Ein Interview mit Prof. Claudia Eckert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC und Prof. Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie SIT zu Herausforderungen, Chancen und Initiativen in punkto Cybersicherheit.

Prof. Claudia Eckert, Fraunhofer AISEC © Andreas Heddergott

Prof. Claudia Eckert, Fraunhofer AISEC © Andreas Heddergott

Kühn: Vor einigen Jahren sah man die Cloud eher skeptisch. Heute scheint kaum noch jemand Bedenken zu haben. Gehen wir heute sorgloser mit unseren Daten um?

Eckert: Auch heute noch haben viele Cloud-Kunden Bedenken, die meist aus einem gefühlten Kontrollverlust resultieren – insbesondere im Mittelstand. Für Unternehmen geht es um die Einhaltung gesetzlicher Vorgaben, aber auch um den Schutz von Geschäftsgeheimnissen und Kundendaten. Deshalb gibt es durchaus ein gestiegenes Sicherheitsbewusstsein. Die Cloud-Anbieter versuchen zunehmend durch Transparenzmaßnahmen oder auch Zertifizierungen Vertrauen zu schaffen. Aufgabe der Sicherheitsforschung ist es, die Anbieter als neutraler Partner durch Technologien und Maßnahmen zu unterstützen. Denn eine professionell gemanagte Cloud-Infrastruktur ist gerade für kleine und mittlere Unternehmen in der Regel deutlich sicherer als eine in Eigenregie betriebene lokale Lösung.

Prof. Michael Waidner, Fraunhofer SIT. © Fraunhofer SIT

Prof. Michael Waidner, Fraunhofer SIT © Fraunhofer SIT

Waidner: Auch wir sehen, dass Unternehmen sehr genau prüfen, welche Art von Cloud sie nutzen, welche Daten sie dort speichern und wie sicher der Service ist. Doch wer heute als Unternehmen erfolgreich sein will, der kommt an Cloud Computing nicht vorbei. Fraunhofer entwickelt deshalb zum einen ergänzende Lösungen wie OmniCloud, mit denen Unternehmen ihre Daten sicher und günstig in der Cloud speichern können. Zum anderen arbeiten wir an Verfahren zur automatisierten Analyse von Cloud-Diensten. Damit können Anbieter nachweisen, dass ihre Dienste gesetzliche oder kundenspezifische Anforderungen erfüllen.

Kühn: Frau Eckert, Ihr Institut ist vor allem auf integrierte Sicherheit spezialisiert. Mit welchen Herausforderungen kommen Unternehmen zu Ihnen?

Eckert: Die größten Herausforderungen entstehen gerade im Bereich Automotive Security mit den rasanten Entwicklungen hin zum autonomen Fahren, aber auch bei der industriellen Sicherheit und in der vernetzten Gesundheitsversorgung – wie bei personalisierter Medizin oder vernetzten Medizingeräten. Die digitale Transformation führt in diesen Bereichen zu einem hohen Bedarf nach maßgeschneiderten, eingebetteten Sicherheitslösungen. Klassische Lösungen sind hierfür häufig nicht geeignet, da sie oft zu aufwändig oder nicht echtzeitfähig sind oder nicht skalieren. Daneben haben Unternehmen zunehmend Bedarf an Methoden und Werkzeugen, um sichere Systemlösungen zu entwickeln, um beispielsweise Risikoeinschätzungen einheitlich durchzuführen, sie nachvollziehbar und über Unternehmensgrenzen hinweg vergleichbar zu machen.

Kühn: Herr Waidner, Ihr Institut führt regelmäßig Bedrohungsanalysen und Sicherheitstests durch. Was sind die häufigsten Sicherheitslücken?

Waidner: Die häufigsten Angriffe sind automatisierte Attacken, bei denen Angreifer massenhaft bekannte Sicherheitslücken von Servern oder Webanwendungen ausnutzen. Die Mehrzahl dieser Angriffe ließe sich mit geringem Aufwand abwehren, wenn Unternehmen bekannte Prozesse und Technologien zur Absicherung einsetzten. Doch oft mangelt es etwa am Bewusstsein, sind die Sicherheitslösungen umständlich in der Handhabung oder derAufwand und Betrieb sind für kleine Unternehmen und Mittelständler zu kostspielig. Gleichzeitig wächst aber die Gefahr durch gezielte, hochprofessionelle Angriffe im Rahmen von Wirtschafts- oder Industriespionage. Um solche Advanced Persistant Threats zu erkennen und zu vereiteln, müssen Unternehmen moderne Sicherheitslösungen einsetzen: Werkzeuge, mit denen man Konfigurationen automatisiert testen und optimieren kann oder Management- und Monitoring-Tools, um auch fortgeschrittene Angriffe in der Unternehmens-IT zu erkennen.

