Risikolagebild der industriellen IT-Sicherheit in Deutschland
Projektbeschreibung
Der Forschungsverbund RiskViz beschäftigt sich mit dem Risikolagebild der industriellen IT-Sicherheit in Deutschland. Hierfür werden verschiedenste Informationen beschafft, zusammengeführt und ausgewertet. Dies ist nötig um eine möglichst genaue Risikokategorisierung vorzunehmen.
Motivation
Weitgehend unbemerkt von der Bevölkerung steuern industrielle Kontrollsysteme (ICS) wichtige kritische Infrastrukturen. Um diese Systeme einfach und kostengünstig überwachen und steuern zu können, werden sie zunehmend an das Internet angeschlossen. Angreifer können solche Anlagen im Netz finden und gezielt attackieren. Bisher haben Bund, Länder und Kommunen, in denen kritische Infrastrukturen angesiedelt sind, keine geeignete Möglichkeit, das Ausmaß der Bedrohung zu erfassen und für die Betreiber transparent zu machen. Zudem sind kritische Infrastrukturen gegen Schäden durch IT-Sicherheitslücken heutzutage meist noch nicht versicherbar. Ein Grund ist, dass Versicherer und Rückversicherer den potenziell entstehenden Schaden in aller Regel nicht beziffern können. Die dafür dringend notwendige Erhebung des Ist-Zustandes scheitert bisher an geeigneter Technik und an zivilrechtlichen Haftungsrisiken bei der Suche nach Sicherheitslücken von an das Internet angeschlossenen ICS.
Ziele und Vorgehen
Im Vorhaben soll zunächst eine Suchmaschine entwickelt werden, die ICSs findet und Informationen zu ihnen und ihrer Bedrohungslage sammelt, ohne dabei den Betrieb dieser ICSs zu stören. Diese Suchmaschine soll sowohl im Internet als auch intern in Unternehmensnetzwerken einsetzbar sein. Des Weiteren sollen Werkzeuge entstehen, um die gesammelten Informationen algorithmisch und visuell zu bewerten und daraus resultierende Erkenntnisse zu IT-Sicherheits-Schutzbedarfen effektiv zu kommunizieren. Hierzu sollen die Ergebnisse der RiskViz-Suchmaschine auch mit weiteren Daten verknüpft werden. Zu diesen Daten gehören Wirtschafts- und Branchendaten, die im Vorhaben auf ihre Relevanz für die IT-Sicherheit hin untersucht werden. Ein Ziel der Analysen ist es, gefährdete ICS entsprechenden Betreibern (Kommunen oder Unternehmen) zuzuordnen, damit diese Betreiber gewarnt werden und ihr eigenes Netzwerk schützen können. Zudem helfen die Projektergebnisse Versicherungen bei der Einschätzung des Schadenpotenzials von Cyber-Risiken. Da mittels der RiskViz-Suchmaschine sensible Daten erhoben werden, muss im Vorhaben auch geklärt werden, wer an welcher Stelle zugriffsberechtigt ist, wobei Datenschutz an erster Stelle steht.
Beteiligte Personen
Ansprechpartner
Ansprechpartner | |
Telefon: | +49 821 5586-3548 |
Fax: | +49 821 5586-3499 |
Konsortium
Förderung
Dieses Forschungsprojekt wird durch das Bundesministerium für Bildung und Forschung sowie durch die VDI|VDE Innovation + Technik GmbH gefördert. (Förderkennzeichen: 16KIS0251K)
Rechtliche Fragestellungen
News
Cyberversicherungen als Beitrag zum IT-Risikomanagement [hier gehts zur Studie]- Eine Analyse der Märkte für Cyberversicherungen in Deutschland, der Schweiz, den USA und Großbritannien
Constance P. Baban, Tyson Barker, Yvonne Gruchmann, Christopher Paun, Anna Peters, Tim H. Stuchtey
Im September 2017 veröffentlichte das BIGS seine neueste Publikation. Die Studie, die im Rahmen des Projektes RiskViz entstand, wurde in der Reihe "BIGS Standpunkt" veröffentlicht.
