Unter dem Titel 'RiskViz' fiel unlängst der Startschuss für ein neues Forschungsprojekt im Bereich Industrial Security. Ziel ist die Entwicklung einer Suchmaschine, die vernetzte Steuerungen aufspüren soll. Projektleiter Andreas Seiler bezieht Stellung.
Herr Seiler, was genau gab den Ausschlag für das Projekt RiskViz?
Seiler: Bisher haben Bund, Länder und Kommunen, in denen kritische Infrastrukturen angesiedelt sind, keine geeignete Möglichkeit, das Ausmaß der Bedrohung aufgrund von Cyber-Attacken zu erfassen und für die Betreiber gezielt Anreize zur Verbesserung der Sicherheit zu setzen. Zudem sind kritische Infrastrukturen gegen Schäden durch IT-Sicherheitslücken heutzutage meist noch schwierig zu versichern. Die dafür dringend notwendige Erhebung des Ist-Zustandes scheitert bisher an geeigneter Technik und an zivilrechtlichen Haftungsrisiken bei der Suche nach Sicherheitslücken von an das Internet angeschlossenen, industriellen Steuerungssystemen.
Mit Shodan oder Google gibt es bereits Suchmaschinen zur Aufspürung ungeschützter Steuerungen – warum braucht es eine weitere?
Im Unterschied zu den bestehenden Suchmaschinen hat RiskViz die Korrektheit der Implementierung als Schwerpunkt, so dass kein Gerät durch einen Scan negativ beeinflusst wird. Damit begegnen wir eventuellen Haftungsrisiken, die beim Scannen mit anderen Werkzeugen bestehen. Ein weiterer Punkt ist, dass die Suchalgorithmen von Shodan nicht offengelegt sind. Wir wissen also nicht, wie Ergebnisse gefunden wurden. Zusätzlich wollen wir die Scan-Daten mit anderen Daten kombinieren, um ein eventuelles Risiko durch das gefundene Gerät bestimmen zu können. Dies könnte dazu dienen, dass die Berechnung von Cyber-Risiken zum Beispiel für Versicherungen einfacher wird. Im Gegensatz zu den bestehenden Suchmaschinen könnten diese Mechanismen dann auch innerhalb eines abgeschotteten Netzwerkes, mit Hilfe von Sensoren, zum Einsatz kommen.
Was genau wollen Sie mit den von der Suchmaschine gelieferten Ergebnissen anfangen?
Eine grundlegende Unterscheidung dabei sind die Daten einer Internet-Suche und die einer Suche im internen Netzwerk. Die Daten aus der inneren Suche stehen lediglich dem betreibenden Unternehmen zur Verfügung. Eine der zentralen Forschungsfragen ist: Wer darf auf die Daten der äußeren Suchmaschine zugreifen?
Ein weiterer wichtiger Punkt in diesem Zusammenhang ist die Anreicherung der Suchmaschinendaten mit zusätzlichen Risiko-Informationen. So könnte man zum Beispiel die Versionsnummern von gefundenen Systemen mit Schwachstellendatenbanken oder Exploitdatenbanken abgleichen.
Nicht zuletzt ist die Erforschung von Möglichkeiten zur Risikobewertung Bestandteil des Vorhabens. Diese sind nötig, um am Ende ein gesamtheitliches Risikolagebild aufgrund technisch verifizierter Daten zu ermöglichen.
Inwiefern decken Sie im Projekt auch die speziellen Anforderungen produzierender Unternehmen ab?
Um die Anforderungen aus der Industrie zu berücksichtigen, stehen uns Koramis, das Technologie Centrum Westbayern – kurz TCW – und die LEW Verteilnetz zur Seite. Über Koramis und das TCW haben wir Kontakte zu mehreren KMUs und mit der LEW einen Energieversorger aus Augsburg. Neben wichtigem Input, um die Praxistauglichkeit unserer Entwicklungen zu gewährleisten, stehen uns von deren Seite auch Testanlagen zur Verfügung, um die Mechanismen der Suchmaschine zu evaluieren.
Wird die neue Suchmaschine nach deren Fertigstellung jedem Interessierten frei zur Verfügung stehen?
Diese Frage lässt sich zum jetzigen Zeitpunkt nicht beantworten. Je nachdem welche Informationen und Rückschlusse auf ein bestehendes Risiko die Suchmaschine am Ende bieten wird, muss im Konsortium entschieden werden, wie die künftige Verwertung aussehen könnte.
Unter den Projektpartnern ist kein Anbieter industrieller Steuerungssysteme – wäre dies nicht wünschenswert?
Viel wichtiger als bestimmte Hersteller sind vor allem die Betreiber. Diese bieten einen besseren Überblick über die verwendeten Systeme im Querschnitt.