Insights
Forschungsprojekt RiskViz: Suchmaschine für Sicherheitslücken in industriellen Steuersystemen
Heute werden industrielle Anlagen und Prozesse üblicherweise mit sogenannten Industrial Control Systems (ICS) gesteuert oder überwacht. Diese sind allerdings nicht für den Zugriff aus dem Internet konzipiert und daher nur unzureichend oder gar nicht gegen Angriffe geschützt – und damit leichte Beute für Hacker. Das Forschungsprojekt RiskViz versucht die Probleme sichtbar zu machen und somit deren Lösungen zu ermöglichen.
Aus Unachtsamkeit oder mit der Absicht, einen kostengünstigen Fernwartungszugriff zu ermöglichen, werden Industrial Control Systems mit dem Internet verbunden. Das Problem: Einmal online, sind sie nur unzureichend oder gar nicht gegen die Gefahren aus dem Netz geschützt. In ganz Europa gibt es inzwischen Tausende ungeschützte ICS-Systeme.
Schäden bereits „programmiert“
Und es ist nicht nur die Industrie betroffen: Auch Krankenhäuser, Rechenzentren und öffentliche Gebäude sind angreifbar und damit leichte Beute für Hacker, Cyber-Krieger und Wirtschaftsspione. Bereits in weniger als einer Stunde kann man ein verwundbares Ziel im Internet ausfindig machen und angreifen. Schaltet dann ein Hacker ein System ab, kann das weitreichende Folgen haben, z. B. wenn anschließend ein Notruf nicht mehr verfügbar ist. Durch gezielte Manipulation kann der Schaden weiter maximiert werden.
Die Lage ist alarmierend. Insbesondere unter dem Gesichtspunkt, dass Unternehmen und Nachrichtendienste anderer Länder Deutschland und die deutsche Industrie als Spionageziel betrachten. Die Infiltration kritischer Systeme wird dabei offensiv und routiniert vorangetrieben.
RiskViz soll Gefährdungslage aufzeigen
Die Geheimdienstoperation Olympic Games hat mit Stuxnet gezeigt, dass auch ein vom Internet separiertes Steuer- und Leitsystem infiltriert und manipuliert werden kann. Daher werden im Forschungsprojekt RiskViz Methoden und Werkzeuge entwickelt, um auf rechtskonforme und verantwortungsvolle Weise Informationen über die Angreifbarkeit jeglicher industrieller Systeme zu erlangen.
Neben der Ermittlung von Schwachstellen, die aus dem Internet heraus genutzt werden können, wird genua zusammen mit Forschungspartnern eine Suchmaschine entwickeln, die Sicherheitslücken interner Netze aufspürt. Dabei muss besonders darauf geachtet werden, dass die Suche nicht-invasiv in das System eingebracht wird, d. h., die Kommunikation des Steuersystems nicht stört oder manipuliert. Die Forscher von genua bringen hier ihre langjährige Erfahrung in Bezug auf sichere Separationstechniken ein.
Die Forschungspartner
Das Forschungsprojekt RiskViz wird vom Bundesministerium für Bildung und Forschung (BMBF) über das Programm IKT 2020 – Forschung für Innovation gefördert. genua arbeitet darin zusammen mit:
- Hochschule Augsburg
- Freien Universität Berlin
- Koramis
- Lechwerke AG
- Technologie Centrum Westbayern
- Munich Re
- Brandenburgischen Institut für Gesellschaft und Sicherheit
Zusätzlich wird RiskViz durch das wissenschaftliche Begleitforschungsprojekt Vernetzte IT-Sicherheit kritischer Infrastrukturen (VeSiKi) der Universität der Bundeswehr München begleitet.
Weitere Informationen zum Forschungsprojekt RiskViz finden Sie hier.
Bildquelle: © goodluz - Fotolia.com