Zum Inhalt:
Warum kann man sich eigentlich nicht genau so gegen Cyberrisiken versichern wie gegen Einbruch? Diese Frage stand am Anfang unserer Überlegungen. Geht man dieser Frage nach, stellt man schnell fest, dass es in einigen Ländern und von einigen Versicherungsunternehmen zwar einzelne Angebote gibt, diese sind aber häufig maßgeschneidert auf die Bedürfnisse von Großkunden und decken oftmals nur Teilaspekte des Cyberrisikos ab. In einigen Ländern (z.B. den USA) gibt es eine beachtliche Nachfrage nach solchen Produkten; in anderen Ländern (z.B. Großbritannien) gibt es die meisten Versicherungspolicen, die auf dem globalen Markt für Cyberversicherungen angeboten werden. Woran liegt das? Welche ordnungspolitischen Rahmenbedingungen begünstigen Nachfrage und Angebot in den jeweiligen Märkten und gelingt es effizient, das Cyberrisiko berechenbar zu machen und in die Hände von Versicherungsunternehmen zu transferieren? Diesen Fragen gehen wir in der vorliegenden Studie nach.Dabei wird zunächst die Rolle von Versicherungen beim ökonomischen Umgang mit Cyberrisiken analysiert und ein ganz besonderer Fokus auf industrielle Cyberrisiken gelegt. Nicht so sehr der Datendiebstahl mit dem Tatwerkzeug Internet steht also im Vordergrund, sondern die Manipulation oder gar Sabotage industrieller Produktionsprozesse über SCADA- und Industrielle Kontrollsysteme.
Immer häufiger werden industrielle Prozesse über das Internet gesteuert. Industrie 4.0 und die Entwicklung in Richtung eines Internet der Dinge (IoT) erhöhen die Anzahl der potentiellen Angriffsvektoren, so dass ein wirtschaftlicher Umgang mit IT-Sicherheitsrisiken für Unternehmen eine elementare Managementaufgabe wird, wenn sie die Chancen der Digitalisierung nutzen wollen, ohne zugleich unkalkulierbare Risiken einzugehen. Der Risikotransfer zu Versicherungen spielt bei der Bewältigung der Managementaufgabe eine herausgehobene Rolle. Gelingt dies nicht, wird auch die Digitalisierung der Produktion in seiner Entwicklung gebremst. Ebenso diskutieren wir die Notwendigkeit von Sicherheitsstandards im Cyberraum und damit verbunden die Notwendigkeit staatlicher Regulierung, um das Sicherheitsniveau zu erhöhen. Auch in diesem Zusammenhang können Versicherungen als Quasi-Regulierer über ihre Versicherungsbedingungen eine wichtige Rolle spielen und Anreiz für verstärkte Schutzanstrengungen der Industrie sein. Ob sie die Rolle auch wahrnehmen, ist eine weitere Frage, der wir in dieser Studie nachgehen.
Die Besucher können verschiedene Demonstratoren ausprobieren, in einer Simulation mit dem Smartphone eine Infrastruktur hacken oder mit dem humanoiden Roboter NAO interagieren.
Die Insel wird zudem von einer Veranstaltungsreihe begleitet, die in Workshops und einem Live-Hacking die verschiedenen Aspekte rund um IT-Sicherheit thematisiert.
Besuchen Sie uns vom 02. Juni bis zum 27. August im JOSEPHS® in Nürnberg.
