Der Schutz kritischer Infrastrukturen ist ein absolutes Muss und kann aus gesellschaftlicher Sicht in keinster Weise umgangen werden. An der Universität Bayreuth wird derzeit das Projekt SiZero durchgeführt, um zukunftsfähige Lösungen zu finden. Wir sprachen mit Dr. Christoph Buck.
Dr. Buck, dass es eine schützenswerte, kritische Infrastruktur gibt, ist nichts Neues. Wieso werden Projekte zu deren besonderen Schutz erst in den letzten Monaten forciert?
IT-Sicherheit ist bereits seit der zunehmenden Digitalisierung kritischer Infrastrukturen (KRITIS) in Fachkreisen ein relevantes Thema. Die Universität Bayreuth hat insbesondere in der Wirtschaftsinformatik mit angeknüpften Forschungsinstituten, wie dem Fraunhofer FIT, ein starkes Profil in diesem Bereich. Hier beschäftigen wir uns bereits seit längerer Zeit mit den entsprechenden Themenkomplexen. In der jüngeren Vergangenheit haben aus Sicht der Projektpartner vor allem zwei Entwicklungen zu einer höheren Zahl relevanter Projekte geführt: Zum Ersten haben kleinere und private Betreiber von KRITIS haben ihre Anlagen zunehmend digitalisiert und vernetzt und somit neue Angriffsvektoren geschaffen. Zweitens wurden insgesamt mehr Unternehmen Opfer von IT-Sicherheitsvorfällen, wie Ransomware. Da auch die IT von KRITIS davor nicht notwendigerweise geschützt ist, planen eine steigende Anzahl kleinerer Anbieter von KRITIS Sicherheitsprojekte, für die sie Fördermittel beantragen.
Bei SiZero geht es um neue Zugriffskonzepte. Was ist damit gemeint?
Heutige Ansätze zur Absicherung kritischer Infrastrukturen vor Cyberattacken sind den aktuellen Entwicklungen und zukünftigen Herausforderungen in dem Bereich nicht gewachsen. Dazu zählen beispielsweise eine immer stärkere Dezentralisierung von Arbeitskräften (Home Office) und des Energiemarktes oder die wachsende Anzahl an internetfähigen Geräten (IoT), die eine starke Integration von internen und externen Systemen notwendig machen.
Die IT-Sicherheit kritischer Infrastrukturen bedarf daher eines ganzheitlichen und integrierten Ansatzes, der die individuelle und feingranulare Absicherung von Zugriffen auf Anwendungen und Geräten kritischer Infrastrukturen integriert. Im Rahmen des Projektvorhabens SiZero arbeitet das Konsortium an der Erforschung, Entwicklung, Prototypisierung und Evaluierung eines solchen neuartigen und innovativen Zugriffskonzeptes auf Applikationen und Geräte in KRITIS. Kern der Lösung bildet dabei das sogenannte Zero Trust-Konzept. Damit sollen eine individuelle Absicherung von Geräten und Software-Anwendungen in KRITIS ermöglicht, das Nutzerverhalten sowie -umfeld mit einbezogen und eine Echtzeitüberprüfung des Datentransfers eingebettet werden.
Was steckt inhaltlich hinter dem Zero Trust-Ansatz?
Zero Trust vereint unterschiedliche Bestandteile. Der erste ist die Authentifizierung. Zwar sind heutige Authentifizierungsverfahren auf einem guten Sicherheitsniveau, jedoch ist der Faktor Mensch das häufigste Einfallstor für Angreifer und daher die möglichst hochsichere Authentifizierung von hoher Wichtigkeit.
Das Zugriffsverfahren selbst stellt die Verbindung zwischen Zugreifendem und Applikation oder Gerät her und ist Kernbestandteil des Zero Trust-Konzeptes. Ist die Verbindung hergestellt, ist die Absicherung der Datenübertragung notwendig. Hier fehlt heute oft eine echtzeitbasierte Überwachung und Definition des Datenverkehrs, die insbesondere in kritischen Infrastrukturen für möglichst kurze Reaktionszeiten notwendig ist. Der letzte Bestandteil ist die Absicherung nach hergestelltem Zugriff, die etwa für Geräte oder Anlagen in der Peripherie hergestellt werden muss. In dem Projekt werden die entsprechenden Bestandteile vereint und für KRITIS angewendet.
Das Konsortium besteht aus mobitherm, qbound GmbH, VK Energie GmbH, SWW Wunsiedel GmbH und der Universität Bayreuth. Wer davon übernimmt welche Aufgaben?
Die Uni Bayreuth ist für die wissenschaftliche Begleitung des Projekts zuständig, welche durch Doktorand:innen sowie studierende Mitarbeitende inhaltlich vorangetrieben wird. Dazu zählen zum Beispiel wissenschaftliche Veröffentlichungen sowie die Wissensweitergabe in Studiengänge wie dem B.Sc. in Wirtschaftsinformatik oder dem M.Sc. in Digitalisierung & Entrepreneurship. Als Gründung von Absolventen der Bayreuther Wirtschaftsinformatik treibt die qbound GmbH die technische Implementierung der Zero Trust Software voran. Die Unternehmen mobitherm, VK Energie und SWW Wunsiedel stellen Anwendungsfälle bereit, die für die Projektinhalte relevant sind und verknüpfen ihre physischen Anlagen aus dem Bereich KRITIS mit dem Prototyp.
Das Projekt hat noch 17 Monate vor sich – welche Meilensteine müssen als nächstes erreicht werden?
In den folgenden Monaten steht insbesondere die Evaluation des Prototyps in den Praxisunternehmen auf dem Projektplan, genauso wie die wissenschaftliche Beurteilung.
Mehr Infos gibt es unter sizero.org und mehr Beiträge zum Thema IT-Sicherheit gibt es im Karrierenetzwerk Cyber Security.