Risikolagebild der industriellen IT-Sicherheit in Deutschland
Weitgehend unbemerkt von der Bevölkerung steuern industrielle Kontrollsysteme (ICS) wichtige kritische Infrastrukturen. Um diese Systeme einfach und kostengünstig überwachen und steuern zu können, werden sie zunehmend an das Internet angeschlossen. Angreifer können solche Anlagen leicht finden und gezielt attackieren. Bisher haben Bund, Länder und Kommunen keine geeignete Möglichkeit, das Ausmaß der Bedrohung zu erfassen. Im Rahmen des Projekts werden sicherheitsrelevante Informationen gesammelt, zusammengeführt und ausgewertet, um eine möglichst genaue Risikokategorisierung vorzunehmen.

Im Forschungsvorhaben RiskViz wurde zunächst eine Suchmaschine entwickelt, die ICS findet und Informationen zu ihnen und ihrer Bedrohungslage sammelt, ohne dabei den Betrieb dieser ICS zu stören. Das Scannen von Kontrollsystemen ist immer mit einer erhöhten Prozessor- und Netzwerklast verbunden. Die Untersuchung der Auswirkungen durch aktives Scannen auf das Verhalten der Industriekomponenten war ein wesentlicher Bestandteil des Projektes. Zusätzlich wurden die Möglichkeiten passiver Methoden untersucht und ausgewertet. Die gewonnenen Erkenntnisse hinsichtlich der Scanverträglichkeit wurden u. a. auf internationalen Konferenzen veröffentlicht.

Eine Anforderung an die Suchmaschine war, dass diese sowohl im Internet als auch intern in Unternehmensnetzwerken einsetzbar sein musste. Des Weiteren sollten Werkzeuge entwickelt werden, um die gesammelten Informationen algorithmisch und visuell zu bewerten und daraus resultierende Erkenntnisse zu IT-Sicherheits-Schutzbedarfen effektiv zu kommunizieren. Hierzu wurden die Ergebnisse der RiskViz-Suchmaschine auch mit zusätzlichen Daten verknüpft. Zu diesen Daten gehören Wirtschafts- und Branchendaten, die im Vorhaben auf ihre Relevanz für die IT-Sicherheit hin untersucht wurden. Ein Ziel der Analysen ist es, gefährdete ICS entsprechenden Betreibern (Kommunen oder Unternehmen) zuzuordnen, damit diese Betreiber gewarnt werden und ihr eigenes Netzwerk schützen können. Zudem helfen die Projektergebnisse Versicherungen bei der Einschätzung des Schadenpoten tials von Cyber-Risiken. Da mittels der RiskViz-Suchmaschine sensible Daten erhoben werden, musste im Vorhaben geklärt werden, wer an welcher Stelle zugriffsberechtigt ist, wobei Datenschutz an erster Stelle steht.

Ziele
Die Hochschule Augsburg hatte im Rahmen des Forschungsprojektes die Konsortialführung. Des Weiteren waren technische Umsetzungen – wie z. B. ein Laboraufbau, um die Suchmechanismen zu testen – sowie die Datenanreicherung weitere Kernthemen.

Die Zielstellung der Hochschule Augsburg beinhaltet im Wesentlichen folgende vier Punkte:

• Erzeugung eines aktuellen Lagebildes in spezifizierten IP-Bereichen bzw. in einem industriellen System.
• Aufbau eines sicheren Labors zur Evaluierung verschiedener aktiver und passiver Scanmöglichkeiten.
• Erfassen der Auswirkungen des Scanvorganges auf industrielle Anlagen (Scanverträglichkeit).
• Darstellung und Auswertung der gewonnenen Ergebnisse.

Ergebnisse
Die im Rahmen des Projekts RiskViz entwickelten Konzepte und Technologien erlauben es, ein Sicherheitslagebild zu erstellen. Die Kernkomponenten sind hierbei die innere Suche und die äußere Suche. Während die innere Suche in einem Netzwerk integriert werden kann, um den Betreibern kritischer Infrastrukturen einen Überblick über ihre jeweiligen Netzwerke geben zu können, kann die äußere Suche auf das gesamte Internet oder nur auf eingeschränkte IP-Bereiche angewendet werden. Dies ermöglicht Lagebilder unterschiedlicher Granularität, welche sich an die jeweiligen Anforderungen anpassen lassen. Auf Basis dieser Lagebilder können weitere Maßnahmen geplant und Ziele verfolgt werden.

Es konnten die Vorteile und die Notwendigkeit von Scans kritischer industrieller Infrastrukturen aufgezeigt werden. Zudem wurden die Risiken für Betreiber beleuchtet, die durch das Scannen der mitunter sensiblen Komponenten entstehen. Diese Erkenntnisse wurden in mehreren Publikationen behandelt. Mit Hilfe der durchgeführten Tests konnten Schwachstellen identifiziert und Lösungen zur Behebung angeboten werden.

Eines der Kernthemen der Hochschule Augsburg war es, ein Labor für industrielle Komponenten aufzubauen, um diese unter verschiedener Netzwerklast gezielt vermessen zu können. Das Labor ermöglicht es uns, Antwortzeiten von Industriekomponenten exakt zu untersuchen, Protokolle im Hinblick auf Performanz und IT-Sicherheit zu evaluieren sowie konkrete Setups und Szenarien nachzubilden. Das Labor wird weiterhin für Forschung, Lehre und Industrieaufträge eingesetzt.