Weiter Informationen unterhttp://www.josephs-service-manufaktur.de/
![Home › News Cyberversicherungen als Beitrag zum IT-Risikomanagement Posted on September 22, 2017 by Matthias Niedermaier Veröffentlicht in Uncategorized Cyberversicherungen als Beitrag zum IT-Risikomanagement [hier gehts zur Studie]– Eine Analyse der Märkte für Cyberversicherungen in Deutschland, der Schweiz, den USA und Großbritannien Constance P. Baban, Tyson Barker, Yvonne Gruchmann, Christopher Paun, Anna Peters, Tim H. Stuchtey Continue reading “Cyberversicherungen als Beitrag zum IT-Risikomanagement” » Bearbeiten RiskViz Austellung im JOSEPHS® Posted on Mai 31, 2017 by Matthias Niedermaier Veröffentlicht in Uncategorized — Keine Kommentare ↓ An der Insel zum BMBF-Förderschwerpunkt ITS|KRITIS, die gemeinsam mit dem Lehrstuhl Wirtschaftsinformatik I der FAU Erlangen-Nürnberg organisiert wird, dreht sich alles um die Themen IT-Sicherheit und kritische Infrastrukturen. Continue reading “RiskViz Austellung im JOSEPHS®” » Bearbeiten TR-069 Lagebild mit Hilfe der RiskViz Analyse-Software](../../../Binaries/Binary32651/TR069-Germany-20161123-300x367.webp "Home › News Cyberversicherungen als Beitrag zum IT-Risikomanagement Posted on September 22, 2017 by Matthias Niedermaier Veröffentlicht in Uncategorized Cyberversicherungen als Beitrag zum IT-Risikomanagement [hier gehts zur Studie]– Eine Analyse der Märkte für Cyberversicherungen in Deutschland, der Schweiz, den USA und Großbritannien Constance P. Baban, Tyson Barker, Yvonne Gruchmann, Christopher Paun, Anna Peters, Tim H. Stuchtey Continue reading “Cyberversicherungen als Beitrag zum IT-Risikomanagement” » Bearbeiten RiskViz Austellung im JOSEPHS® Posted on Mai 31, 2017 by Matthias Niedermaier Veröffentlicht in Uncategorized — Keine Kommentare ↓ An der Insel zum BMBF-Förderschwerpunkt ITS|KRITIS, die gemeinsam mit dem Lehrstuhl Wirtschaftsinformatik I der FAU Erlangen-Nürnberg organisiert wird, dreht sich alles um die Themen IT-Sicherheit und kritische Infrastrukturen. Continue reading “RiskViz Austellung im JOSEPHS®” » Bearbeiten TR-069 Lagebild mit Hilfe der RiskViz Analyse-Software")
Sicherheitsforscher der Freien Universität Berlin haben nach dem Hackerangriff auf von der Deutschen Telekom betriebene Internetrouter die Lage umfassend kartografiert. Auf den Karten ist ersichtlich, wo sich die über das TR-069-Protokoll erreichbaren und teilweise angegriffen Home-Gateways oder Modems der Telekom und anderer Konzerne befinden. Die Karten zeigen, dass Deutschland flächendeckend betroffen war. Besonders stark waren jedoch die Regionen Berlin, München, Hamburg, Frankfurt am Main und Düsseldorf in Mitleidenschaft gezogen.
Bilder zum Herunterladen unter:www.scadacs.org/tr069/
Die Nutzung der Bilder ist frei bei Angabe der QuelleFreie Universität Berlin/scadacs.org
Mithilfe des Frontends ist es möglich, den Scanvorgang zu konfigurieren: Zum einen kann hierüber ausgewählt werden, welche Protokolle genutzt werden sollen, zum anderen kann das zu scannende Gebiet selektiert werden. Dabei ist eine Auswahl zwischen Deutschland (gesamt), einzelner Bundesländer oder Bezirke oder eine freie Wahl möglich.
Die Vesiki Begleitforschung veranstaltet jährlich im Verbund eine Jahreskonferenz. Hier können Informationen ausgetauscht und Kontakte geknüpft werden. Das RiskViz Konsortium hat im Rahmen dieser Veranstaltung „Vesiki Jahreskonferenz 2016“ einen Workshop zum Forschungsprojekt veranstaltet. Weitere Informationen finden Sie unter www.itskritis.de.
Im Rahmen des Laboraufbaus im Forschungsprojekt RiskViz wurde ein Cyber Dorf konstruiert. Dieses wird mit realen Industrieanlagen gesteuert sowie visualisiert. Dadurch ist es möglich direkte Auswirkungen von Cyberangriffen auf Industrieanlagen darzustellen. Es ist möglich durch eigens entwickelte Programme in den Ablauf der Steuerungen einzugreifen.