Feature Stories - Kampf gegen Cyberkriminalität für ein sichereres Internet der Zukunft
Zu jedem beliebigen Zeitpunkt zirkulieren schätzungsweise 150 000 Viren und andere Typen bösartiger Programmcodes im Internet und infizieren täglich die Computer von mehr als einer Million Menschen. Der Entwickler der Antivirensoftware McAfee hat 75 Millionen einzelne Stücke bösartiger Malware-Codes in seinen Datenbanken und schätzt, dass ein Drittel aller täglich versendeten E-Mails auf Spam erzeugende Botnetze entfallen. Während der Einzelne für ungefähr 100 Euro seinen Computer wieder sauber oder an einen Virus verlorene Daten wiederhergestellt bekommt, sind die globalen finanziellen Auswirkungen auf Bürger, Unternehmen und Regierungen enorm. Eine sorgfältige Schätzung von McAfee siedelt die weltweiten Kosten der Internetkriminalität im Bereich von einer Billion US-Dollar jährlich an, wobei verschwendete Zeit, verlorene Geschäftschancen und die Kosten der Problembehebung berücksichtigt wurden. Angesichts der zunehmenden Internetabhängigkeit der Gesellschaft in Fragen des Geschäftslebens und der Kommunikation stellt die Internetkriminalität ein wachsendes globales Problem dar, das kein Unternehmen oder Land im Alleingang lösen kann. Innerhalb Europas vereinen daher etliche Einrichtungen - begonnen bei der Europäischen Kommission über nationale Regierungen bis hin zu kleinen und mittlere Unternehmen sowie Hochschulen und Universitäten - ihre Ressourcen mit denen anderer Mitstreiter auf der ganzen Welt, um wirksame Strategien, Politiken und Technologien zur Bekämpfung dieser Epidemie zu entwickeln. Die Europäische Kommission beabsichtigt in der nahen Zukunft die Veröffentlichung einer "Europäischen Strategie für Internetsicherheit" (A European Strategy for Cybersecurity) mit den Schwerpunkten Vorbereitetsein, Prävention und Reaktion. Ein permanentes Computer Emergency Response Team (CERT-EU) wurde eingerichtet. Gleichzeitig finanziert die EU einige gesamteuropäische Projekte die das Ziel der Verbesserung der Internetsicherheit verfolgen. In den letzten zwei Jahren leistete die Europäische Kommission einen Beitrag in Höhe von 2,5 Mio. EUR zum Projekt Syssec (1), einem europäischen "Network of Excellence" (NoE), das auf das uralte Prinzip setzt, dass Vorbeugen immer besser als Heilen sei. Das Exzellenznetz konzentriert sich auf die Entwicklung von Lösungen zur Vorhersage von Bedrohungen und Schwachstellen, bevor sie überhaupt auftreten, so dass potenzielle Opfer von Angriffen aus dem Internet Verteidigungsstrategien aufbauen können, bevor die Gefahren tatsächlich eintreten. Das Projekt hat ein "Virtual Center of Excellence" erstellt, um die europäische Forschergemeinschaft des Bereichs Systemsicherheit zu vereinen und sie zur Forschungszusammenarbeit zu befähigen, und arbeitet an einem aktiven Forschungsfahrplan sowie einer Reihe von Bildungsinitiativen zum Thema Internetsicherheit. "Das Exzellenznetz von Syssec verfolgt einen wegweisenden Ansatz für die Internetsicherheit: Anstatt die Angreifer nach einem ausgeführten Angriff zu jagen, untersucht Syssec Bedrohungen und Schwachstellen schon im voraus. Die Hauptstoßrichtungen des Netzwerks sind die Festlegung eines Fahrplans, um an Bedrohungen zu arbeiten, und der Aufbau einer Infrastruktur zur entscheidenden Verbesserung der Bildung im Bereich Systemsicherheit, um das erforderliche Fachwissen zu generieren, mit dem diesen neu auftauchenden Bedrohungen zu meistern sind", schreiben Projektkoordinator Evangelos Markatos und der Syssec-Forscher Herbert Bos in einer Veröffentlichung über das Projekt. Sicherheit durch Design Während Syssec ein globales Konzept bei der Gefahrenprognose verfolgt, konzentriert sich ein weiteres EU-finanziertes Exzellenznetz mit dem Titel Nessos (2) speziell auf die Förderung des Entwurfs und der Entwicklung sicherer Software und Systeme für das "Future Internet", das Internet der Zukunft. Ziel ist es sicherzustellen, dass sich Ingenieure und Entwickler der Sicherheitsbedenken ganz zu Beginn von Systemanalyse und -design annehmen, wobei das Team sechs Schlüsselbereiche im Fokus hat: Sicherheitsanforderungen für Dienstleistungen im Future Internet, die Schaffung sicherer Servicearchitekturen und eines sicheren Servicedesigns, Unterstützung von Programmierumgebungen für sichere und zusammensetzbare