Ein neuer, ganzheitlicher Ansatz für IT-Sicherheit
Große Firmen, öffentliche Einrichtungen wie Krankenhäuser und Versorgungsunternehmen wie Energieversorger sind von zunehmend komplexen Netzwerksystemen abhängig, um effizient und reibungslos arbeiten zu können. Durch diese Abhängigkeit werden sie anfällig für Hacking, das für Unternehmen durch Ausfallzeiten und unzufriedene Kunden Schäden in Millionenhöhe bedeuten kann. Und sollten öffentliche Einrichtungen Opfer eines solchen Angriffs werden, stehen sogar Menschenleben auf dem Spiel. "Bei Software entstehen neun von zehn Sicherheitsprobleme durch Softwarefehler, und diese Schwachstellen können von Hackern ausgenutzt werden", erklärt Jürgen Großmann vom Fraunhofer-Institut, der im Projekt RASEN für die Standardisierung verantwortlich ist. "Der Schutz großer vernetzter Systeme, wie sie etwa von großen Unternehmen betrieben werden, macht ein Verständnis aller potentiell möglichen Sicherheitsrisiken erforderlich. Durch die Komplexität des Systems können Beurteilungen und Prüfungen jedoch sehr herausfordernd werden, was ein großes Problem darstellt." Ganzheitliche Ansätze für IT-Sicherheit Die Forscher des RASEN-Projekts wollten sich dieser Herausforderung stellen und ganzheitlichere Sicherheitsrisikobewertungen und Sicherheitsprüfungen ermöglichen, denn bisher wurden diese beiden Bereiche unabhängig voneinander behandelt. "Die Industrie benötigt integriertere Ansätze, um die Sicherheitsanforderungen zu erfüllen, doch derzeit existiert kein Standard, der die Notwendigkeit, Sicherheitsrisikobewertungen und Sicherheitsprüfungen systematisch miteinander zu verbinden, ausreichend betont", so Großmann. "Daher wollten wir neue Möglichkeiten finden, Unternehmen und Organisationen bei der umfassenden Analyse der Risiken groß angelegter und vernetzter Systeme besser zu unterstützen." Zunächst stellten die Forscher des RASEN-Projekts Ergebnisse von Sicherheitsbewertungen systematisch zusammen. So können einzelne Bereiche eines IKT-Systems separat analysiert werden, bevor aus den einzelnen Ergebnissen eine globale Beurteilung erstellt wird. Zweitens kombinierte das Team anspruchsvolle Sicherheitsrisikobewertungen mit vergleichsweise einfachen Sicherheitsprüfungen. "Mit diesem Ansatz können aus Risikobewertungen Sicherheitstestfälle abgeleitet werden, und mit den Ergebnissen dieser Tests können die Risikobewertungen wiederum verifiziert oder aktualisiert werden", erklärt Großmann. "Darüber hinaus sind mit diesen Methoden Sicherheitsrisikobewertungen aus verschiedenen Perspektiven möglich. Bei rechtlichen Risikobewertungen werden Sicherheitsbedrohungen beispielsweise in einem rechtlichen Kontext beurteilt, wohingegen Sicherheitsrisikobewertungen auf die Wahrscheinlichkeit einer Bedrohung und die zu erwartenden Folgen ausgerichtet sind." Die Auswirkungen auf die reale Welt Die Ergebnisse des RASEN-Projekts wurden inzwischen in einer Toolbox umgesetzt, die Unternehmen und Organisationen dabei unterstützt, Sicherheitsrisikobewertungen und Sicherheitsprüfungen zu kombinieren. Das Ziel bestehet darin, die Methodik des Projekts so praktisch anwendbar wie möglich zu gestalten. Das Dokument zur Methode des RASEN-Projekts und einige der entwickelten Tools stehen nun auf der Projektwebsite zum Download bereit. Das RACOMAT-Tool ermöglicht Nutzern beispielsweise, komponentenbasierte Sicherheitsrisikobewertungen mit Sicherheitsprüfungen zu kombinieren. Die Prüfungen können nahtlos in die Simulationen integriert werden, mit denen das Tool seine kompositionelle Risikoanalyse durchführt. "Unsere Methoden sind wiederholbar, die Gültigkeit der Ergebnisse kann daher mithilfe einer kontinuierlichen Beurteilung durch häufige Neubewertungen längerfristig gewährleistet werden, selbst wenn sich das Zielsystem oder dessen Umgebung verändert oder weiterentwickelt", sagt Großmann. "Unser RACOMAT-Tool greift beispielsweise auf Bibliotheken zurück, die Risikoanalysedaten wie Angriffs- und Sicherheitsprüfungsmuster enthalten, wodurch das Tool gut wiederverwendet werden kann. Ein Großteil des Prozesses kann automatisiert werden." Die Mitglieder des RASEN-Projekts schufen zudem die Grundlage für mehrere weitere Forschungsprojekte – das Fraunhofer-Institut ist z. B. am PREVENT-Projekt beteiligt – und trug zur Formulierung neuer Industriestandards bei. "Mehrere Standardisierungsdokumente (z. B. ETSI EG 203251 und ETSI TR 101 583) wurden vom Europäischen Institut für Telekommunikationsnormen angenommen und an internationale Normungsinstitute weitergeleitet", sagt Großmann. "Diese Dokumente spiegeln die Projektergebnisse im Bereich der Sicherheitsrisikobewertung wider."
Schlüsselbegriffe
RASEN, IT-Sicherheit, Toolbox, öffentliche Dienste, Hacking, Schwachstelle, vernetzte Systeme, Standardisierung, Bedrohung, RACOMAT