Roadmap to Cybersecurity Research

05/02/2019

Collaborative project secUnity presents recommendations in Brussels

30 renowned European IT security experts, including researchers of the National Research Center for Applied Cybersecurity CRISP, have been identified how to address digital threats at the European level. Under the coordination of the BMBF joint project secUnity, they elaborated the secUnity roadmap. During today's presentation in Brussels, the roadmap will be officially handed over to the European Agency for Network and Information Security ENISA.

[Translate to Englisch:] Landkarte: secUnity

further information in German
Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikations­technologien aus. Gleichzeitig nimmt die Zahl der Cyberangriffe, die bekannt werden, stetig zu. Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen bedrohen den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie. Bei einer Abendveranstaltung in der Vertretung des Landes Hessen bei der Europäischen Union in Brüssel werden secUnity-Wissenschaftler mit Vertretern des Europäischen Parlaments und der Europäischen Kommission über „Zivile Cyber­sicher­heits­for­schung für digitale Souveränität“ diskutieren und im Anschluss offiziell die secUnity Roadmap veröffentlichen und an die Europäische Agentur für Netzwerk und Informationssicherheit übergeben.

„Das Gefahrenpotenzial, das Cyberattacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, warnt Professor Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit KASTEL am Karlsruher Institut für Technologie (KIT). In secUnity arbeiten IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind, neben den drei nationalen Kom­pe­tenz­zen­tren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute AISEC und SIT.

Cyber­sicher­heitsexperten bemängeln schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberkriminelle immer größer. In der jetzt vorgelegten Roadmap, die von dem BMBF-Verbundprojektes secUnity initiiert wurde, haben die über 30 europäischen Autoren zukünftige He­raus­for­de­rung­en und Lösungswege identifiziert. Zum Beispiel werden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von Fake News untersucht und Vorschläge für mehr Sicherheit erarbeitet.

Sehr kritisch sehen die Experten die Verwendung von Hardware-Lösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die Digitale Souveränität Europas. "Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren", so Professor Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cyber­sicher­heit CRISP und des Fraunhofer-Instituts SIT in Darmstadt. Zudem können Open Source Software und Hardware-lösungen transparent in der EU entwickelt werden.

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten verbaut und genutzt wird, reichen Ansätze zur Entwicklung ver­trauens­würdiger europäischer Lösungen nicht aus, um vernetzte Systeme wirksam zu schützen. Am Beispiel Smart Home führt Professor Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben. Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies muss natürlich insbesondere für kritische Infrastrukturen wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. Professor Jörn Müller-Quade warnt: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”

Schließlich ermöglichen Methoden der Künstlichen Intelligenz viele neue Anwendungsfälle, sie bringen aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse können durch gezielte Manipulationen während des Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Tech­no­logien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissen­schaft­liches Fundament gesetzt werden“, fordert Professor Thorsten Holz von der Ruhr-Universität Bochum.

Auch werfen neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen auf: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit", sagt Dr. iur. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT. Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutz­maß­nahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden. Ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big-Data).

Zudem müssen die Bürgerinnen und Bürger selbst bei der Benutzung zunehmend komplexer Kommunikationssysteme beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden. "Ziel der Forschung ist daher zum Beispiel, Methoden für einen Privacy Advisor zu entwickeln. Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in sozialen Netzwerken zu bewegen“, kündigt Professor Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit an.

Angesichts dieser immer größer werdenden Datenbestände, ergeben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im digitalen Zeitalter zu verlieren. „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Ge­schäfts­modelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt. Bürger und Bürgerinnen müssen sich dem Wert und Schutzbedarf ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssen. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung „Datensouveränität“ bewegen und faire Ge­schäfts­modelle fördern und fordern“, meint Professor Peter Buxmann.

„Um all diesen He­raus­for­de­rung­en zu begegnen, braucht die zivile Cyber­sicher­heit ein interdisziplinäres Netzwerk von Experten der zivilen Cyber­sicher­heits­for­schung auf EU-Ebene“, so secUnity-Sprecher Müller-Quade abschließend.

Weitere In­for­ma­tio­nen im Internet unter: https://it-security-map.eu/de/startseite/

show all news