Dienstleistungen, die Ermöglichung von Sicherheitsgarantien, die Erstellung eines risiko- und kostenbewussten Softwareentwicklungszyklus und die Bereitstellung von Fallstudien für Anwendungsszenarien innerhalb eines zukünftigen Internets. Das dem Prinzip Security by Design folgende Konzept kann vielleicht am besten mit Hilfe eines anderen Projekts veranschaulicht werden. Im Rahmen von SecureChange (3) entwickelten Forscher aus neun europäischen Ländern Methoden, Verfahren und Instrumente, um den gesamten Softwarelebenszyklus von Anforderungserhebung über Entwurf, Entwicklung, Erprobung und Verifizierung bis hin zu Bereitstellung und Aktualisierung effizienter, flexibler, sicherer und günstiger in Bezug auf Zeit und Kosten zu realisieren. SecureChange-Koordinator Fabio Massacci beschreibt das Problem folgendermaßen: "Nehmen wir an, Sie haben eine sichere Software. Sie versenden sie an den Kunden und dann müssen Sie sie aktualisieren, vielleicht um neue Funktionen hinzuzufügen, um der Konkurrenz einen Schritt voraus zu bleiben. Wenn Sie nun jedesmal von Grund auf neu beginnen und - selbst wenn nur ein kleiner Teil davon sich verändert hat - das gesamte Programm verifizieren müssen, bekommen Sie es mit einem erheblichen Zeitaufwand und gewaltigen finanziellen Kosten zu tun." Eine über fünf Jahre und sechs große Versions-Updates des Open-Source-Browsers Firefox vom SecureChange-Team durchgeführte Analyse ergab beispielsweise, dass von einer Version zur nächsten nur an etwa einem Drittel des Software-Codes Veränderungen vorgenommen wurden. Außerdem wurde eine beträchtliche Anzahl an Schwachstellen jeweils vom Vorgänger an jede neue Version weitervererbt. Dieses Phänomen ist auch von anderen Browsern wie Chrome und IE bekannt. Die Notwendigkeit schneller Updates bedeutet weniger Zeit zum Testen und Verifizieren. Der SecureChange-Ansatz ermöglicht es nun, lediglich die neuen Teile zu testen und dabei die Sicherheit und Integrität des gesamten Systems beizubehalten. Das Internet der Zukunft fest im Blick konzentriert sich das Projekt Aniketos (4) auf das Einbringen von Sicherheit und Vertrauen in diese heterogene Umgebung: im Future Internet werden die Nutzer von den heute eher statischen Dienstleistungen hin zu Misch- und Anpassungskomponenten und Dienstleistungen gelangen, die von Verfügbarkeit, Qualität und Preis abhängen. In einer solchen Welt werden Anwendungen voraussichtlich aus mehreren Diensten vieler verschiedener Anbieter zusammengesetzt sein. Dem Endnutzer wird kaum garantiert werden können, dass ein bestimmter Dienst oder Dienstanbieter tatsächlich die geforderte Sicherheit bietet. Das Aniketos-Team, zu dem große Industriekonzerne und Forschungseinrichtungen zählen, entwickelt deshalb neue Technologien, Werkzeuge und Sicherheitsdienste, welche die zeitliche Entwurfserstellung und das dynamische Laufzeitverhalten sicherer Verbunddienstleistungen sowie Methoden zur Analyse, Problemlösung und zum Informationsaustausch darüber unterstützen, auf welche Weise neue Bedrohungen und Schwachstellen abgeschwächt werden können. Ein Internet sicherer Dinge Ein Schwerpunkt der Internetsicherheit lag bislang auf der Verteidigung traditioneller Computersysteme, Software und Geräte wie etwa Personal Computern, Servern und Datenbanken. Mit der rasenden Entwicklung neuer Technologien wie den eingebetteten IKT (Embedded Computing), dem aus allgegenwärtigen Sensoren und Aktoren bestehenden "Internet der Dinge" (Internet of Things, IoT) und dem Cloud Computing muss auch das Konzept der Internetsicherheit weiterentwickelt werden. Hinter "Trusted Computing" verbirgt sich zum Beispiel eine gut eingeführte Technologie, bei der sowohl Software als auch Hardware zur Verifizierung und Umsetzung von Integrität und Sicherheit in Computern eingesetzt werden und die auf dem Sprung in die eingebetteten Systeme ist. Im Gegensatz zum üblichen PC oder Laptop handelt es sich bei eingebetteten Systemen um Computersysteme, die dazu bestimmt sind, "versteckt" (eingebettet) in Dingen des Alltags ihre Aufgaben zu erfüllen. Sie übertragen die Daten zwischen Mobiltelefon und Mobilfunknetz, sie verwalten die häusliche Internetverbindung und verhindern Angriffe aus dem Netz und sie regeln auch die Ampeln auf der Straße. Man findet sie sind in Flugzeugen, Autos und sogar in Kraftwerken. Da aber immer mehr