Gefährliche Offenheit – Vernachlässigte Sicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.08.2011 pi/Rudolf Felser

Gefährliche Offenheit – Vernachlässigte Sicherheit

In komplexen Systemen bieten sich Cyber-Kriminellen zahlreiche Angriffspunkte. Das AIT-IT-Security-Team entwickelt Verfahren, um schon bei der Entwicklung Sicherheits­lücken zu vermeiden.

Viele Unternehmen machen sich heutzutage noch immer zu wenige Gedanken über die Sicherheit ihrer Systeme, betont Thomas Bleier, der am AIT das Forschungsgebiet IT-Security im Safety & Security Department leitet. An schlagzeilenträchtigen Hackerangriffen mangelte es in letzter Zeit nicht, da immer öfters auch große Unternehmen wie kürzlich Sony, Sega und auch der Österreichische Rundfunk betroffen sind. Hier konnten Cyber-Kriminelle relativ einfach gleich Millionen an Kundendaten stehlen.

Aber selbst Unternehmen mit gut geschützten Sys­temen sind – wie jüngst der Kampfflugzeug-Hersteller Lockheed oder das auf Sicherheitslösungen spezialisierte Unternehmen RSA – vor Cyber-Attacken nicht restlos sicher. Bei solchen, sehr aufwendigen Hacks stehen mitunter auch feindliche Geheimdienste im Hintergrund. Das US-Unternehmen Lockheed ist noch einmal mit einem blauen Auge davon gekommen, da die Eindringlinge angeblich nicht bis zu den kritischen Daten vordringen konnten. Der Verschlüsselungsspezialist RSA muss hingegen als Folge des Angriffs nun rund 40 Millionen SecurID-Tokens austauschen. Beispiele wie diese zeigen, dass selbst hoch sichere Systeme geknackt werden können. "Absolute Sicherheit gibt es leider nicht, aber ein hoher Sicherheitsstandard sorgt dafür, dass Angreifer den Aufwand scheuen und sich lieber gleich andere, leichtere Opfer suchen", so Bleier.

ALTE SCHWÄCHEN BESEITIGEN Eines der Hauptprobleme im Internet und bei vielen Anwendungen liegt darin, dass die technischen Grundlagen oft aus einer Zeit stammen, wo es den Begriff "Cybercrime" noch gar nicht gegeben hat. Bedenklich ist aber, dass es bei vielen Unternehmen selbst an einfachen Absicherungen mangelt. "Obwohl es mittlerweile sehr viele Ansätze und Vorschläge gibt, wie Systeme und Programme sicherer gemacht werden können, passieren die gleichen Fehler trotzdem immer wieder", so der AIT-Sicherheitsexperte. Gründe dafür gibt es viele. So ist das Thema Security in der Ausbildung des IT-Nachwuchses bislang meist zu kurz gekommen. Und die weitverbreitete Einstellung "Es wird schon nichts passieren" fördert nicht gerade das Sicherheitsdenken.

"Uns interessiert besonders, wie man mit technischen Lösungen die Sicherheitsprobleme gar nicht erst entstehen lassen kann", so Bleier. Die AIT-IT-Security-Gruppe widmet sich hier vorrangig der grundsätzlichen Frage: "Warum ist Software oft so anfällig für Angriffe?"

MODELL FÜR MEHR SICHERHEIT "In Labors lassen sich sehr sichere Systeme entwickeln", so Bleier. "Es geht aber darum, dass die Sicherheit auch in der Praxis gegeben ist." Dazu muss für die Anwender die Implementierung von Sicherheit einfacher und verständlicher werden. Die AIT-Experten setzen dazu zum Beispiel auf modelbasierte Technologien. Bei dieser Methode werden die Anforderungen für ein Sicherheitskonzept zuerst auf einer abstrakten Ebene definiert, um sie dann software-unterstützt umsetzen zu können. Dies erleichtert nicht nur den ganzen Entwicklungsprozess, sondern reduziert zudem die Fehlergefahr.

"Wir müssen zur Erreichung hoher Sicherheit nicht unbedingt komplett neue Methoden entwickeln", erklärt Bleier. Denn Lösungen, um Systeme sicherer zu machen, gibt es schon viele. Es mangelt allein an der richtigen Umsetzung der nötigen Prozesse und Abläufe. Ein großer Vorteil modellbasierter Technologie ist, dass schon existierende, erprobte Teilkomponenten wiederverwendet werden können. Denn jede neu entwickelte und implementierte Komponente erhöht die Gefahr, dass sich ins Gesamtsystem Fehler einschleichen. Und diese bieten wiederum Hackern neue Angriffspunkte.

Die AIT-ExpertInnen entwickeln solche modellbasierte Technologien unter anderem im Rahmen des durch das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT) geförderten österreichischen Sicherheitsforschungsförderprogramms KIRAS. Das Projekt "MoSeS4eGov" (Model-based Security System for eGovernment) soll einen höchstmöglichen Automatisierungsgrad für die Erstellung von neuen Anwendungen mit dem geforderten Sicherheitsniveau ermöglichen. Damit kann die Sicherheit der Infrastruktur für E-Government-Applikationen weiter erhöht werden.

Heute schon stehen Bürger, Unternehmen sowie den Behörden zahlreiche Dienste zur Information, Kommunikation und der elektronischen Abwicklung von Anliegen zur Verfügung. Das Ziel der AIT-IT-Security-Experten Christian Wagner und Zhendong Ma ist es nicht nur, die Applikationen im Behördennetzwerk sicherer zu machen. Als positiver "Nebeneffekt" erspart das neue System viele manuelle Implementierungsschritte und Anpassungen und senkt zugleich die Wartungskosten.

Um die Möglichkeiten modellbasierter Technologien anschaulich zu demonstrieren, wurde eine Pilotapplikation für den Katastropheneinsatz entwickelt. Für Einsatzleiter ist es beispielsweise wichtig, im Ernstfall auf Daten im Melde- und dem Gebäuderegister zugreifen zu können. "Wenn etwa die Donau in einer Region über die Ufer tritt, erfährt der Einsatzleiter sofort, wie viele Kinder und alte Menschen in einem bestimmten Gebiet leben oder ob sich etwa eine Chemiefabrik in der Nähe befindet", sagt Bleier.

SCHUTZ KRITISCHER INFRASTRUKTUREN Ein weiterer Schwerpunkt in der Arbeit der AIT-IT-Security-Gruppe sind die IT-Systeme kritischer Infrastrukturen wie Steuerzentren von Energieversorgern und Verkehrsbetrieben. Früher waren diese Systeme meist sehr isoliert. Nun verlangen aber neue Geschäftsmodelle und Technologien zunehmend eine Öffnung.

"Wir beschäftigen uns besonders mit den neuen Anforderungen, die beispielsweise Smart Grids und Smart Metering im Energiebereich bringen", so Bleier. Hier wird mit dem AIT Energy Department kooperiert. Intelligente Stromzähler und Stromnetze bringen durch eine bessere Laststeuerung und die gezielte Einsatzplanung elektrischer Geräte wie etwa Kühlaggregate oder Waschmaschinen große Energieeinsparungen. Der dazu erforderliche Informationsfluss und die Vernetzung bieten aber zugleich neue Angriffsstellen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: