Was ist der Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“? Kritische Infrastrukturen bilden das Rückgrat moderner Industrienationen, sie gewährleisten die grundlegende Versorgung in vielen Bereichen, wie Energie, Informationstechnik und Kommunikation, Transport und Verkehr, Medien und Kultur oder Staat und Verwaltung.
Diese Infrastrukturen werden zunehmend von IT-Systemen gesteuert, die mit dem Internet verbunden sind. Damit ist ein Angriff von außen möglich und der Schutz vor Cyberangriffen zu einer neuen Herausforderung geworden. Das Bundesministerium für Bildung und Forschung fördert daher die Erforschung neuer Ansätze für die IT-Sicherheit in Kritischen Infrastrukturen.
Ziel ist es, schon heute zukunftsfähige Lösungen für morgen zu entwickeln und sowohl neue Ansätze zur Beurteilung von IT-Sicherheit als auch zur Erhöhung der IT-Sicherheit zu erforschen.

News aus dem Förderschwerpunkt

alle anzeigen >

High Potential Seminar "Networking in den Wissenschaften"

Am 15. und 16. Dezember 2016 fand im JOSEPHS in Nürnberg das, von VeSiKi organisierte, High Potential Seminar zum Thema „Networking in den Wissenschaften – Publikationen, Zusammenarbeit und Community-Building“ statt. In dem interaktiven Seminar führte Dr. Dr. Albrecht Fritzsche durch die relevanten Schritte, um Communities im eigenen Forschungsfeld zu identifizieren, eine Forschungsstrategie aufzubauen, erfolgreich zu publizieren und zu networken. Durch den interaktiven Charakter konnten die Teilnehmer wichtige Player in ihrem Themengebiet identifizieren und zielgerichtet Konferenzen und Journale für ihr weiteres Forschungsvorhaben recherchieren.

Max Jalowski
09.01.2017

Neuer Pressespiegel zu "Datenschutz und IT-Sicherheit"

Im Wegweiser findet sich jetzt der neue monatliche Pressespiegel zu "Datenschutz und IT-Sicherheit". Dr. Dennis-Kenji Kipker hat erneut relevante Presseartikel aus dem Dezember 2016 zusammengestellt.
Pressespiegel Datenschutz und IT-Sicherheit 12/16

Max Jalowski
09.01.2017

<kes> & BBK

Von VeSiKi sind im Dezember 2016 zwei Medienbeiträge erschienen:

Das IT-Security-Matchplay zur Schaffung von Awareness wird in der aktuellen Ausgabe der <kes> - Die Zeitschrift für Informations-Sicherheit vorgestellt. Im Artikel "Spiel, Satz, Sieg!" finden Sie nähere Informationen.

In der BBK wurde der Beitrag "VeSiKi - Allgemeine IT-Sicherheitsbedrohungslage unter besonderer Berücksichtigung des Bevölkerungsschutzes" publiziert. Vorgestellt wird in diesem Artikel nicht nur die Begleitforschung sondern auch die Verbundprojekte des Förerschwerpunkts ITS|KRITIS sowie deren Tätigkeiten.

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Publ_magazin/bsmag_4_16.pdf?__blob=publicationFile  

Tamara Gurschler
21.12.2016

Pressemitteilung zu PortSec

Schutz vor IT-Angriffen auf Häfen
 
 
Ein Konsortium aus Wirtschaft und Wissenschaft entwickelt ein System für das Risikomanagement von Informations- und Kommunikationstechnologien in Häfen, um dem Ausfall wichtiger Infrastrukturen vorzubeugen
 
