Forschungs- & Entwicklungsinformationsdienst der Gemeinschaft - CORDIS

Harmonisierte Sicherheit auf mehreren Geräten

Angesichts grundverschiedener Sicherheitsoptionen auf mobilen Geräten schlägt ein EU-gefördertes Projekt vor, Sicherheitsanwendungen vom Gerät in Netzwerkknoten zu verschieben.
Harmonisierte Sicherheit auf mehreren Geräten
Die schnelle Zunahme an mobilen Geräten hat viele Sicherheitslücken hinterlassen, so geben fehlerbehaftete Betriebssysteme, Konfigurationsprobleme, anfällige Apps und öffentliche Netzwerke Anlass zur Sorge. Insgesamt wird geschätzt, dass mindestens 75 % der mobilen Apps bei grundlegenden Sicherheitstests durchfallen würden, und was die Schwachstellen im Betriebssystem angeht, so nehmen diese jedes Jahr um mehr als das Doppelte zu.

Angesichts dieser alarmierenden Statistiken sind Verbraucher gezwungen, auf Schutzwerkzeuge zurückgreifen, die womöglich nicht auf allen Systemen vorhanden sind, deren Funktionsumfang auf den Geräten stark variiert und die oft viele Ressourcen verbrauchen. All diese Probleme könnten sich mit einem einzigen Technologiewandel lösen lassen, nämlich indem die Ausführung von Sicherheitsanwendungen in ein programmierbares Gerät am Rande des Netzwerks verlagert wird – wie beispielsweise ein Home-Gateway oder einen Unternehmensrouter.

Das Projekt SECURED (SECURity at the network EDge) arbeitet seit Oktober 2013 an der Entwicklung solch einer Lösung. Wenige Monate vor Projektende beschreibt dessen Koordinator, Professor Antonio Lioy von der Polytechnischen Universität Turin die bisher erzielten Ergebnisse, inwiefern sich diese in die heutige technologische Landschaft eingliedern lassen und welche möglichen Anwendungsbereiche es für sie gibt.

Worin bestehen die Hauptprobleme aktueller Sicherheitssysteme für mobile Geräte?

Die Sicherheit mobiler Geräte ist momentan meist gerätebasiert: Benutzer müssen jeweils eine geeignete Lösung auf jedem ihrer eigenen Geräte lokal installieren, z. B. eine Antiviruslösung, um sich vor Malware zu schützen, oder eine Firewall, um unerwünschte Verbindungen zu blockieren. Dies ist sowohl komplex, da der durchschnittliche Benutzer meist über mehrere Geräte verfügt, als auch schwierig, da manche Sicherheitsanwendungen nicht für alle Gerätearten verfügbar sind oder nicht dieselbe Leistung bzw. denselben Funktionsumfang aufweisen.

Große Unternehmen lösen dieses Problem meist dadurch, dass sie die von ihren Mitarbeitern verwendete Mobilgeräteart einschränken und ein Mobile Device Management (MDM)-System einsetzen. Dies ist für allgemeine Benutzer jedoch nicht machbar, daher sind diese zunehmend Risiken ausgesetzt. Zusammenfassend lässt sich sagen, dass die Sicherheit mobiler Geräte variabel und meist unzureichend ist, da sie von den verfügbaren Produkten und genutzten Geräten abhängt.

Inwiefern trägt die SECURED-Architektur dazu bei, diese Probleme zu überwinden?

SECURED sieht vor, den Schutz ganz oder teilweise an einen vertrauenswürdigen, sicheren Netzwerkknoten zu delegieren, der speziell dafür geschaffen wurde, vom Benutzer ausgewählte Sicherheitsanwendungen auszuführen, die gemäß einer von ihm selbst festgelegten Schutzrichtlinie konfiguriert sind.

Dieses Gerät nennen wir NED (Network Edge Device), da es im Netzwerk idealerweise möglichst dicht am mobilen Gerät platziert wird, um eine optimale Leistung sicherzustellen, obwohl auch der Einsatz eines entfernten oder cloudbasierten NED möglich ist.

Wenn der Benutzer sein mobiles Gerät mit dem NED verbindet, werden ein Identitätsnachweis und Integritätsstatus des NED bereitgestellt, sodass der Benutzer darauf vertrauen kann, dass das NED für ihn arbeitet. Zudem wird für den Benutzer eine dedizierte virtuelle Ausführungsdomäne geschaffen. Das NED lädt dann die ausgewählten Sicherheitssteuerungen von Repositorys herunter, die der Benutzer angegeben hat, und konfiguriert diese entsprechend seines Schutzprofils, das von einem Richtlinien-Repository abgerufen wird.

Kann es in bestehenden Netzwerken eingesetzt werden? Falls ja, wie?

Ja, dies ist möglich, indem NEDs in das Netzwerk eingefügt werden und die Benutzer aufgefordert werden, sich über ein VPN mit ihrem ausgewählten NED zu verbinden. Wenn der Netzwerkzugangspunkt des Benutzers – das Home-Gateway, der WLAN-Zugangspunkt oder der 3G/4G-Zugangspunkt – natürlich bereits ein NED ist, dann würde kein VPN benötigt und die Leistung wäre besser.

Die Möglichkeit, das NED direkt als erste Etappe in das Netzwerk oder als entfernte Einheit zur Verfügung zu haben, bietet in jedem Fall viel Flexibilität im Bereitstellungsschema. Dies wiederum erlaubt eine schrittweise Implementierung der Lösung und macht sie auch in solchen Umgebungen verfügbar, die die SECURED-Technologie nicht direkt einsetzen. Anders ausgedrückt hat der Benutzer die Kontrolle über seine eigene Sicherheit, und der einzige variable Parameter ist die Netzwerkleistung, die mit einem lokalen NED zunimmt und mit einem entfernten NED abnimmt. Vertrauen und Sicherheit sind in beiden Fällen gewährleistet.

