Projektpartner

  • Universitätsklinikum Schleswig-Holstein, Lübeck

Kalender

Kontaktdaten

Prof. Dr. Michael Meier
Universität Bonn, Institut für Informatik 4: Arbeitsgruppe IT-Sicherheit
Friedrich-Ebert-Allee 144, 53113 Bonn
+49 228 73-54249
mm@cs.uni-bonn.de

Relevanz des Projekts und Grundlagen

Relevanz des Verbundprojektes / Grundlagen
Die heutige Gesellschaft ist in hohem Maße von den, durch das BMI als kritisch klassifizierten, Infrastrukturen (kurz: KRITIS) abhängig. Die Betreiber solcher Infrastrukturen sind, zur Unterstützung ihrer Geschäftsprozesse und damit letztendlich der gesamten Diensterbringung, selbst abhängig von ihrer eigenen Infrastruktur. Zu dieser zählt neben der Strom- und Wasserversorgung auch die Telekommunikations- und Informationstechnik.

Angriffe auf IT-Infrastrukturen werden immer häufiger, da sie mit vergleichsweise geringem Auf-wand über das Internet möglich sind. Zudem kann die Identität eines Angreifers über dieses Medium, im Vergleich zu einem physischen Angriff, leichter verschleiert werden. Eine Bewertung der IT-Sicherheit bei KRITIS-Betreibern wird üblicherweise durch klassisches „Penetration Testing“ durchgeführt. Bei diesem Vorgang wird die IT-Infrastruktur eines Unternehmens auf Verwundbarkeiten überprüft und anhand dieser Überprüfung eine Bewertung vorgenommen. Das Penetration Testing wird durch spezielle Dienstleister (so genannte Pen-Tester), die versuchen, im Auftrag des Betreibers, im laufenden Betrieb in die Computersysteme einzudringen, umgesetzt. Gelingt dies dem beauftragten Pen-Tester, so wird ein System als unsicher eingestuft und der Mangel muss behoben werden, um das gewünschte technische Sicherheitsniveau zu erreichen.

Dabei ist das Testfeld jedoch lediglich auf die technische Infrastruktur beschränkt und lässt den Faktor Mensch aus der IT-Sicherheitsbewertung außen vor. Einem Benutzer fehlt es oft, mangels Wissen um die eingesetzte Technologie, den möglichen Gefahren und resultierenden Folgeschäden, an fundiertem Sicherheitsbewusstsein. Dies machen sich Angreifer oft zu Nutze. Trojanische Pferde und Social-Engineering insbesondere Phishing sind prominente Beispiele, bei denen mangelhaftes Sicherheitsbewusstsein eines Benutzers gezielt ausgenutzt wird.

Während dieser Missstand oft diskutiert wird, existiert bis heute weder ein Maß zur Bewertung des IT-Sicherheitsbewusstseins noch eine Möglichkeit, dieses strukturiert mittels Maßnahmen zu adressieren und zu erhöhen. Hier setzt das Projekt ITS.APT an. Im Rahmen des Projekts werden Methoden erarbeitet, mit denen IT-Sicherheitsbewusstsein von Benutzern gemessen werden kann. Traditionelle wissenschaftliche Messwerkzeuge zur Erfassung von Anteilen des Bewusstseins von Individuen, haben sich mehrfach als impraktikabel erwiesen. Umfragen, mittels Fragenbögen auf freiwilliger Basis, haben zumeist sehr geringe Rücklaufquoten. Sind diese verpflichtend, so ist in geschlossenen Kontexten, wie dem eines Unternehmens, damit zu rechnen, dass eine Klausur- oder Prüfungssituation für die Mitarbeiter entsteht. Dies führt dazu, dass die Ergebnisse im Vergleich zur Realität verzerrt sind. Zur Adressierung dieser ergebnisverzerrenden Effekte werden üblicherweise Umfragen in Form gezielter Interviews empfohlen. Verglichen mit Umfragen auf Fragebogenbasis ist dieses Vorgehen noch kostenintensiver. Zudem unterliegen Studien, die mittels Fragebögen explizit das Sicherheits-bewusstsein von Personen erfassen, dem Effekt der sozialen Erwünschtheit. Dieser Effekt führt dazu, dass Personen auf Nachfrage zwar angeben, dass Ihnen bestimmte Probleme bewusst sind, dies aber in ihrem Alltag nicht handlungsrelevant ist.