Mehr als 90 Prozent der weltweit gehandelten Güter werden auf dem Seeweg transportiert – gerade für den „Exportweltmeister“ Deutschland sind die Häfen daher eine zentrale Voraussetzung für den wirtschaftlichen Erfolg. Ein Ausfall der Hafeninfrastrukturen würde jedoch nicht nur finanzielle Folgen haben, sondern könnte auch zu Versorgungsengpässen bei der Bevölkerung führen. Nicht zuletzt können auch gravierende Sicherheitsrisiken entstehen, wenn Gefahrgüter nicht sachgemäß umgeschlagen und überwacht werden. Einen möglichen Angriffspunkt bilden dabei die Informations- und Kommunikationstechnologien: In modernen Häfen wird der gesamte Umschlag mittlerweile elektronisch gesteuert und der Datenaustausch zwischen einer Vielzahl von Beteiligten zentral organisiert. Ein Konsortium aus Bremer Forschungseinrichtungen und Unternehmen entwickelt daher jetzt Lösungen für die verstärkte Absicherung dieser Kommunikationsplattformen, die als Hafentelematik-Systeme bezeichnet werden.
 
Förderung vom Forschungsministerium
 
Koordiniert wird das Projekt, das bis August 2018 läuft, vom Institut für Seeverkehrswirtschaft und Logistik (ISL). Als weiterer wissenschaftlicher Partner ist das Technologie-Zentrum Informatik und Informationstechnik der Universität Bremen (TZI) dabei, aus der Wirtschaft beteiligen sich die dbh Logistics IT AG und die datenschutz cert GmbH. Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Projekt „IT-Risikomanagement in der Hafentelematik (PortSec)“ im Rahmen des Programms KMU-innovativ mit rund 1,28 Millionen Euro.  
 
Verschiedene Bedrohungsszenarien
 
Das ISL betrachtet seit vielen Jahren Bedrohungen bezüglich der Sicherheit der Lieferkette mit Schwerpunkt auf den Containerverkehr. Im Projekt PortSec geht es nun erstmals gezielt um die jüngste Art der Bedrohung – Angriffe auf IT-Systeme. „So könnten zum Beispiel vertrauliche Daten über manipulierte Nutzerkonten abgegriffen werden, um damit kriminelle Handlungen wie Drogenschmuggel vorzubereiten“, erklärt Prof. Dr. Frank Arendt. „Auch Sabotageakte sind vorstellbar.“ Das Projektkonsortium untersucht daher, wie existierende Hafentelematik-Systeme künftig weitgehend automatisch auf Schwachstellen getestet werden können, um sie im Voraus gegen verschiedene Bedrohungsszenarien abzusichern. „Hierbei soll auch ein entsprechender Standard entwickelt werden, damit sich Betreiber bezüglich der Sicherheit ihrer Hafentelematik-Systeme zertifizieren lassen können“, erklärt Arendt.
 
Schwachstellen auf Knopfdruck finden
 
Das TZI der Universität Bremen verfügt über umfassendes Know-how bei der automatisierten Prüfung von Software auf mögliche Schwachstellen. „Es wäre sehr zeitaufwändig und teuer, jede Zeile eines Programms einzeln durchzusehen und von einem Analysten prüfen zu lassen“, erklärt Dr. Karsten Sohr, der am TZI das Thema Informationssicherheit koordiniert. „Wir entwickeln daher Systeme, die den Bauplan der Software untersuchen und dort vor allem die Kommunikationsschnittstellen nach außen aufzeigen. Diese Zugänge müssen ausreichend gesichert sein.“ Im Bereich der Hafentelematik wird jedoch nicht nur der Programmcode auf diese Weise durchleuchtet, sondern das gesamte Netzwerk, sodass die Software-Analyse mit der Sicherheit des Rechnernetzes verbunden wird.
 
Zertifizierung für Telematiksysteme
 
Die Ergebnisse der automatischen Untersuchung werden anschließend von Experten begutachtet, um aufgeworfene Fragen zu klären und Handlungsempfehlungen abzuleiten. Übernommen wird diese Rolle von der datenschutz cert GmbH, einer Prüf- und Zertifizierungsgesellschaft mit Fokus auf Datenschutz und IT-Sicherheit. „Wir haben bereits andere Projekte erfolgreich mit dem TZI durchgeführt und daraus neue Dienstleistungen entwickelt, die vom Markt nachgefragt werden“, berichtet Jan Schirrmacher. Akuten Handlungsbedarf bei Häfen sieht er aufgrund des neuen IT-Sicherheitsgesetzes, das die Bundesregierung im vergangenen Jahr verabschiedet hat. Betreiber von sogenannten „kritischen Infrastrukturen“ müssen in Zukunft sicherstellen, dass sie nach dem aktuellen Stand der Technik geschützt sind. datenschutz cert will die Ergebnisse des Projekts PortSec nutzen, um entsprechende Zertifizierungen für Hafentelematiksysteme anzubieten.
 
