Medien zu diesem Beitrag

• Das Fraunhofer AISEC forscht an Lösungen für die Herasuforderungen an die IT-Sicherheit von morgen.© Fraunhofer AISEC
  
• Das Fraunhofer AISEC forscht an Lösungen für die Herasuforderungen an die IT-Sicherheit von morgen.© Fraunhofer AISEC
  

<>

Was sind aus Ihrer Sicht derzeit die Schwerpunkte der IT-Sicherheitsdebatten?

Man muss sich einer Vielzahl von unterschiedlichen Herausforderungen im IT-Bereich stellen. Die momentan prägnantesten Themen sind meiner Meinung nach Sicherheit in Eingebetteten Systemen, da diese inzwischen in großer Zahl eingesetzt werden – insbesondere für sicherheitskritische Aufgaben wie zum Beispiel in der Luftfahrt oder natürlich auch in den Bereichen Automobil, Gesundheitswesen, Transport, Energieversorgung, aber auch in Produktions- und Automatisierungssystemen.
Zum anderen sehen wir die Verbreitung von Cyber-Physical Systems. Das sind Systeme, die durch ein Zusammenwachsen physischer Welten und IT-gestützter Systeme entstehen. Durch die IKT-gestützte Vernetzung früher isoliert betriebener Systeme können Angriffe auf kritische Komponenten von überall her durchgeführt werden, sich sehr schnell ausbreiten und die Anzahl der schlecht geschützten Komponenten eröffnet eine Vielzahl von leicht zugänglichen Angriffspunkten. IKT ist somit in Cyber-Physical Systems sowohl Angriffswerkzeug als auch Ziel von Angriffen. Sie kann aber gleichzeitig auch zum Schutz verwendet werden, man denke nur an sensorgestützte Überwachungen. Es gilt also, die Vorteile der IKT-basierten Vernetzung nutzbar zu machen und gleichzeitig die damit verbundenen Gefährdungen zu reduzieren und zu beherrschen.
Außerdem muss sich die IT Fragen nach Produkt- und Know-how-Schutz für Produkte des High-Tech-Standortes Deutschlands stellen. So hängt beispielsweise im mittelständisch geprägten Maschinenbau die führende Marktposition der Unternehmen häufig von dem über Jahre unter hohen Investitionen aufgebauten speziellen Know-how ab, das in die hoch-technologisierten Produkte und Anlagen geflossen ist. Dieses Know-how zu schützen ist damit eine ganz wesentliche Herausforderung, um die Wettbewerbsfähigkeit der Unternehmen nachhaltig zu sichern.  
Natürlich sind auch Datenschutzfragen in sozialen Netzen sehr relevant. Und die Sicherheit beim Cloud-Computing ist nach wie vor ein großes Thema. In Zusammenhang mit den massiven Angriffen auf große IT-Unternehmen und Infrastrukturen ist natürlich Angriffsfrüherkennung und verbesserte Erkennung von neuer Schadsoftware ebenso wichtig. Wir brauchen für Nutzer eine sichere Identität und sichere mobile Endgeräte sowie sichere Machine-to-Machine Kommunikation.

Auf welchen Gebieten kann das AISEC dafür Lösungen anbieten?

AISEC arbeitet auf allen diesen Feldern und bietet hierfür technologische Lösungen sowie Beratungsexpertise an. Darüber hinaus verfügen wir über modernste Test- und Demonstrationslabore, um zum Beispiel Hardware-Sicherheitstest, Sicherheitstest in unserem Cloud-Labor, die Sicherheit von Smart Metern oder auch von mobilen Geräten zu testen und Konzepte zur Erhöhung der Sicherheit zu demonstrieren.

Securtiy by patching oder security by design – welches Verfahren birgt für die breite Anwendung das größere Potential?

