Willkommen bei KASTEL
Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) ist eines von deutschlandweit drei Kompetenzzentren für Cybersicherheit, die vom Bundesministerium für Bildung und Forschung (BMBF) im März 2011 initiiert wurden.
Unter dem Motto "Nachvollziehbare Sicherheit in der vernetzten Welt" stellt sich KASTEL den Herausforderungen, die durch eine fortschreitende Vernetzung bisher isolierter Systeme entstehen.
Von besonderer Bedeutung sind die Folgen der Digitalisierung im Bereich der kritischen Infrastrukturen, beispielsweise in der Energiewirtschaft, in der industriellen Produktion oder bei vernetzter Mobilität, aber auch in "intelligenten" Umgebungen.
KASTEL bündelt Kompetenzen rund um die IT-Sicherheit am Forschungsstandort Karlsruhe. Ziel ist die Entwicklung eines umfassenden Ansatzes anstelle isolierter Teillösungen. Dabei soll die Gesamtsicherheit in konkreten Anwendungsbereichen, wie beispielsweise Stromnetzen oder intelligenten Fabriken im Fokus stehen.
Um diese Sicherheit zu gewährleisten, müssen neue Bedrohungen modelliert, Sicherheitsziele beschrieben und neue Methoden entwickelt werden.
Dies kann nur durch die Zusammenarbeit von Kryptographen, IT-Sicherheitsspezialisten, Software-Ingenieuren, Netzwerkexperten, Juristen und Wirtschafts- und Sozialwissenschaftlern erreicht werden - so wie hier bei KASTEL.
KASTEL startete 2011 mit einer Laufzeit von vorläufig vier Jahren. Ziel war die interdisziplinäre Erforschung und Beantwortung von Fragen rund um die IT-Sicherheit, die anhand von Prototypen und Szenarien praktische Anwendung finden sollten. Dieser als Phase 1 bezeichnete Abschnitt wurde im Herbst 2015 abgeschlossen. Nach einer erfolgreichen Evaluation wurde die Laufzeit der Kompetenzzentren vom BMBF verlängert und KASTEL startete mit neu definierten Forschungsfeldern und Projekten in die zweite Phase.
Passwortbasierte Nutzerauthentifizierung ist ein häufiges Mittel, um Ressourcen (z.B. Daten, Benutzerkonten, etc) vor unberechtigtem Zugriff zu schützen. Jedoch wird selbst die sicherste Implementierung eines passwortbasierten Authentifizierungsverfahrens angreifbar, wenn die Passwörter in die falschen Hände gelangen. Die Möglichkeiten, wie dies geschehen kann, sind dabei vielfältig. Sind sie nicht ausreichend stark gewählt oder wurden Standardpasswörter nicht geändert, können sie von Angreifern leicht erraten werden. Zudem können selbst die stärksten Passwörter durch Angriffe wie Social Engineering oder Shoulder-surfing von Angreifern erbeutet werden.
In Unternehmen werden oft Passwörter verwendet, um den Mitarbeitern Zugriff auf Betriebsgeheimnisse zu verschaffen. Gerät ein solches Passwort in die falschen Hände, bekommt ein Angreifer potentiell Zugriff auf die gesamten internen Daten oder andere wertvolle interne Ressourcen. Daher setzen viele Firmen auf Sensibilisierungsmaßnahmen, um Nutzer auf Angriffe im Bereich Passwort- und Benutzerkontensicherheit aufmerksam zu machen und Ihnen zu ermöglichen sich vor diesen Angriffen zu schützen. Doch wie werden dafür notwendige Sensibilisierungsmaterialien erstellt?
Die KASTEL-Wissenschaftler Peter Mayer, Fabian Ballreich, Reyhan Düzgün und Melanie Volkamer von der Forschungsgruppe SECUSO beschreiben zusammen mit Christian Schwartz von der usd AG in Darmstadt in der aktuellen Ausgabe der Zeitschrift „Datenschutz und Datensicherheit“ (DuD), wie sich effektive Materialien für die Sensibilisierung der Mitarbeiter hinsichtlich Passwort- und Benutzerkontensicherheit iterativ mithilfe des Human Centered Security by Design Ansatzes erstellen lassen. Eine Evaluation in drei mittelständischen Unternehmen zeigte, dass die durch die Materialien erlernte Fähigkeit der Mitarbeiter, gutes von schlechtem Verhalten in Bezug auf Passwortsicherheit zu unterscheiden, auch nach mehreren Monaten nicht signifikant abgenommen hat.
