Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Suchmaschinen für industrielle Sicherheitslücken

Die Hochschule Augsburg startet als Verbundkoordinator in das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projekt „Risikolagebild der industriellen IT-Sicherheit in Deutschland (RiskViz)“. Weitgehend unbemerkt von der Bevölkerung steuern industrielle Kontrollsysteme (ICS) wichtige kritische Infrastrukturen. Um diese Systeme einfach und kostengünstig überwachen und steuern zu können, werden sie zunehmend an das Internet angeschlossen. „Angreifer können solche Anlagen im Netz finden und gezielt attackieren“, erklärt Projektkoordinator Prof. Gordon Thomas Rohrmair. Bisher hätten Bund, Länder und Kommunen, in denen kritische Infrastrukturen angesiedelt sind, keine geeignete Möglichkeit, das Ausmaß der Bedrohung zu erfassen, transparent zu machen und gezielt Anreize zur Verbesserung der Sicherheit zu setzen.

 

Im Verbundprojekt RiskViz soll zunächst eine neuartige Suchmaschine zum Aufspüren von ICS entwickelt werden. Sie soll Informationen über die industriellen Kontrollsysteme und ihre Bedrohungslage sammeln, ohne dabei deren Betrieb zu stören. Prof. Gordon Thomas Rohrmair erklärt: „Wir wollen die Risiken bewerten, die aus der Erreichbarkeit der Kontrollsysteme über das Internet resultieren.“ Die Suchmaschine soll sowohl im Internet als auch intern in Unternehmensnetzwerken einsetzbar sein. Es sollen Werkzeuge entstehen, um die gesammelten Informationen algorithmisch und visuell zu bewerten. Die daraus resultierenden Erkenntnisse über den IT-Sicherheits- Schutzbedarf sollen effektiv kommuniziert werden. Es soll ein Handlungsleitfaden entwickelt werden, der eine verantwortungsvolle und routinemäßige Erhebung von Ist-Zuständen in Bezug auf die Sicherheit von kritischen Infrastrukturen erlaubt. Auf diese Weise wird Angreifern ihr Informationsvorsprung genommen.

 

Die Ergebnisse der RiskViz-Suchmaschine sollen auch mit weiteren Daten verknüpft werden. Zu diesen Daten gehören Wirtschafts- und Branchendaten, die im Vorhaben auf ihre Relevanz für die IT-Sicherheit hin untersucht werden. Ein Ziel der Analysen ist es, gefährdete ICS entsprechenden Betreibern (Kommunen oder Unternehmen) zuzuordnen. Diese Betreiber sollen gewarnt werden, um ihr eigenes Netzwerk besser schützen zu können. Dabei sollen auch gezielte wirtschaftliche Anreize zur Verbesserung der ICS- Sicherheit helfen.

 

Kritische Infrastrukturen gegen Schäden durch IT-Sicherheitslücken sind heutzutage meist noch nicht versicherbar. Ein Grund dafür ist, dass Versicherer und Rückversicherer den potenziell entstehenden Schaden in aller Regel nicht beziffern können. Die dafür dringend notwendige Erhebung des Ist-Zustandes scheitere bisher an geeigneter Technik und an zivilrechtlichen Haftungsrisiken bei der Suche nach Sicherheitslücken von industriellen Kontrollsystemen. Die Projektergebnisse aus RiskViz sollen daher auch den Versicherungen bei der Einschätzung des Schadenpotenzials von Cyber-Risiken helfen.

 

Siehe auch

http://www.hs-augsburg.de

https://www.hsasec.de/

http://www.bmbf.de/de/9069.php

http://www.hightech-strategie.de/de/IT-Sicherheit-1031.php

http://www.heinz-schmitz.org/index.php/nachrichten-34.html

Zurück