Mehr Sicherheit als bei Qualitätsnormen
 
Als weiterer Wirtschaftspartner ist die dbh Logistics IT AG ebenfalls zentral am Verbundprojekt beteiligt – sie entwickelt und betreibt unter anderem die Hafentelematik- und Port-Community-Systeme für die Bremischen Häfen (Bremen und Bremerhaven) sowie den Jade-Weser-Port in Wilhelmshaven. Das Unternehmen ist bereits nach dem IT-Qualitätsstandard ISO 27001 zertifiziert, möchte aber noch einen Schritt weitergehen, denn eine aktive Suche nach Schwachstellen in der Software ist noch kein geforderter Bestandteil der internationalen Norm. Im Rahmen des Projekts will die dbh dieses Thema angehen und dabei untersuchen, wie werkzeugunterstützte Risikoanalysen von Software in das ISO-27001-Rahmenwerk eingebunden werden können.
 
Zum Abschluss des Projekts will das Konsortium prüfen, inwiefern der PortSec-Ansatz auch auf andere Branchen übertragen werden kann.

Rainer Müller
09.12.2016

Nachbericht IT-Sicherheitsforum am 23.11.2016

IT-Sicherheitsforum – Forschung zeigt neue Wege für die Sicherung Kritischer Infrastrukturen auf.

Vernetzung und Digitalisierung umspannen alle Bereiche des täglichen Lebens. Auch Infrastrukturen für Energie, Kommunikation, Verkehr oder Gesundheit werden von IT-Systemen gesteuert. Oft sind diese mit dem Internet verbunden. Damit wird der Schutz der „Kritischen Infrastrukturen“ (KRITIS) vor Cyberangriffen zu einer zentralen Herausforderung der digitalen Gesellschaft. Welche neuen Ansätze zur Beurteilung und Erhöhung der IT-Sicherheit gibt es? Wie können KRITIS-Betreiber die gesetzlich geforderten IT-Sicherheitsvorkehrungen auf dem Stand der Technik umsetzen? Was bedeutet dies gerade für kleinere Betreiber? Und wie nutzt Deutschland im internationalen Vergleich gesetzliche Möglichkeiten, um IT-Security in und aus Deutschland zu fördern?
Um diese Fragen zu erörtern, trafen sich am 23.11.2016 über 100 Vertreterinnen und Vertreter aus Wirtschaft, Politik, Behörden und Forschung zu einem offenen Gesprächsforum. Initiatoren des Forums waren der Forschungsschwerpunkt „ITS.KRITIS“ des Bundesministeriums für Bildung und Forschung (BMBF) und der Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE).
 
Dr. Christine Thomas (Leiterin der Unterabteilung „Innovation im Dienste der Gesellschaft“, BMBF) skizzierte die Herausforderungen im Umgang mit Cyberangriffen. Forschungsprojekte können beteiligte Betreiber zwar sensibilisieren und handfest unterstützen. Fruchtbar würden die Ergebnisse jedoch erst dann, wenn unterschiedliche KRITIS-Sektoren voneinander lernen und gemeinsam „ein Stück vor die Lage kommen“.
 
Genau daran arbeitet der UP-KRITIS, eine Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Daran erinnerte Arne Schönbohm (Präsident des BSI). Doch vor allem den deutschen Herstellern für IT-Sicherheitsleistungen komme eine wichtige Rolle zu. Denn die Angriffe nehmen nicht ab, im Gegenteil: In Zukunft können Angriffe auf die gezielte Zerstörung von Geschäftsprozessen gerichtet sein.
 