Forschungsfragen

Das Projekt ITS.APT berührt hauptsächlich folgende Forschungsbereiche: Information Security Awareness und Penetration Testing. Ziel des ersten Bereichs ist es, IT-Sicherheitsbewusstsein von Benutzern besser zu verstehen. Dieses Verständnis ist essentiell zur IT-Sicherheits-Risikobewertung. Eine Erfassung des IT-Sicherheitsbewusstseins wurde in bisherigen Versuchen über Fragebögen durchgeführt. Derzeit existiert kein Maß, zur Bewertung von IT-Sicherheitsbewusstsein. Eine solches Maß ist zwingend notwendig, um sowohl den aktuellen Stand innerhalb eines Unternehmens zu erheben, diesen mit anderen Unternehmen und vorigen Erhebungen zu vergleichen als auch den Erfolg von gezielten Schulungsmaßnahmen und sogenannten „Awareness-Kampagnen“ zu be- bzw. widerlegen.

Würde ein fragebogenbasiertes Verfahren in einem Unternehmen angewandt, wäre mit hohen Kosten zu rechnen, unter anderem, da die Mitarbeiter für die Zeit der Beantwortung der Fragebögen freigestellt werden müssten. Außerdem kommt es in geschlossenen Umgebungen, wie dem eines Unternehmens zu ergebnisverzerrenden Effekten („soziale Erwünschtheit“, vgl. oben). Zur Bewertung und damit auch als Grundlage der Erhöhung des IT-Sicherheitsbewusstseins ist ein derartiges Vorgehen nicht praktikabel. Im Bereich des Penetration Testing wird bereits die Möglichkeit, den Benutzer in Tests mit einzubeziehen, in Erwägung gezogen. Diese Ansätze sind jedoch oft nur punktuell durchführbar und mit hohem personellen Aufwand verbunden.

Die meisten Bereiche des deutschen Datenschutzes finden bisher in der internationalen Forschung kaum Beachtung. Der Schutz von IT und der Schutz personenbezogener Daten sind eng miteinander verzahnte Gebiete. Zuletzt hat sich der Berichterstatter des EU-Parlaments für die Datenschutzverordnung einem Vorschlag des ULD angeschlossen, einheitliche Schutzziele zu formulieren. Die aus der IT-Sicherheit wohlbekannten Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität werden dabei um die datenschutzspezifischen Schutzziele Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit ergänzt und im Gesamtsystem aus der Perspektive aller an der Datenverarbeitung Beteiligten betrachtet. Dies schließt neben den Unternehmensinteressen auch Auftragsdatenverarbeiter, Aufsichtsbehörden und Interessen der Betroffenen (Kunden und/oder Mitarbeiter) ein. Der Blick auf die Schutzgüter schärft das Problembewusstsein und versetzt so Beteiligte in die Lage, Gefahren auch intuitiv zu erkennen, zu beseitigen oder frühzeitig zuständige Stellen zu unterrichten.

Derzeit steht einem KRITIS-Betreiber, wie dem UKSH, keine systemische und ganzheitliche Lösung, wie sie im Rahmen des Projekts ITS.APT erarbeitet werden soll, zum Einsatz in der täglichen Praxis zur Verfügung. Neben einer rechtlich geprüften Methode, wird ein Werkzeug entwickelt, mit dem es in Kombination mit bisherigen Verfahren KRITIS-Betreibern möglich ist, das aktuelle Sicherheitsniveau in ihrem Unternehmen zuverlässig zu erfassen und zu beurteilen. Zu den erbrachten Neuerungen zählen: Ein Werkzeug zur Erfassung von IT-Sicherheitsbewusstsein; Eine Methode zur kosteneffizienten, systemischen Bewertung von IT-Sicherheitsbewusstsein; Ein rechtliches Rahmenwerk, das durch die starken rechtlichen Implikationen bei der Prüfung der menschlichen Komponente erforderlich ist; Sowie eine Antwort auf die Frage, in welcher Art und Weise sich IT-Sicherheitsbewusstsein durch Maßnahmen (wie Schulungen) ausbilden lässt.

