Forschung versus Cybercrime Digitale Köder schützen Maschinenbauer vor Cyberkriminalität

Anbieter zum Thema

bb-net media GmbH

WatchGuard Technologies GmbH

Heidelberg iT Management GmbH & Co. KG

Das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projekt Iuno Insec endete im Juni 2022. Im Rahmen dessen wurden wirksame Waffen gegen Cyberkriminelle entwickelt. Hier die Ergebnisse.

Laut IT-Verband Bitkom haben Cyberkriminelle 2020 bei deutschen Unternehmen Verluste in Höhe von 223 Milliarden Euro verursacht. Das sei mehr als doppelt so viel wie noch zwei Jahre zuvor. Vor allem KMU aus dem Maschinenbau können sich schlechter gegen Cyberattacken wehren als große Unternehmen. Das Problem sollte durch das oben genannte Projekt zumindest deutlich abgemildert werden. Es ging primär darum, einfach einsetzbare Werkzeuge zu entwickeln, die den Mangel an finanziellen Mitteln oder an fachlichem Know-how im Kampf gegen Cyberkriminelle bei den KMU ausgleichen können.

Diese Attacken manchmal erst einige Monate nachdem sie das Netzwerk infiziert haben entdeckt. Doch sie ließen sich durch eine auf Täuschung (Deception) basierende Anomalieerkennung frühzeitig aufspüren. Der DFKI-Projektleiter Daniel Reti erklärt: „Sucht ein Angreifer im Netzwerk nach verwundbaren Servern, wird ihm eine erfundene Log-in-Seite durch den vorgeschalteten Deception Proxy präsentiert.“ Sobald der Cybertäter mit diesem digitalen Köder interagiere, werde er entlarvt. Die Implementierung mittels Proxy mache es vor allem auch KMU sehr einfach, auf „Deception“ basierende Verteidigungsstrategien gegen Cyberattacken anzuwenden, weil die Täuschungselemente, sogenannte „Honeytokens“, nicht auf den Produktivsystemen abgelegt werden müssten, sondern in den Netzverkehr einschleusbar seien.

Die sieben Glorreichen gegen Cyber-Halunken

Mit den neuen Mitteln, die aus dem Projekt hervorgehen sollten, soll die Bedrohungsmodellierung und die automatische Erkennung von Anomalien im eigenen IT-Bereich einfacher gemacht werden. Die Sicherheit bei der Nutzung von industriellen Clouds sollte gesteigert werden. Der Fernzugriff bei Wartungsarbeiten an Maschinen und Anlagen sollte sicherer werden. Und nicht zuletzt ging es um ein kontrollierbares, vertrauenswürdiges Nutzungsmanagement in verteilten digitalen Wertschöpfungs-Netzwerken, wie die Experten aufzählen.

Mit den gesamten Werkzeugen aus dem Projekt bestimmen KMU nun ihr eigenes Sicherheitsniveau, heißt es. Sie setzen Zielgrößen für den gewünschten Schutz fest und leiten geeignete Maßnahmen zum Erreichen dieser Zielgrößen ein. Das versetzt die bisher anfälligen Unternehmen in die Lage, den eigenen Stand der IT-Sicherheit kontinuierlich zu evaluieren und frühzeitig anzupassen, etwa wenn neue Gefahren respektive neue Anforderungen des Gesetzgebers oder der Kunden es erfordern, so die im Projekt involvierten Forscher. Folgende sieben Elemente befinden sich nun in diesem Anti-Cyberkriminalitäts-Baukasten:

1. Testbed zur Evaluierung der IIoT-Security

Unter der Leitung des Fraunhofer-Aisec wurde ein Testbed entwickelt. Industrielle Netzwerkkomponenten könnten damit dynamisch konfiguriert werden, was auch Dritte nutzen könnten. Es diene auch dazu, das Verhalten der Produktionsumgebung mit und ohne Sicherheitslösungen im Angriffsfall zu simulieren,heißt es weiter. Dafür werde nur ein Webserver benötigt, was den Einsatz für KMU attraktiver mache. Die Bibliothek der unterstützten IIoT-Komponenten ist dabei vorkonfiguriert und dynamisch durch Drag-and-drop nutzbar. Auch eine Konfiguration eigener Geräte durch den Endanwender ist möglich.