Dass die Bedeutung der IT-Sicherheit für die funktionale Sicherheit heute allgemein erkannt wird, ist für Ansgar Hinz (VDE-Vorstandsvorsitzender) eine begrüßenswerte Entwicklung. Jedoch mangele es nach wie vor an einem griffigen Analogon zum bewährten Beurteilungsmodell der Sicherheitsintegritätslevel aus dem Safety-Bereich, so Hinz. Eine strenge Abschottung der Systeme sei keine Alternative; Vernetzung und Sicherheit können vielmehr durch die Adaption des Konzeptes einer semipermeablen Membran in Einklang gebracht werden.
 
„Ein Dutzend Thesen eines Anwenders“ - so überschrieb Jens Feddern, Leiter der Berliner Wasserbetriebe, seine Keynote zu mehr Sicherheit. „Nehmt die kleinen Betreiber mit, nehmt die Menschen mit, vergesst die Besonderheiten einzelner Sektoren nicht und schafft Spielwiesen (Testumgebungen) zum Ausprobieren neuer Sicherheitsleistungen“, lautete sein Credo in Richtung der Forschungsprojekte.
 
Prof. Ulrike Lechner (Projektleitung Begleitforschung IT-Sicherheit für Kritische Infrastrukturen, Universität der Bundeswehr München) gab schließlich einen Überblick über den Förderschwerpunkt und skizzierte erste Ergebnisse einer aktuellen Umfrage von KRITIS-Betreibern: Auf die Frage nach der Verletzlichkeit der eigenen Organisation, seien die Verantwortlichen stets gelassen. Dies erinnere an die typische menschliche und oft falsche Regung: Das Problem betrifft nur andere – nicht mich. Wie passgenau die Themenstellung der zwölf Projekte dennoch sei, zeige ein anderes Ergebnis. Die angestrebten Lösungen der Projekte decken sich mit den Herausforderungen, denen sich die Mehrheit der Betreiber in den nächsten zwei bis drei Jahren zu stellen beabsichtigt.
 
Klare Handlungsempfehlungen für mehr Sicherheit
 
Die Podiumsdiskussion mit Michael Barth (Genua mbH), Jens Feddern (Berliner Wasserbetriebe), Prof. Ina Schieferdecker (Fraunhofer FOKUS Berlin) und Dr. Tim Stuchtey (Brandenburgisches Institut für Gesellschaft und Sicherheit gGmbh) unter der Moderation von Sven Oswald (rbb) skizzierte Lösungswege und klare Handlungsempfehlungen an unterschiedliche Adressen:
Es gebe keine Alternative dazu, stets an die Awareness der Betreiber und ihrer Mitarbeiter zu schärfen. Das Management müsse direkt in die Pflicht genommen werden, der IT-Sicherheit einen gebührenden Stellenwert inklusive einen angemessenen Budget einzuräumen. Ein sehr pragmatischer Vorschlag waren verbindliche Beschaffungslisten für KRITIS-Betreiber, um so den geforderten Stand der Technik nach dem IT-Sicherheitsgesetz (IT-SiG) in der Praxis zu etablieren. Die Runde forderte auch, die Haftung der Softwarehersteller für etwaige Schwachstellen ihrer Produkte auszuweiten - nur ein solcher Zwang führe zu höherer Qualität und weniger Sicherheitslücken. Ob implementierte Sicherheitslösungen auch wirklich sicher sind, solle schneller und einfach überprüfbar sein: Hier mangele es an geeigneten Verfahren, um softwaregeführte Systeme während des Betriebs und in der Produktivumgebung auf Herz und Nieren zu prüfen. Und das mit dem IT-SiG eingeführte Meldewesen könne einen Schatz darstellen – vorausgesetzt, dass auf vertrauensvolle Weise alle Betreiber von Angriffen bzw. Schwächen einzelner Betroffener lernen können.
 
