Cyber Attack Information System

Informations- und Kommunikationstechnologie (IKT) Infrastrukturen sind eine unverzichtbare Basis für die Modernisierung fast aller unserer Lebensbereiche geworden und müssen daher neben dem Stromnetz als die wesentliche kritische Infrastruktur unserer Gesellschaft betrachtet werden. Gleichzeitig hat sich das Bedrohungspotential durch Cyberangriffe auf diese Infrastrukturen im Ausmaß als auch in ihrer Professionalität derart verändert, dass es neue Ansätze braucht um die Widerstandsfähigkeit zukünftiger vernetzter IKT-Systeme gegenüber Cyberattacken zu erhöhen. Wir werden zukünftig Systeme nicht mehr alleine dadurch schützen können, einen unerlaubten „Zugriff“ zu verhindern, wie durch Firewalls und Virenschutz, sondern es braucht neue Funktionen, mit denen Cyberangriffe frühzeitig entdeckt, Risiken und deren potentielle Auswirkungen beurteilt und Gegenmaßnahmen vorrausschauend vorbereitet werden können. Es geht somit darum, ein wesentlich besseres Lageverständnis im Cyberspace für unsere vernetzten IKT-Systeme zu etablieren. Dies wird einerseits durch ein laufendes Beobachten des Systemverhaltens (Anomalieerkennung) und andererseits durch einen vertrauenswürdigen Informationsaustausch zwischen IKT-Dienstleistungserbringern erreicht. So erhält man ein modernes Cyber Attack Information System (CAIS) welches kritische IKT Infrastrukturen effektiv schützt.

Für ein effektives Cyber Attack Information System (CAIS) gilt es einen erweiterten sozio-politischen Rahmen zu berücksichtigen. Eine erste Abschätzung über die Wirkung von Cyberangriffen bedarf in diesem Rahmen zunächst eines gemeinsamen Verständnisses über die sozio-ökonomische Relevanz des Internet. Ergänzend dazu ist jedoch auch ein detailliertes Bedrohungsbild über spezifische Cybergefahren vonnöten. Erst auf einer solchen Basis ist es sinnvoll, betreffend möglicher Maßnahmen, gezielt Empfehlungen an die Politik zu richten. Für eine erste Abschätzung möglicher Folgen eines großräumigen Cyberausfalls soll in Abschnitt 2.2 zunächst ein einfaches wirtschaftliches Modell erarbeitet werden (das „Warum?“). Darauf aufbauend wird in Abschnitt 2.3 in groben Umrissen ein gemeinsames Bedrohungsbild erstellt (das „Was?“). Die dabei identifizierten Cyber-Angriffsszenarien werden im abschließenden Abschnitt 2.4 beschrieben und ausgewertet, um daraus mögliche Empfehlungen an die Politik ableiten zu können (das „Wie?“)

Das Architekturkonzept eines CAIS Cyber Attack Information Systems sieht die Etablierung einer zentralen Instanz, des Cyberlagezentrums vor, an welches Betreiber kritischer Infrastrukturen, d.h. unabhängige Einzelorganisationen, wichtige Meldungen über Sicherheitsvorfälle als auch allgemeine sicherheitsrelevante Informationen (Bedrohungen, Verwundbarkeiten von Standard-Komponenten), übermitteln. Das Cyberlagezentrum nutzt diese Informationen zur Etablierung eines umfassenden Lageverständnisses um einerseits staatliche Sicherungsaufgaben zu erfüllen und andererseits kritischen Infrastrukturanbietern Feedback zu aktuellen Cyber-Bedrohungen zu liefern. Auf diesem Weg soll einerseits der gezielte Austausch allgemeiner Bedrohungs- als auch sensitiver Informationen in einer vertrauensvollen Umgebung ermöglicht werden und darüber hinaus wird die Reaktionszeit auf neue Bedrohungen und Sicherheitslücken wesentlich verbessert werden. Die Diskussion vieler konkreter Detailfragen bzgl. Rollen, Verteilung von Verantwortlichkeiten, Attraktivierung der Zusammenarbeit und möglicher technischer Unterstützungen waren der Inhalt von konkreten Forschungstätigkeiten und werden in diesem Kapitel näher dargelegt.

Ohne funktionierende IT steht das öffentliche Leben still. Durch die zunehmende Vernetzung kritischer Infrastrukturprovider untereinander sowie deren Informations- und Kommunikationssystemen steigt die Bedrohung durch Cyber-Angriffe enorm. Eine konstante Aufrechterhaltung aller Services ist jedoch für das Gemeinwohl unerlässlich. Daher hat der Schutz vor Angriffen im Cyberraum hohe Priorität. Da es derzeit keine einheitliche Abbildung bestehender Abhängigkeiten gibt, können Konsequenzen von großflächigen Ausfällen nur erahnt werden. Um Prioritäten in der Verteidigung kritischer Infrastrukturen zu setzen, ist es notwendig die Wichtigkeit einzelner kritischer Knotenpunkte der nationalen Infrastrukturlandschaft zu kennen und deren Zusammenhänge zu skizzieren. In diesem Buchkapitel wird ein agentenbasierter Modellierungs- und Simulationsansatz beschrieben, welcher bei der Analyse komplexer Cyberabhängigkeiten kritischer Infrastrukturen unterstützt. Dabei ist es möglich Infrastrukturen verteilt zu modellieren und danach unterschiedliche Bedrohungsszenarien mit Hilfe des spieletheoretischen Ansatzes der Anticipation Games zu simulieren. Das gewonnene Wissen kann anschließend verwendet werden, um im Vorfeld Maßnahmen zu planen oder sogar während eines Angriffes Informationen über bevorstehende negative Implikationen zu erhalten. Am Ende des Kapitels wird dargestellt wie der theoretische Modellierungsansatz prototypisch umgesetzt wurde.

Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.

Zur Evaluierung des entwickelten CAIS Systems wurde dieses sowohl mit generierten Daten als auch im Echtbetrieb bei T-Systems Austria getestet. Eine wichtige Aufgabe war dabei die einfache Integration in bestehende Netzwerk- und Sicherheitsarchitekturen des Unternehmens. Die Einbindung sollte daher möglichst stark auf de-facto Industriestandards aufbauen um eine einfache Integration zu ermöglichen. Schließlich wurde für einen Teil der Evaluierung die T-Systems Logging Infrastruktur an die CAIS Anomalieerkennung gekoppelt. Grundlegendes Ziel war es, dass nicht durch eine fehlende Systemintegration des CAIS Systems nicht ein Datengrab geschaffen wird und der Rückfluss in bestehende Ticket oder Security Information und Event Management Systeme möglich ist. Des Weiteren wurden bestehende Konfigurationsmanagement und Inventory-Daten in das Modellierungs- und Simulationstool integriert. Aufgrund des standardisierten Syslog-Protokolls wurde nur ein geringer Aufwand für die Integration benötigt. Ebenfalls wurden Schnittstellen zu bestehenden kommerziellen Werkzeugen betrachtet, wodurch die Effektivität weiter gesteigert werden kann. Die Plausibilität der erhaltenen Ergebnisse konnte durch einen Vergleich mit bekannten Fällen aus der Vergangenheit unter Beweis gestellt werden. Abgeschlossen wird dieses Kapitel durch die Beschreibung einer detaillierten Pilotstudie, die einen möglichen Einsatz in der Praxis widerspiegelt.

Datenschutz, als der besondere Schutz personenbezogener Daten, ist integraler Bestandteil der IKT-Sicherheit. Dies trifft in besonderem Maße auf Informations- und Kommunikationssysteme (IKT) zum Schutz kritischer (Informations-) Infrastrukturen zu. Die hier vorliegenden Leitlinien enthalten eine Reihe von praktischen Empfehlungen und Erklärungen für Forschungsprojekte im IKT-Sicherheits-Bereich zu der Frage, wie die Verwendungen von Daten in ihnen konzipiert und betrieben werden sollen. Sachgerechte Datenverwendung unter Einhaltung der datenschutzrechtlichen Bestimmungen schon bei Konzeption und Design der Projekte wird als Grundvoraussetzung für erfolgreiche Projekte gesehen. Der vermeintliche Widerspruch zwischen Datenschutzanforderungen und Sicherheitsforschung kann ganz aufgehoben werden. Wenn die Datenverwendung pragmatisch auf Basis der beiden Grundsätze der Datenvermeidung beziehungsweise der Anonymisierung und der Verhältnismäßigkeit eingesetzt wird, wird sie den Forschungsanforderungen gerecht werden und zugleich die Privatsphäre und die Grundrechte achten. Die Verwendung personenbezogener Daten sollte intelligent und ausschließlich zur Lösung genau ermittelter Sicherheitsprobleme eingesetzt werden. Damit werden nicht nur Eingriffe in die Privatsphäre auf ein Minimum reduziert, sondern es ist zugleich auch gewährleistet, dass die Forschungsarbeit zielgerichteter und letztendlich auch effizienter bewerkstelligt werden kann.

Heute sind beinahe alle Bereiche unseres täglichen Lebens von funktionierenden Informations- und Kommunikationstechnologien (IKT) abhängig. Neben staatlichen Stellen sind davon insbesondere auch Unternehmen und Bürger betroffen. In der Tat sind die meisten Sektoren unserer Volkswirtschaft auf einen möglichst reibungslosen, verlässlichen und durchgehenden Betrieb ihrer IKT angewiesen, was den Cyber-Raum letztlich nicht nur zu einer wichtigen Grundlage unseres Wirtschaftswachstums, sondern darüber hinaus auch zu einer besonders schützenswerten Domäne macht. Abgeleitet aus diesem Zusammenhang formuliert dieser Abschnitt konkrete Empfehlungen an die Politik. Dabei werden die Aufgaben, Anforderungen und möglichen Strukturen eines Nationalen Cyberlagezentrums diskutiert und die wichtigsten sicherheitspolitischen sowie datenschutzrechtlichen Aspekte erörtert.