Kühn: Frau Eckert, in München entstand in diesem Jahr das Leistungszentrum für sichere vernetzte Systeme. Was sind die Forschungsschwerpunkte?

Eckert: Die wesentlichen Forschungssäulen des Leistungszentrums sind intelligente Sensorik, taktile Vernetzung, Datenanalyse und -verarbeitung sowie Integrierte Sicherheit. Das werden die Themen der Zukunft sein und wir möchten hier konkrete Lösungen für spezifische Anwendungen, wie der vernetzten Mobilität, dem Gesundheitswesen und Industrie 4.0 zur Einsatzreife bringen. Diese werden ein wichtiger Beitrag für die weltweite Roadmap für das Internet der Dinge sein. Wir möchten wesentliche Standards zur sicheren Vernetzung von Systemen gestalten und grundlegende Konzepte zur Konstruktion sicherer Cyber-Physischer Systeme erforschen und etablieren.

Kühn: Herr Waidner, in Darmstadt gibt es gleich zwei Leistungs- beziehungsweise Kompetenzzentren. Woran forschen sie?

Waidner: Seit 2015 erforschen im »Center for Research in Security« (CRISP) über 450 Mitarbeitende, wie sich die Sicherheit komplexer und heterogener IT-basierter Systeme systematisch beurteilen und nachweislich verbessern lässt. Mit dem neuen Fraunhofer-Leistungszentrum »Sicherheit und Datenschutz in der digitalen Welt« unterstützt die Fraunhofer-Gesellschaft CRISP und verschafft Unternehmen schnelleren Zugang zu neuesten Forschungsergebnissen in dem Bereich. So können Firmen frühzeitig Sicherheit und Datenschutz in ihren Entwicklungen und Anwendungen berücksichtigen. Hier kooperieren wir eng mit den Hochschulen und der regionalen Industrie. Darmstadt ist somit eines der weltweit größten Forschungszentren für Cybersicherheit.

Kühn: Bei Sicherheitslösungen scheinen US-amerikanische Unternehmen derzeit die Nase vorn zu haben. In welchen Bereichen punktet Deutschland?

Eckert: Da muss ich widersprechen. Die US-Amerikaner sind uns zwar bei Consumer-Lösungen und vielen Bereichen der Software voraus, aber bei eingebetteter Software und besonders eingebetteter und hardware-basierter Sicherheit liegt Deutschland vorne. »Security made in Germany« ist eine starke Marke. Wir haben in Deutschland viele Forschungszentren, die international in der ersten Liga spielen. Die Sicherheit bei Industrie 4.0 und bei Automotive wird auch in Zukunft sehr stark durch deutsche Lösungen geprägt sein. Denn wir haben sowohl die Anwendungs- als auch die Technologie- und Ingenieurskompetenz, um nachhaltig sichere Lösungen zu bauen. Über Forschungsstrukturen wie die Fraunhofer-Gesellschaft verfügen wir zudem über die richtigen Instrumente, um innovative Forschungsergebnisse im engen Schulterschluss mit der Industrie bedarfsgerecht zu entwickeln und zur Anwendungsreife zu bringen.

Waidner: Die Vermarktungsmöglichkeiten von Sicherheitslösungen sind in den USA sicher besser, der Forschungsstandort Deutschland ist aber absolut konkurrenzfähig. Wir haben exzellente Universitäten, und die Welt beneidet uns um unsere außeruniversitären Forschungsgesellschaften. Nehmen Sie zum Beispiel Israel, wo das Fraunhofer SIT seit letztem Jahr gemeinsam mit der Hebrew Univerity of Jerusalem ein Projektzentrum für Cybersicherheit aufbaut. Die Kombination von exzellenter und zugleich anwendungsorientierter Forschung, für die die Fraunhofer-Gesellschaft steht, existiert dort nicht. Deutsche Kompetenz in Cybersicherheit ist also selbst in der Cybernation Israel gefragt.

Mehr zum Thema IT-Sicherheitsforschung und Cyber Security auf www.fraunhofer.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.