eingebettete Systeme in ständig eingeschalteten und stets mit dem Internet verbundenen Geräten im Einsatz sind, werden auch sie zunehmend anfälliger für Hackerangriffe oder Infektionen durch Viren und andere Schadsoftware. Das Projekt TECOM (5) trug dazu bei, Trusted Computing in eingebettete Systeme einzubringen, indem ursprünglich für den PC entwickelte Technologie derart angepasst wurde dass sie überall, auf Smartphones wie auch auf intelligenten Stromzählern, funktioniert. "Die Palette möglicher Anwendungen für Trusted Computing in eingebetteten Systemen ist riesengroß. Im Rahmen von TECOM haben wir die technischen Rahmenbedingungen geschaffen, welche die Umsetzung dieser Technologie ermöglichen, und wir haben gezeigt, wie es funktioniert", erläutert Klaus-Michael Koch, dessen Firma das TECOM-Projekt überwachte. "In den kommenden Jahren werden wir erleben, wie diese Anwendungen in vielen unterschiedlichen Umgebungen auftauchen werden." Das Internet der Dinge geht Hand in Hand mit dem Cloud Computing, durch das die Daten verteilt und jederzeit sofort von überall her zugänglich sind. Die Cloud-Infrastruktur muss daher genauso sicher und vertrauenswürdig wie die in ihr laufenden Anwendungen und Dienste sein. Dieses Ziel des Aufbaus vertrauenswürdiger Clouds verfolgt das Tclouds-Projekt (6). Es konzentriert sich auf die Realisierung von Sicherheit, Datenschutz und Ausfallsicherheit auf kostengünstige, einfache und anpassbare Weise sowie stellvertretend auf die Gewährleistung des weiteren Ausbaus der Cloud-Infrastruktur, Ressourcen und Dienstleistungen für viele Jahre im voraus. Verschlüsselung ist die Lösung Geht es um die Sicherung von Daten, sei es nun in der Cloud oder im Netzwerkserver, so spielt die Kryptographie, d. h. Verschlüsselung eine wichtige Rolle: jedes Mal, wenn wir eine Kreditkarte benutzen, online auf unser Bankkonto zugreifen oder eine sichere E-Mail senden - stets laufen kryptographische Algorithmen im Hintergrund. Die immer leistungsfähigeren Computer, immer höheren Netzwerkgeschwindigkeiten und die wachsenden Mengen an zu speichernden Daten stellen jedoch die aktuellen Methoden zum Schutz von Informationen in Frage. Das Projekt Ecrypt und sein Nachfolger Ecrypt-II (7) stellten sich diesen Herausforderungen. In Form eines Exzellenznetzes aus 32 führenden Forschungsinstituten, Universitäten und Unternehmen entwickelte die Initiative verbesserte kryptographische Algorithmen, Verschlüsselungsverfahren und Hash-Funktionen, untersuchte Protokolle und Implementierungsverfahren und arbeitete an robusteren Algorithmen für digitale Wasserzeichenmarkierungen. Zu den wichtigsten Errungenschaften des Teams zählten acht neue Algorithmen, die den Advanced Encryption Standard (AES) ausführen können, den zwei belgische Forscher in den 1990ern entwickelten und den später die US-Regierung übernahm, um geheime Informationen zu schützen. "Den Kryptographen stellen sich immer drei große Fragen", erläutert Projektkoordinator Bart Preneel: "Kosten, Geschwindigkeit und langfristige Sicherheit." Dasselbe gilt sicher auch für Internetsicherheit im Allgemeinen, aber diesen und vielen weiteren Problemen wird sich die europäische Forschung in den kommenden Jahren annehmen, um dafür zu sorgen, dass die Computernutzer den heute die Onlinewelt plagenden Hackern, Trojanern und Viren überall mindestens einen Schritt voraus sind. --- Die in diesem Artikel vorgestellten Projekte wurden innerhalb des Siebten EU-Rahmenprogramms für Forschung (RP7) unterstützt. (1) Syssec: A European Network of Excellence in Managing Threats and Vulnerabilities in the Future Internet: Europe for the World (2) Nessos: Network of Excellence on Engineering Secure Future Internet Software Services and Systems (3) SecureChange: Security engineering for lifelong evolvable systems (4) Aniketos: Secure and Trustworthy Composite Services (5) TECOM: Trusted embedded computing (6) Tclouds: Trustworthy Clouds? Privacy and Resilience for Internet-scale Critical Infrastructure (7) Ecrypt-II: European network of excellence in cryptology - Phase II Links zu Projekten auf CORDIS: - RP7 auf CORDIS - Syssec auf CORDIS - Nessos auf CORDIS - SecureChange auf CORDIS - TECOM auf CORDIS - Aniketos auf CORDIS - Tclouds auf CORDIS - Ecrypt-II auf CORDIS Weitere Links: - Website der Europäischen Kommission zur Digitalen Agenda