Software-Defined Networking (SDN) ermöglicht effiziente und programmierbare Netzwerkregeln, die von einer zentralen Steuerungseinheit erstellt werden können. Dies ermöglicht eine effiziente Aktualisierung der Netzwerkregeln als Reaktion auf Netzwerkereignisse und bietet eine zentrale Sicht auf diese Netzwerke und ermöglicht so ein effizientes Monitoring. Die von SDN-Controllern behandelten Netzwerkereignisse lassen sich als Vorfälle klassifizieren, auf die das SDN zeitnahe und aufgrund der ganzheitlichen Sicht auf das Netzwerk angemessene, automatisierte Reaktionen, wie sofortige Eindämmung, Überwachung oder Umschaltung auf Redundanzen, bereitstellen kann.
SDN hat sich in flexiblen, hochleistungsfähigen Umgebungen etabliert und wurde auch in industriellen Netzwerken eingeführt. Die Kommunikation in industriellen Netzwerken ist jedoch oft funktions-, sicherheits- und zeitkritisch, was den Handlungsspielraum für eine automatisierte Reaktion auf Vorfälle einschränkt.
Das vom FMER geförderte Forschungsprojekt "Flexibilität und Sicherheit in der Produktionsanlage der Zukunft" (FlexSi-Pro), in dem sich das Institut für Telematik unter Leitung von KASTEL-PI Prof. Zitterbart und das Fraunhofer IOSB unter Leitung von KASTEL-PI Prof. Beyerer der Erforschung von Lösungen für das flexible und sichere Produktionssystem der Zukunft verschrieben haben. Mit FlexSi-Pro hat die Gruppe Sicherheit für vernetzte Systeme der Abteilung Informationsmanagement und Produktionssteuerung (ILT) am Fraunhofer IOSB eine SDN-basierte Lösung zur automatisierten Störfallreaktion entwickelt und evaluiert, die die genannten Besonderheiten industrieller Netzwerke unterstützt. Die Ergebnisse wurden auf der 5. Internationalen Konferenz über Sicherheit und Datenschutz in Informationssystemen (ICISSP) vorgestellt.
Im Rahmen des 16. Symposium On Usable Privacy and Security (SOUPS), der vom 7. bis 11. August 2020 stattfinden wird, findet am 7. August der virtuell abgehaltene Workshop „Who Are You?! Adventures in Authentication“ (WAY) statt. Darin wird es insbesondere um Erfahrungsberichte gehen, die im universitären wie industriellen Umfeld über Authentifizierungstechniken, also beispielsweise dem virtuellen Nachweis der eigenen Identität gegenüber einer Webseite, gesammelt wurden.
Von der Forschungsgruppe SECUSO von KASTEL-PI Prof. Volkamer wurde darin ein Papier mit dem Titel „Towards Secure and Usable Authentication for Augmented and Virtual Reality Head-Mounted Displays“ (Zur sicheren und nutzbaren Authentifizierung für Augmented und Virtual Reality Head-Mounted Displays) akzeptiert. Das Papier wurde von den SECUSO-Wissenschaftlern Reyhan Düzgün, Peter Mayer und Melanie Volkamer in Kooperation mit Sanchari Das aus der University of Denver in den USA verfasst.
Im Papier wird das Authentifizierungsprotokoll „Zero-Trust Authentication“ (ZeTA) von Andreas Gutmann, Karen Renaud, Joseph Maguire, Peter Mayer, Melanie Volkamer, Kanta Matsuura und Jörn Müller-Quade im Setting von Augmented- und Virtual-Reality Brillen betrachtet.