Security by Patching ist Flickwerk, wenn man – was ja in den meisten Fällen so ist – ein bestehendes Produkt sicherheitstechnisch verbessern muss. Man sollte viel eher Konzepte zur systematischen Härtung und Absicherung entwickeln, um die im übernommenen Design bestehenden Sicherheitsschwachstellen abzumildern. Sicherheit bei Design ist zwar sehr wünschenswert, aber in der Praxis kann man natürlich höchsten einen sehr kleinen Teil der Applikation, Systeme und Infrastrukturkomponenten selbst entwickeln. Security by Design, wie es heutzutage nahezu überall propagiert wird, ist deshalb aus meiner Sicht für die Praxis kaum anwendbar und greift zudem zu kurz. Es werden umfassende Konzepte benötigt, um vorhandene Komponenten durch zusätzliche Sicherungsmaßnahmen gegen Angriffe zu härten und geeignet voneinander abzuschotten, so dass die Schadensausbreitung beschränkt werden kann (Risk mitigation). Zudem ist die Sicherheit eines Systems bekannter Weise kein statischer Zustand sondern ein Prozess, der vielen Einflüssen von außen unterliegt. Nur durch kontinuierliche Überprüfung im Sinne von ‚Gesundheitschecks‘ von Systemen  und durch integrierte Maßnahmen zur angemessenen Reaktion auf Sicherheitsvorfälle ist das gewünschte oder geforderte Sicherheitsniveau auch in heterogenen Umgebungen, wie es in der Praxis allgegenwärtig ist, für Systeme in Operation nachhaltig zu gewährleisten.

Wo liegen ihrer Meinung nach die größten Sicherheitsprobleme im Cloud Computing?

Sicherheitsprobleme im Cloud Computing bestehen vor allem im Kontrollverlust für den Nutzer, im mangelhaften Monitoring – also wo liegen welche Daten, welche Sicherheitsvorkehrungen sind getroffen, wie wirksam sind diese etc. – und in den Eingriffsmöglichkeiten und Datenschutzverletzungen durch ungenügende Isolierungskonzepte. Aber auch Lock-in Effekte, so dass man an einen Betreiber gebunden wird, oder mangelnde oder nicht vorhandene Betreibersicherheit, also der Schutz vor Angriffen durch den Betreiber selbst und seine Mitarbeiter, sind Problemfelder, für die es derzeit noch keine adäquaten Lösungen gibt. Auch der mobile Zugriff über Smartphones auf die Cloud führt zu Problemen, wenn über ungesicherte mobile Endgeräte Schadfunktionen oder manipulierte Daten in die Cloud eingespeist werden können. Das AISEC arbeitet auch hier an verschiedenen Lösungen. AISEC betreibt ein Cloud-Labor, in dem wir unter anderem einen mobilen Leitstand aufbauen, um die Aktivitäten in einer Cloud in Bezug auf deren Sicherheitsstatus anhand von Kennzahlen zu überwachen.

Das Internet wird zur Infrastruktur der Infrastrukturen. Sehen Sie diese Entwicklung kritisch?

Ja. Systeme werden immer stärker voneinander abhängig. Angriffe und Verwundbarkeiten pflanzen sich sehr schnell kaskadierend fort und früher isoliert betriebene Infrastrukturen werden anfällig für Cyberattacken. Die Nutzung des Internet ist natürlich ein immenser Innovationsmotor, jedoch kann mangelnde Sicherheit sehr schnell zur Innovationsbremse werden. Deshalb ist es sehr wichtig, gerade jetzt, wo neue IKT-gestützte Infrastrukturen im Zusammenhang z.B. mit Smart Grid, Elektromobilität, Smart Cities oder auch Smart Health entstehen, die Sicherheitsthemen ganz oben auf der Agenda zu platzieren und frühzeitig geeignete Maßnahmen vorzusehen. Ein nachträgliches reparieren ist sehr kosten- und zeitaufwändig; von den durch Angriffe entstandenen Schäden, die zunehmend ja auch die Gesundheit der Menschen betreffen, gar nicht zu reden.

Intelligente Netze sind auf der Agenda vieler Industrien - wie kann man die Sicherheit in einem Smart Grid gewährleisten?

Das ist ein vielschichtiges Problem. Man muss bei den Sensoren wie den Smart Metern anfangen. Es ist notwendig, die komplexe Grid-Architektur in Domänen mit ähnlichen Aufgaben, Schutzbedarfen etc. aufzuteilen und hierfür Lösungen zu entwickeln. Eine wesentliche Rolle spielen die Verteilnetze; hier kann man durch geeignete Sicherheitsmaßnahmen sehr viele Sicherheitsprobleme des Smart Grids in den Griff bekommen. AISEC arbeitet bereits an Lösungen in diesen Bereichen.