Das Podium war sich einig: Die Anstrengungen zur mehr IT-Sicherheit dürfen trotz des hohen Niveaus im internationalen Vergleich nicht nachlassen. Denn eines sei nicht auszuschließen: Vielleicht habe man in Deutschland bis dato nur Glück gehabt, nicht von einem großen Cyberangriff betroffen worden zu sein.
 
Abschließend stellten die Forschungsprojekte ihre ersten Ergebnisse vor. Präsentiert wurden unter anderem eine Internetsuchmaschine zur Aufdeckung von Schwachstellen von Industriesteuerungen, eine Nachrüstlösung zur Absicherung von Bestandsanlagen in Industrienetzen oder Software zum präventiven Risiko- und Krisenmanagement in Rechenzentren von Banken.
 
Mehr zum IT-Sicherheitsforum:
 
https://www.vde.com/topics-de/cyber-security/aktuelles/it-sicherheit-berlin
 
Mehr zum Forschungsschwerpunkt:
 
http://www.forschung-it-sicherheit-kommunikationssysteme.de/foerderung/bekanntmachungen/kritische-infrastrukturen
 
Bildquelle: VDE

30.11.2016

SICIA auf der IQPC-Konferenz "IT-Sicherheit – Energie"

Das Projekt SICIA stellt aktuelle Ergebnisse zu (Betreiber-)unabhängigen Methoden und technischen Hilfsmitteln zur Implementierung und Pflege von Informationssicherheitsmanagementsystemen (ISMS) im Energie-Sektor vor.
Informationen zur Veranstaltung: www.it-sicherheit-evu.de

30.11.2016

Hochschule Augsburg - Advisory (ICSA-16-313-01)

Drei Schwachstellen in Steuerungskomponenten. Advisory des Departement of Homeland Security.
https://ics-cert.us-cert.gov/advisories/ICSA-313-01

Matthias Niedermaier
08.11.2016

ITS|KRITIS begrüßt den neuen Kooperationspartner nrw.uniTS

ITS|KRITIS freut sich, seit Oktober 2016 das IT-Security-Projekt und Netzwerk nrw.uniTS als Kooperationspartner begrüßen zu können. nrw.uniTS bildet einen organisatorischen Kern für alle IT-Security-Unternehmen in NRW, wobei der Fokus auf der Kooperationsförderung liegt. Hierzu organisiert, koordiniert und forciert nrw.uniTS Kontakte, Wissen, Projekte und Aktionen im Bereich der IT-Sicherheit, die Einzelunternehmen und anderen von Nutzen sind, sie allein aber nicht stemmen können. Die Zusammenarbeit von Wissenschaft und Wirtschaft garantiert dabei die Verknüpfung von anwendungsorientierter Spitzenforschung der IT Security. Insoweit bestehen erhebliche Überschneidungen mit den Interessen und Aktivitäten des Forschungsverbundes ITS|KRITIS, der sich ebenso aus Wissenschaftseinrichtungen wie auch aus der Unternehmenspraxis zusammensetzt und darauf abzielt, einen möglichst raschen und einfachen Transfer neuer und hochinnovativer Lösungen der IT Security unmittelbar in die Anwendung zu ermöglichen. Ansprechpartner auf Seiten von ITS|KRITIS für die neue Kooperation mit nrw.uniTS ist Dr. Dennis-Kenji Kipker (kipker@uni-bremen.de).
Website: nrw.uniTS

Matthias Raß
02.11.2016

InnoVisions Beitrag zu PREVENT

Das Magazin InnoVisions bringt unter dem Titel "Risikofaktor IT IT-Einsatz und Bankprozesse im Sicherheitscheck" einen Beitrag zum Projekt PREVENT.

Jürgen Großmann
01.11.2016

Termine im Förderschwerpunkt

Nächste Termine

Aktuell gibt es keine anstehenden Termine.