Wie sieht es mit dem künftigen Internet aus, insbesondere dem Internet der Dinge?

Das von SECURED entwickelte Paradigma eignet sich auch für das Internet der Dinge (IoT). Typischerweise haben die Knoten dieser Umgebungen eine begrenzte Leistung und einen begrenzten Funktionsumfang und daher einen geringen oder gar keinen Schutz, da sie keine komplexen Sicherheitskontrollen durchführen können. Für IoT-Knoten lässt sich eine gute Schutzstufe erreichen, indem diese über ein NED, das sich um ihren Schutz kümmert, mit dem externen Netzwerk verbunden werden.

Dank Ihres Systems können also netzwerkübergreifende Sicherheitsrichtlinien umgesetzt werden. Wie ist Ihnen das gelungen?

Das NED ist eine Komponente, die je nach Eigentümer über viele Beteiligte verfügt. Von einem Internetanbieter (ISP) oder einem Mobilfunknetzbetreiber angebotene NEDs wenden beispielsweise nicht nur die Sicherheitsrichtlinie des Benutzers, sondern auch die des Betreibers an. SECURED hat Algorithmen entwickelt, um diese verschiedenen Richtlinien zusammenzufassen und die Richtlinie anzuwenden, sie sich daraus ergibt. In Fällen, bei denen die Richtlinie des Betreibers restriktiver ist als die des Benutzers, informiert das NED den Benutzer selbstverständlich über die zusätzlichen Einschränkungen und bietet ihm die Möglichkeit, die Verbindung zu trennen.

Da Sicherheitssteuerungen und -richtlinien auf Anforderung auf die NEDs heruntergeladen werden, wenn sich ein Benutzer mit einem Netzwerk verbindet, funktioniert dies automatisch über verschiedene Netzwerke hinweg. Darüber hinaus bietet die Lösung auch eine nahtlose Unterstützung für Mobilität: Wenn sich ein Benutzer von einem Zugangspunkt zu einem anderen bewegt, dann wird seine virtuelle Ausführungsdomäne automatisch mit dem neuen Zugangspunkt verbunden.

Können Sie uns mehr über den von Ihnen geschaffenen Marktplatz erzählen?

Unsere Zielgruppe sind normale Benutzer, die nicht notwendigerweise Experten für technische Sicherheit sind. Wir haben daher versucht, die Nutzung von SECURED so einfach wie möglich zu gestalten. Zuerst haben wir eine High-Level-Schnittstelle geschaffen, um die Sicherheitsrichtlinie in einer weitgehend natürlichen Sprache zu spezifizieren. Hierbei handelt es sich de facto um eine eingeschränkte Sprache, so sind beispielsweise nur Verben, die mit Schutz in Zusammenhang stehen, verfügbar, wie beispielsweise „zulassen“, „verweigern“ oder „aufzeichnen“.

Anschließend kann der Benutzer auf einen Marktplatz zugreifen, bei dem verschiedene Sicherheitsanwendungen erhältlich sind. Dieser ähnelt dem typischen Marktplatz auf Ihrem Smartphone. Technisch versierte Benutzer können die gewünschten Anwendungen direkt auswählen, während Neophyten basierend auf ihrer festgelegten Richtlinie von einer automatischen Auswahl profitieren.

Wenn der Benutzer beispielsweise darum gebeten hat, den Zugriff auf Websites mit für Kinder ungeeigneten Inhalten zu sperren und für Schutz vor Malware zu sorgen, dann schlägt das System den Kauf einer Kindersicherungs-App und einer Antivirus-App vor. Wenn mehr als eine App einer bestimmten Art verfügbar ist, werden dem Benutzer die Funktionen angezeigt, die die Apps voneinander unterscheiden, beispielsweise Preis, Leistung und Empfehlungen von anderen Benutzern.

Das Projekt wird bald abgeschlossen. Wir gut wird es Ihrer Meinung nach vom Markt angenommen werden?

Als wir das Projekt 2013 aufnahmen, waren Netzwerk-/Serviceanbieter und WLAN-Hotspots unsere Hauptzielgruppe. Wir denken immer noch, dass diese für eine Implementierung infrage kommen, gleichzeitig haben wir jedoch neue interessante Anwendungsbereiche entdeckt, die entstanden sind.

Neben dem bereits besprochenen Losparadigma sind moderne softwarebasierte Netzwerke eine große Zielgruppe: Die Paradigmen SDN (Software-Defined Networking) und NFV (Network Function Virtualization) verändern schnell das Netzwerkszenario von einem hardwarebasierten zu einem softwarebasierten Szenario. Das bedeutet, dass das Netzwerk selbst die SECURED-Technologie implementieren könnte, da es On-Demand-Sicherheitsfunktionen bietet, die entsprechend festgelegter Richtlinien konfiguriert und in einer vertrauenswürdigen Umgebung ausgeführt werden können. Im Februar 2016 gab es von uns bei einem Meeting der ETSI NFV-Arbeitsgruppe eine Präsentation und eine Demonstration, in dessen Rahmen die SECURED-Technologie auf großes Interesse stieß. Es gibt daher verschiedene Märkte, auf denen SECURED meiner Ansicht nach künftig eine Rolle spielen könnte.

SECURED
Gefördert unter FP7-ICT
Projektwebsite
CORDIS-Projektseite

Quelle: Interview aus dem Magazin research*eu Ergebnisse, Ausgabe 53, Seite 40–41

Verwandte Informationen

Programme

Länder

  • Italien
Folgen Sie uns auf: RSS Facebook Twitter YouTube Verwaltet vom Amt für Veröffentlichungen der EU Nach oben