Ein zentrales Anliegen in KASTEL ist die Beantwortung der Frage: Was ist Sicherheit? Schon innerhalb der Teil­dis­zi­pli­nen ist diese Frage für die drei geplanten Prototypen ungelöst. In der Kryptographie analysiert und be­weist man Si­cher­heit, indem man ein reales Protokoll mit einer idealen Spezifikation vergleicht. Diese i­de­a­len Spe­zi­fi­ka­ti­o­nen für in­tel­li­gen­te Infrastrukturen, Cloud Computing oder Überwachungssysteme müs­sen a­ber erst noch ge­fun­den wer­den. Die Methode der Information Flow Control verhindert einen unerwünschten In­for­ma­ti­ons­fluss von als ge­heim ein­ge­stuf­ten Variablen zu Variablen, die einem Angreifer zugänglich sind. Welche Variablen allerdings für die geplanten Prototypen als geheim gelten und welche Variablen der Angreifer se­hen kann, ist noch nicht spe­zi­fi­ziert.

Dass bei vielen Anwendungen nicht klar erkennbar ist, welche Information überhaupt geschützt werden soll, zeigt sich unter anderem an den Kontroversen um „Google Street View“. Die Straßen­an­sich­ten, die über „Google Street View“ abrufbar sind, können nicht geschützt werden. Sie wur­den von öf­fent­li­chen Or­ten aus angefertigt und jeder Bürger hat die Möglichkeit, diese Orte selbst aufzusuchen. Tatsächlich besteht das eigentliche Sicherheitsproblem bei „Google Street View“ darin, dass großflächige und häufige Zugriffe stark vereinfacht sind. Dies hat zur Folge, dass private Information im großen Stil verarbeitet werden kann. Durch Methoden des Datamining können aus öffentlich zugänglichen Informationen neue Informationen aufbereitet werden, die in dieser Form nicht öffentlich sind. Für die hieraus resultierenden Herausforderungen an den Datenschutz gibt es noch kei­ne all­gemein ak­zep­tier­ten Be­grif­fe.

Darüber hinaus verwenden die verschiedenen Disziplinen, die am Entwurf sicherer Systeme beteiligt sind, sehr un­ter­schied­li­che Si­cher­heits­be­grif­fe und -konzepte.

• In der Kryptographie ist Sicherheit eine formal definierte und beweisbare Eigenschaft. Kryptographische De­fi­ni­ti­o­nen be­schrei­ben abstrakte Protokolle und geben mathematisch präzise Definitionen. Durch die Ab­strak­ti­on fasst die Kryptographie aber die Komplexität und Vielfältigkeit realer Systeme nicht.
• Das Security Engineering betrachtet Sicherheit von Systemen umfassend. Die Grenzen der betrachteten Sys­te­me sind aber meist nicht einfach feststellbar. Im Security Engineering bedeutet Sicherheit die Abwesenheit bekannter Angriffe auf ein System.
• Die Methoden der Information Flow Control untersuchen den Informationsfluss in Programmen. Sicherheit ist nicht vorhandener Informationsfluss zum Angreifer. Die Information Flow Control betrachtet aber keine aktiven Angreifer, die etwa Variablen beeinflussen oder Kommunikation stören, um so das Ergebnis zu verfälschen.
• In der Softwareentwicklung gemäß dem Security Development Lifecycle (SDL) von Microsoft wird eine Pro­zess­ver­bes­se­rung angestrebt, die Sicherheitsdefinition wird aber aus einem Angreifermodell abgeleitet, das nur bekannte Angriffe umfasst.
• Aus juristischer Sicht sind vor allem Fragestellungen bezüglich des Datenschutzes und der Verantwortlichkeit von Bedeutung. Wer ist verantwortlich für die Gewähr von Sicherheitsstrukturen? Welche staatlichen und wel­che privaten Vorsorgemaßnahmen gibt es? Wie kann ein Maximum an Sicherheit bei gleichzeitigem Minimum an rechtlichen Belastungen gewährleistet werden? Wie können Vorgaben so ausgestaltet werden, dass sie leicht verständlich und leicht umsetzbar sind?

Das ungleiche Verständnis von Sicherheit in den verschiedenen Disziplinen rührt aus einer stark unterschiedlichen Weltsicht her. Sie äußert sich in der Wahl der Begriffe, aber auch in der grundsätzlichen Arbeitsweise. Aufgrund der fachlichen Differenzen zwischen den Disziplinen fällt es schwer, gemeinsam ein gesamtheitlich sicheres System zu konstruieren. Es fehlt die sprichwörtliche Sicht auf das Ganze.

Grundlage für alle weiteren Arbeiten im Kompetenzzentrum ist daher eine präzise Definition der Sicherheit. Für eine ganzheitliche Betrachtung muss ein disziplinenübergreifender Konsens über die Schutzziele gefunden werden, der überhaupt erst den Entwurf von Informatiksystemen mit verlässlichen Sicherheitsgarantien erlauben. Diesen Kon­sens zu fin­den, be­darf es gro­ßer Forschungsanstrengungen, denn die Sicherheitsbegriffe einzelner Disziplinen, die am Entwurf sicherer Systeme beteiligt sind, unterscheiden sich zum Teil erheblich. Dies wirft einerseits die Frage auf, wie sich die Sicherheitsbegriffe von Konzeption, Entwurf und Implementierung zueinander verhalten. An­de­rer­seits stellt sich die Fra­ge, wel­che Art von Si­cher­heit für eine gegebene Anwendung überhaupt erreichbar ist. Deshalb soll geklärt werden, welche Sicherheitsgarantien an die Anwender solcher Systeme ge­ge­ben wer­den kön­nen und wie sie sich durch­set­zen las­sen. Dies schließt insbesondere datenschutzrechtliche Bestimmungen mit ein. Nur über die Arbeit an einer gemeinsamen Sprache und an klaren Schnittstellen zwischen den Disziplinen kann sichergestellt werden, dass sich die Akteure überhaupt in ihrem Ziel einig sind.

Das Ziel dieses Kernprojektes ist, ein Rahmenwerk bereitzustellen, das die Identifikation von Si­cher­heits­an­for­de­run­gen für spezifische Anwendungen erlaubt. Es soll imstande sein, die identifizierten Anforderungen im ma­the­ma­ti­schen Sin­ne präzise zu fassen und sicherstellen, dass die einzelnen Definitionen der Teildisziplinen ein ge­mein­sa­mes gro­ßes Bild ergeben. Die so gefundenen Sicherheitsbegriffe werden auf ver­schie­den­en E­be­nen an­wend­bar sein müssen, damit man sowohl formale Garantien als auch verständliche und juristisch belastbare Begriffe erhält.

Die Frage was Sicherheit bedeutet, ist Grundlage für jedes Teilprojekt von KASTEL. Ganz konkret werden Si­cher­heits­de­fi­ni­ti­on­en für die drei in den Realisierungsprojekten zu entwickelnden Prototypen erstellt und über den Verlauf der Realisierungsprojekte weiterentwickelt und angeglichen, damit präzise und durch­gän­gi­ge Si­cher­heits­de­fi­ni­ti­o­nen im Konsens der Akteure über den gesamten Entwicklungsprozess hinweg spezifiziert werden können.