Publikationen im Förderschwerpunkt

alle anzeigen >
Titel Author Veröffentlichungsdatum
PDF Abschlussmeeting - TUM Poster TUM 2016-12-08
PDF Abschlussmeeting - GPLMT Poster TUM 2016-12-08
PDF Abschlussmeeting - IHS Poster TUM 2016-12-08
PDF Abschlussmeeting - Response Selection Poster TUM 2016-12-08
PDF Abschlussmeeting - IDS Poster TUM 2016-12-08
PDF Twice the Bits, Twice the Trouble: Vulnerabilities Induced by Migrating to 64-Bit Platforms Christian Wressnegger, Fabian Yamaguchi, Alwin Meier und Konrad Rieck. 2016-10-24
PDF An Optimal Metric-Aware Response Selection Strategy for Intrusion Response Systems - Vortrag auf der FPS 2016 Nadine Herold, Matthias Wachs, Stephan-A. Posselt, Georg Carle 2016-10-24
PDF Collaborative Incident Handling Based on the Blackboard-Pattern - Vortrag auf der WISCS 2016 Nadine Herold, Holger Kinkelin, Georg Carle 2016-10-24
PDF Pressemeldung 10/2016 Tamara Gurschler 2016-10-17
PDF Medienspiegel 09/2016 Tamara Gurschler 2016-09-21

Verbundprojekte im Förderschwerpunkt

AQUA-IT-Lab

Entwicklung von Lösungsansätzen zum Schutz vor Cyber-Angriffen für kleine und mittlere Betreiber Kritischer Infrastrukturen

zum Projekt +

Cyber-Safe

Erhöhung der IT-Sicherheit von Verkehrsleitzentralen und Schutz vor Cyber-Angriffen

zum Projekt +

INDI

Erforschung einer neuartigen Technologie zur Erkennung und Eindämmung von Cyberangriffen

zum Projekt +

ITS.APT

Erweiterung klassischer Testmethoden für die Bewertung der IT-Sicherheit durch Einbeziehen des Sicherheitsbewusstseins des Benutzers

zum Projekt +

MoSaIK

Methoden und Werkzeuge zur Gewährleistung der IT-Sicherheit für kleinere Betreiber von Kritischen Infrastrukturen

zum Projekt +

PREVENT

Konzeption, Entwicklung und Implementation einer in Rechenzentren integrierbaren Software für präventives Risiko- und Krisenmanagement

zum Projekt +

RiskViz

Entwicklung einer Suchmaschine zum Auffinden industrieller Kontrollsysteme (ICS) und zur Bewertung der Risiken

zum Projekt +

SecMaaS

Erarbeitung von Lösungswegen für die Gewährleistung von IT-Sicherheit in der öffentlichen Verwaltung

zum Projekt +

SICIA

Entwicklung eines neuartigen Verfahrens zur Ermittlung des Ist-Zustandes der IT-Sicherheit bis auf die Geräteebene

zum Projekt +

SIDATE

Konzepte und Werkzeuge für eine schnelle Einschätzung und Verbesserung des vorhandenen Sicherheitsniveaus besonders für kleine und mittlere Energienetzbetreiber

zum Projekt +

SURF

Entwicklung einer ganzheitlichen Lösung zur Verbesserung der Schutzsysteme für Kritische Infrastrukturen

zum Projekt +

VeSiKi

VeSiKi ist das wissenschaftliche Begleitforschungsprojekt des Förderschwerpunktes IT-Sicherheit für Kritische Infrastrukturen.

zum Projekt +

Aktivitäten im Förderschwerpunkt

Die hier beschriebenen Aktivitäten geben einen Überblick darüber, was im Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen durch die Verbundprojekte und das Begleitforschungsvorhaben VeSiKi aktiv getan wird. Sie finden eine für Sie relevante Information nicht? Dann informieren Sie uns gerne über info@itskritis.de.

Zu den Aktivitäten

Wegweiser im Förderschwerpunkt

Die hier beschriebenen Wegweiser weisen Ihnen den Weg zu spezifischen Bereichen im Förderschwerpunkt IT-Sicherheit für kritische Infrastrukturen, d.h. sie geben Ihnen Antworten auf Ihre Fragen. Sie finden eine für Sie relevante Information nicht? Dann informieren Sie uns gerne über info@itskritis.de.

Zu den Wegweisern