2. Datenbasierte Anomalieerkennung

Ebenso unter der Leitung des Aisec hob man eine Methode aus der Taufe, mit der Abweichungen in diversen Datenszenarien sicher erkannt werden. Das können Bilddateien, Netzwerk-Datenströme oder Finanzdaten sein, heißt es. Seltsame Zustände, die durch einen Cyberangriff an Produktionssystemen verursacht werden, sind damit schnell identifiziert und können aus der Welt geschaffen werden. Die neue Methode sei vor allem für heterogene Produktionsumfelder ausgelegt. Sie könne ohne Vorwissen die von cyberkriminellen Aktivitäten hinterlassenen Spuren finden.

3. Kontinuierliche Bedrohungsmodellierung

Das Schwesterinstitut Fraunhofer-SIT kümmerte sich um die Bedrohungs- und Risikomodellierung, die als komplex und dokumentenlastig beschrieben wird. Es entstand eine browserbasierte grafische Benutzeroberfläche, die es nun vereinfacht, Architekturmodelle als Grundlage einer Bedrohungsmodellierung zu erzeugen. Eine passende Modelliersprache nebst grafischem Werkzeug hilft dabei, Bedrohungsmuster zu erstellen, wie es weiter heißt. Bereits bestehende Architekturmodelle sollen sich damit einfach und benutzerfreundlich sowie andauernd analysieren lassen.

4. Building Automation System Cloud

Unter der Leitung von Accessec entstand das sogenannte Bascloud (Beschreibung siehe oben). Es bildet Daten der lokalen Infrastruktur in einem digitalen Zwilling in der Cloud ab, wie die Experten dazu erklären. Das funktioniert durch die digitale Erfassung der Daten, deren Normierung, der Speicherung derselben und der Bereitstellung von Messdaten, heißt es weiter. Auch Sollwerte könnten so sicher abgelegt werden. Über eine API-Schnittstelle könnten relevante Daten für Drittsysteme und Servicemaßnahmen verfügbar gemacht werden. Ein Rollen- und Rechtesystem stuft das Berechtigungsmanagement fein ab, so die Forscher. Das zugrunde liegende technische Netzwerk ist vom Internet abgekoppelt, kann als nicht attackiert werden, wie man betont. Das neue Tool stehe als Software-as-a-Service zur Verfügung.

5. Sicherer Fernzugriff auf Assets und Maschinen

Unter der Ägide von Axxessio wurde eine Möglichkeit entwickelt, die speziell für den sicheren Fernwartungsdienst gedacht ist. VPN- und SDN-Technik würden dazu kombiniert, um sichere Verbindungen von außen zu einem bestimmten Endpunkt im Unternehmensnetzwerk herzustellen. Verwaltet und kontrolliert würde das Ganze automatisch. Eine Cloudplattform mit verschlüsselter und authentifizierter Verbindung soll die Planung und Ausführung der Fernwartungsarbeiten vereinfachen. Weil die verwendete Technik Open Source ist, ist sie unabhängig von Drittanbietern. Alles würde kontinuierlich von der Community weiterentwickelt.

6. Attributbasiertes Nutzungsmanagement

Die TU Darmstadt steuerte ein attributbasiertes Nutzungsmanagement bei, das es ermöglicht, sehr feingliedrige Userregeln aufzustellen, während Kommunikation und Nutzung per SDN-Technik überwacht und gesteuert werden. Diese sehr differenzierbare Autorisierung und Nutzerkontrolle erhöhe die Vertraulichkeit und die Integrität der digitalen Kommunikation, heißt es zum Nutzwert. Das funktioniert in Kombination mit gängiger Hardware, wobei lediglich SDN-Switches zusätzlich nötig sind, so die TU Darmstadt.

7. Nutzungskontrolle simulationsbasiert

Die TU Darmstadt bescherte auch die simulationsbasierte Nutzerkontrolle, die das zuvor beschriebene System noch effektiver macht. Denn um dieses optimal zu nutzen, seien genaue Kenntnisse über das zu überwachende System nötig. Leitet man aus Daten der Produktentwicklung nun eine Verhaltenssimulation ab, kann ein digitaler Zwilling diese Informationen aber bereitstellen, erklären die Experten. Der Vergleich simulierter Systemzustände vom digitalen Zwilling mit zulässigen Systemzuständen kann dann zur Verfeinerung der Nutzungskontrolle herangezogen werden. Alles Abläufe, die ebenso auf gängiger Hardware klappen.

(ID:48526813)