Ein Tool für die Cybersicherheit
Ein Großteil des modernen Lebens hängt von der vermeintlichen Sicherheit großer Computersysteme ab, die z. B. im Bereich von Regierungsarbeit, Bankwesen, elektronischem Geschäftsverkehr und Stromnetzen verwendet werden. Doch alle diese Systeme und deren Anwendungen sind unsicher und somit anfällig für Angriffe. Im Zuge des EU-finanzierten Projekts V-SPHERE wurde ein Software-Tool entwickelt, welches die Gestaltung wirklich sicherer Datenverarbeitungssysteme ermöglicht. Das Tool namens PROSA unterstützt die entscheidenden Anfangsphasen von Systemspezifikation und Systemdesign. PROSA erreicht dies durch die Gewährleistung konzeptionsintegrierter Sicherheit („security by design“). In der Praxis bedeutet dies, Programmierer und Architekten bei der Erstellung von Systemmodellen zu unterstützen, die Dokumentation von Systemdesign und -implementierung zu vereinfachen und gleichzeitig eine umfassende und vertrauenswürdige Bedrohungsanalyse durchzuführen. Marktanalyse In Phase eins wurde im Rahmen von V-SPHERE mit einer Analyse des Marktes und der Käuferhaltung gegenüber externen Beratern begonnen. Die Untersuchung sollte bei der Definition der nächsten Software-Version behilflich sein. Die Ergebnisse legten nahe, dass es für PROSA einen europäischen Markt mit mehr als 1 800 potentiellen Kunden gäbe. Die Analyse zeigt auch, dass die wenigen Konkurrenten für PROSA hauptsächlich Schwachstellenanalysen im Anschluss an die Erstellung von Systemen durchführen, die ausschließlich auf gemeinhin bekannten Angriffen basieren. Manche Konkurrenten überwachen den Netzwerkverkehr auf anomale Verhaltensweisen oder scannen den Quellcode auf Schwachstellen. „Keiner unserer Konkurrenten unterstützt Design- und Implementierungsaktivitäten so wie PROSA“, erklärt V-SPHERE-Projektleiter Dr. Anders Hagalisletto. Das Team stellte zudem fest, dass die technischen Mitarbeiter in Kundenunternehmen von zentraler Bedeutung für Kaufentscheidungen sind und diese de facto treffen. Die Studie kam zu der Schlussfolgerung, dass Verkaufsmaßnahmen direkt auf diese Personen ausgerichtet werden sollten. Neue Partner V-SPHERE-Forscher suchten nach potentiellen Mitwirkenden, die kommerzielle Aktivitäten wie z. B. den Vertrieb unterstützen könnten und die über anerkanntes Fachwissen zur Optimierung der Betriebsleistung verfügten. Im Zuge der entsprechenden Maßnahmen wurden zwei geeignete Organisationen identifiziert. Das Team überdachte mithilfe von Handelspartnern zudem sein Vertriebsmodell und die Vorteile, PROSA als Lösung anzubieten. Die Projektpartner kamen zu dem Schluss, dass der Direktvertrieb wichtiger als der indirekte Vertrieb ist, und dass ein Vertriebsmodell, welches den Direktvertrieb beinhaltet, eingerichtet bleiben sollte. Der direkte Modus unterstützt die Produktoptimierung auf effektivere Weise und vereinfacht dazu Diskussionen über Kundenbedürfnisse. Beim Umschreiben des Software-Entwicklungsplans standen die PROSA-Erweiterungen und -Optimierungen im Fokus, welche den Anforderungen heutiger Sicherheitsexperten gerecht werden. „Diese Information ist nicht für die Öffentlichkeit bestimmt“, sagt Dr. Hagalisletto, „wir haben jedoch vor, den Editor sowie die Sicherheitsvoraussetzungen und Bedrohungsanalysemodule zu optimieren.“ Die überarbeiteten Module werden besser in der Lage sein, verschiedene potenzielle Angriffe zu erkennen. Auf Grundlage der jüngsten Erfahrungen mit norwegischen digitalen Sicherheitsunternehmen erarbeiteten die V-SPHERE-Forscher auch einen realistischeren Geschäftsplan. Das Projektteam erfuhr von seinen Mentoren (EU und Inspiralia), dass PROSA Security alle Rechte des geistigen Eigentums an den Tools und Methoden behalten darf – dies war zu Beginn des Projekts nicht der Fall. Im Zuge von Verhandlungen mit der Universität Oslo wurden alle Rechte des geistigen Eigentums an PROSA Security übertragen. Bestimmte Probleme führten zu einer Verzögerung von Projektaktivitäten, sodass PROSA Security jetzt nach Möglichkeiten sucht, um die Arbeit in einer weiteren Phase fortzusetzen, obgleich die offizielle EU-finanzierte Laufzeit zu Ende gegangen ist. In naher Zukunft wird das Unternehmen auf dem betreffenden norwegischen Markt expandieren, indem Kontakte zu BankID geknüpft werden, dem wichtigsten Authentifizierungs-Dienstleister für das gesamte norwegische Bankwesen. In den kommenden beiden Jahren wird sich das Team auf den Aufbau solider Geschäftsbeziehungen mit großen nationalen Konzernen wie BankID und Buypass sowie mit amerikanischen Sicherheitsunternehmen, darunter AllClearID, fokussieren. Diese Beziehungen werden zur Verbesserung des PROSA-Tools und der Cybersicherheit für Kunden beitragen.
Schlüsselbegriffe
V-SPHERE, PROSA, Sicherheit, Datenverarbeitungssysteme, Computersysteme, Software, Cybersicherheit, konzeptionsintegrierte Sicherheit, security-by-design