András Koltay von der National University of Public Service und der Pázmány Péter Catholic University aus Ungarn und Paul Wragg von der University of Leeds in England veröffentlichten jüngst als Teil der internationalen Buchreihe „Research Handbooks in Comparative Law Series“ (Forschungshandbücher zur Rechtsvergleichung) ein Buch zur „Comparative Privacy and Defamation“ (Vergleichende Privatsphäre und Verleumdung), in dem sie auf rechtliche Unterschiede zwischen westlichen und nicht-westlichen Rechtssystemen eingehen und betrachten darin insbesondere die Gesetze hinsichtlich Privatsphäre und Verleumdung. Darin gehen sie auch auf aktuelle Fragen zur Theorie und Konzeption ein, im Besonderen bezüglich der rechtlichen Herausforderungen durch neue Technologien und durch die Europäische Datenschutz-Grundverordnung (DS-GVO).
In diesem Buch schrieb Dr. Sebastian Bretthauer vom Lehrstuhl von KASTEL-PI Prof. Spiecker einen Beitrag mit dem Titel „A European and German perspective on data protection law in a digitised world“. Dabei werden die Grundlagen des Datenschutzrechts dargestellt und auf die damit verbundenen rechtlichen Herausforderungen der Digitalisierung, die etwa durch Big Data Anwendungen entstehen, eingegangen. Neben der europäischen Perspektive wird ebenso die nationale Implementierung der europäischen Vorgaben betrachtet.
Durch Webapplikationen lassen sich Industrielle Kontrollsysteme einfacher bedienen; Statusinformationen können über den Browser abgefragt und Einstellungen effizient angepasst werden. Eine Webapplikation braucht dabei jedoch für ihre Funktionsweise Zugriff auf das Kontrollsystem; eine unzureichend gesichterte Webanwendung bietet hier unzählige neue Angriffsmöglichkeiten. Um vorhandene Sicherheitslücken in Weboberflächen zu finden, lassen sich Automatisierten Black Box Web Application Scanner benutzen. Diese führen unterschiedliche Aufgaben mit der Webapplikation aus, um Eingaben zu finden, die sich für Angriffe ausnutzen lassen. Leider sorgen derartige Scanner dabei nicht selten zu einem Absturz der zu testenden Webapplikation, ohne dass der Scanner dies bemerkt. Dadurch kann ein vollständiger Test nicht durchgeführt werden.
Im Rahmen von KASTEL wurde am Fraunhofer Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) ein Verfahren namens HelpMeICS entwickelt, welches bestehende Scanner unteranderem um die Fähigkeit erweitert, abstürzende Kontrollsysteme untersuchen zu können. Durch die Verwendung eines Proxy Servers kann das Verfahren dabei ohne Anpassungen in bestehende Scanner eingebaut werden. Das zugehörige Papier „Helper-in-the-Middle: Supporting Web Application Scanners Targeting Industrial Control Systems“ von Anne Borcherding, Steffen Pfrang, Christian Haas, Albrecht Weiche und KASTEL-PI Jürgen Beyerer wurde auf der diesjährigen International Conference on Security and Cryptography (SECRYPT) veröffentlicht.
Es ist im Mobilitätssektor schon seit langer Zeit der Normalfall, dass viele Prozesse rein digitalisiert ablaufen. Um hier bessere Ergebnisse zu liefern, wird auf unterschiedlichste Datenquellen zugegriffen – darunter auch die Daten vieler Sensoren, die eigentlich primär zu anderen Zwecken aufgestellt wurden, beispielsweise um die Luftverschmutzung zu prüfen.
Während dies auf der einen Seite für bessere Ergebnisse bei der Stauvermeidung sorgt und die Mobilitätssteuerung dadurch verbessert wird, wirft dies auf der anderen Seite datenschutzrechtliche Fragen auf, darunter zur Zweckbindung erhobener Daten nach der Europäischen Datenschutz-Grundverordnung (DS-GVO).
Mit diesen Themen und damit verbundenen weiteren Herausforderungen, die mit den zunehmenden Digitalisierung im Mobilitätssektor einhergehen, befassen sich Dr. Sebastian Bretthauer, Mitarbeiter am Lehrstuhl von KASTEL-PI Prof. Spiecker, und Amancaya Schmitt, eine ehemalige Studierende an der Goethe-Universität Frankfurt am Main, in einem aktuellen Aufsatz über „Privatsphärengerechte Intelligente Mobilitätssteuerung im Straßenverkehr – Einsatz von Big Data zur Stauvermeidung“. Der Aufsatz wurde in der Zeitschrift für Datenschutz (ZD 2020, 341) publiziert.
