wird. Dies würde die Bür­ger dabei un­ter­stüt­zen, sich sou­ve­rän in so­zia­len Netz­wer­ken zu be­we­gen“, kün­digt Pro­fes­sor Micha­el Ba­ckes, Grün­dungs­di­rek­tor des CISPA Helm­holtz-Zen­trums für In­for­ma­ti­ons­si­cher­heit an.

An­ge­sichts die­ser immer grö­ßer wer­den­den Da­ten­be­stän­de, er­ge­ben sich für viele Un­ter­neh­men neue Mög­lich­kei­ten für In­no­va­tio­nen, aber auch die Ge­fahr eine schein­bar si­che­re Markt­po­si­ti­on im di­gi­ta­len Zeit­al­ter zu ver­lie­ren. „Daten sind nicht per se das Öl des 21. Jahr­hun­derts. Sie be­kom­men erst dann einen Wert, wenn Ge­schäfts­mo­del­le ent­wi­ckelt wer­den, die sie wert­voll ma­chen – und Wert­vol­les hat be­son­de­ren Schutz und Si­cher­heit ver­dient“, er­klärt Peter Bux­mann, Wirt­schafts­in­for­ma­tik­pro­fes­sor und Lei­ter des Grün­der­zen­trums an der TU Darm­stadt. Bür­ger und Bür­ge­rin­nen müs­sen sich dem Wert und Schutz­be­darf ihrer Daten be­wusst wer­den, wäh­rend Trans­pa­renz bei der Nut­zung und Wei­ter­ver­ar­bei­tung von Daten sowie faire Preis­mo­del­le von An­bie­tern um­ge­setzt wer­den müs­sen. „Po­li­tisch soll­ten wir uns des­we­gen eher weg vom Prin­zip der Da­ten­spar­sam­keit in Rich­tung „Da­ten­sou­ve­rä­ni­tät“ be­we­gen und faire Ge­schäfts­mo­del­le för­dern und for­dern“, meint Pro­fes­sor Peter Bux­mann.

„Um all die­sen Her­aus­for­de­run­gen zu be­geg­nen, braucht die zi­vi­le Cy­ber­si­cher­heit ein in­ter­dis­zi­pli­nä­res Netz­werk von Ex­per­ten der zi­vi­len Cy­ber­si­cher­heits­for­schung auf EU-Ebe­ne“, so se­cU­ni­ty-Spre­cher Mül­ler-Qua­de ab­schlie­ßend.

Wei­te­re In­for­ma­tio­nen im In­ter­net unter: https://it-se­cu­ri­ty-map.​eu/​de/​startseite/​