Ziele

ITS.APT verfolgt das Ziel, sowohl ein, nach dem Kenntnistand des ITS.APT-Konsortiums bisher nicht existierendes, benutzerzentriertes Maß sowie ein praktikables Werkzeug zur effizienten Messung des IT-Sicherheitsbewusstseins zu entwickeln. Darauf basierend werden erste Ansätze für eine Maßnahme zur gezielten, strukturierten sowie kosteneffizienten Erhöhung dieses IT-Sicherheits-bewusstseins der Benutzer und damit der gesamten IT-Sicherheit bei IT-Betreibern, hier mit dem Fokus auf KRITIS-Betreiber, entwickelt.

Vorgehen

Der Projektablauf lässt sich wie folgt skizzieren: zunächst werden die Konzepte des technischen Penetration Testing erfasst und für die weitere Nutzung aufbereitet. Anhand dieser Ergebnisse werden Angriffsvektoren identifiziert, die gezielt den Benutzer als Schwachstelle adressieren. Angriffsvektoren beinhalten die Rahmenbedingungen für einen durchführbaren Angriff, z.B. die Kombination einer Phishing-E-Mail und ein Verweis auf Schadsoftware, die ein Benutzer installieren soll. Für diese werden prototypische Angriffsszenarien entwickelt, die an vorhandene Werkzeuge des klassischen Penetration Testing angelehnt sind. Anhand der prototypischen Angriffsszenarien werden allgemeine Bedrohungsindikatoren abgeleitet, anhand derer Benutzer einen gerade durchgeführten Angriffsversuch erkennen können und sollten. Auf Basis dieser Bedrohungsindikatoren kann das IT-Sicherheitsbewusstsein der Benutzer gezielt getestet werden.

Zur einfachen Erstellung von Tests, wird ein Framework implementiert, das einerseits die Implementierung der Tests vereinfachen soll, andererseits die Ergebnispräsentation für Pen-Tester und KRITIS-Betreiber realisiert. Dazu bedarf es der Entwicklung und Bewertung von speziell konzipierten Messverfahren. Die erhaltenen Ergebnisse ermöglichen einen tieferen Einblick in die Wahrnehmung und Umsetzung von IT-Sicherheit beim Benutzer. Die Evaluation der Messergebnisse erfolgt anhand einer a-posteriori Betrachtung mehrfach durchgeführter Tests, z.B. nach einer entsprechend konzipierten Schulung, in deren Entwicklung auch bereits Fokus auf Kosteneffizienz gelegt wird. Diese Kosteneffizienz soll erreicht werden, indem korrelierende Kompetenzfelder aus den Testdaten abgeleitet werden, die anhand eines repräsentativen Anteils dieser Kompetenzfelder vermittelt werden.

Das Projekt ist grob in drei Phasen zu unterteilen. Die erste Phase dient der organisatorischen Testbereitschaft. Mit der organisatorischen Testbereitschaft ist das Wissen erschlossen, das benötigt wird, um eine Messung des IT-Sicherheitsbewusstseins bei den Benutzern durchführen zu können. Dabei gilt es den rechtlichen und organisatorischen Rahmen zu evaluieren, in welchem derartige Messungen und die zugehörigen Test durchgeführt werden können. Das Grundwissen für die Implementierung eines Frameworks wird erarbeitet.

In der zweiten Phase werden die Messwerkzeuge realisiert und der ersten Test durchgeführt. Mit Abschluss der zweiten Phase ist die technische Testbereitschaft erreicht.

Anhand der gewonnen Ergebnisse gilt es in der dritten Phase festzustellen, ob sich durch eine speziell konzipierte Schulung das IT-Sicherheitsbewusstsein messbar verbessern lässt.