reSilienz vOn supPly cHaIns gegenüber kaskadEneffekten aus dem digitalen Raum (SOPHIE)
Projektbeschreibung
Die Resilienz von IKT-Infrastrukturen ist fundamental für das Funktionieren von Supply Chains. Je verlässlicher diese Infrastrukturen sind, desto höher ist auch die Planbarkeit für Produktion und Lieferketten, und daraus resultierend für die Abnehmer:innen und Kund:innen. Die Absicherung solcher Systeme gegen Bedrohungen aus dem Cyberraum ist zentral für das Funktionieren einer „Smart Economy“, die auf dem Prinzip „Just in Time“ aufbaut und möglichst ohne Zwischenlagerung auskommen Transportwege optimieren muss. Im Fall eines Cyber-Angriffes ist es essentiell, auf bewährte Strukturen und Prozesse, ausreichende Früherkennung und entsprechende Entscheidungsmodelle zurückgreifen zu können, um Beeinträchtigungen von IKT-Systemen möglichst zu vermeiden bzw. zu reduzieren.
Das Projekt SOPHIE zielt daher darauf ab, Bewusstsein für Themen der Cyber Security in der Supply Chain, des Incident Response insbesondere für technisches und nicht-technisches Schlüsselpersonal in der Supply Chain zu steigern, sowie relevante Prozesse durch geeignete Tools und Referenzprozesse im Sinne der Resilienz zu unterstützen und zu verbessern. Das Projekt verfolgt drei wesentliche Ziele:
- die Auswirkungen von Cyberangriffen besser zu verstehen,
- die Anzahl und Kritikalität erfolgreicher Cyberangriffe zu vermindern und
- die Aufklärungsrate bei Cyberangriffen zu steigern und den Aufwand für Angriffe präventiv signifikant zu erhöhen.
Diese Ziele soll SOPHIE durch korrespondierende Maßnahmen erreichen, insbesondere:
- die Analyse von Prozessen, Kaskadeneffekte und geeignete Verfahren, um Modelle für Übungen und Simulationen von Cyber-Vorfällen zu erstellen,
- im Rahmen von Übungen und Simulationen rasch und wirkungsvoll auf IT-Sicherheitsvorfälle zu reagieren, um letztlich
- die Auswirkungen von Sicherheitsvorfällen zu minimieren, Schwachstellen zu beheben, sowie die Robustheit und Resilienz der Systeme zu erhöhen.
SOPHIE wird hierfür die Prozesse zur Analyse, Modellbildung und Simulation in Schulungsprogramme und Cyber-Security Übungen zur Bewusstseinsbildung einsetzen. Dies soll helfen, die Verhaltensweisen der Anwender:innen im Ernstfall zu reflektieren, operative und Entscheidungsprozesse zu analysieren, und geeignete Maßnahmen des Krisenmanagement zu definieren und zu validieren, sowie die Koordination zwischen Akteur:innen und deren Verantwortlichkeiten zu koordinieren. Ergänzend dienen die Simulationsmodelle hier auch der Identifizierung kritischer Prozesse, sowie der Erkennung etwaiger Ressourcen- und Kapazitätsengpässe, woraus relevante Möglichkeiten zur taktischen Optimierung von Prozessen abgeleitet werden. Dies soll zu einem proaktiven und reaktiven Umgang mit Cyber-Attacken durch Unternehmen entlang einer Supply Chain beitragen.
- Fördergeber: KIRAS, Kooperative F&E-Projekte, KIras Kooperative CS F&E Projekte (KFE CS_2022), Grant Nr. FO999905291
- Konsortium: AIT Austrian Institute of Technology GmbH, öffnet eine externe URL in einem neuen Fenster (Lead), Universität für Bodenkultur Wien Institut für Produktionswirtschaft und Logistik, öffnet eine externe URL in einem neuen Fenster, Bundesministerium für Finanzen, öffnet eine externe URL in einem neuen Fenster, Bundesministerium für Inneres, öffnet eine externe URL in einem neuen Fenster (BMI), Bundesministerium für Landesverteidigung, Bundesministerium für Land- und Forstwirtschaft, öffnet eine externe URL in einem neuen Fenster, Digital Factory Vorarlberg GmbH, öffnet eine externe URL in einem neuen Fenster, Gebrüder Weiss Gesellschaft m.b.H., öffnet eine externe URL in einem neuen Fenster, h2 projekt.beratung KG, öffnet eine externe URL in einem neuen Fenster, Institut für empirische Sozialforschung, öffnet eine externe URL in einem neuen Fenster (IFES) Gesellschaft mbH, FH OÖ Forschungs & Entwicklungs GmbH, öffnet eine externe URL in einem neuen Fenster, Wiener Lokalbahnen Cargo GmbH, öffnet eine externe URL in einem neuen Fenster
- Dauer: 24 Monate (2023 - 2025)
- Schlagworte: Cyber Security, Supply Chain, Modellierung, Kaskadeneffekte, Schulung, Weiterbildung
Innovatives Tool zur Prüfung von Unterschriften mittels Künstlicher Intelligenz (EMENTIO)
Projektbeschreibung
Hauptziel unserer geplanten Entwicklung ist ein Toolset für das schnelle, sichere und automatisierte Prüfen von handschriftlichen Unterschriften. Hierfür sollen statistische Methoden und Verfahren der künstlichen Intelligenz evaluiert und eingesetzt werden.
- Fördergeber: FFG Basisprogramm, Grant Nr. FO999900071
- Konsortialpartner: Albatross Consulting e.U., öffnet eine externe URL in einem neuen Fenster
- Dauer: 24 Monate
- Schlagworte: Identifizierung, Authentifizierung, Künstliche Intelligenz
Computer-Aided Verification of Existing P/NP Proof Attempts (CAVE-PNP)
Projektbeschreibung
Ziel des Projekts ist eine Auswahl vorhandener Arbeiten bzgl. des P/NP-Problems auszuwählen, und die darin enthaltenen Argumente von einem (maschinellen) Beweis-Assistenten überprüfen zu lassen. Es geht hierin nicht darum, eine Antwort auf die offene Frage selbst zu finden, sondern die „Masse“ an vorgeschlagenen Beweisen nicht nur manuell, sondern mit maschineller Unterstützung einer Begutachtung unterziehen zu können. Wenn die Anzahl an Beweisvorschlägen schneller wächst, als wissenschaftliches Peer-Review die Arbeiten begutachten und ggf. Fehler identifizieren können, dann besteht die Möglichkeit, dass die Antwort tatsächlich gefunden wird, jedoch in der Masse (fehlerhafter) Ansätze unerkannt untergeht. Diesem Umstand soll mit Unterstützung von Computern, insbesondere Beweisassistenten, entgegengewirkt werden.
Auswahlkriterien für untersuchte Publikationen (Beweisansätze) sind unter anderem (i) die Strenge der Argumentation, (ii) die Eignung der angewendeten Beweis-Techniken, (iii) die Durchführbarkeit der Modellierung und (iv) das behauptete Ergebnis der Relation von P zu NP (gleich/ungleich/unbeweisbar).
Erwartete Ergebnisse: Forscher*innen, die sich mit der Frage beschäftigen sollen erweiterte Möglichkeiten erhalten, ihre Ideen und Argumente einer maschinellen, und damit einer objektiv/unabhängigen, Prüfung zu unterziehen (vor einer Veröffentlichung). Unabhängig hiervon dient die P/NP Frage somit als „Studienobjekt", dessen Untersuchung die Möglichkeiten maschineller Beweisverifikation voranbringen soll, letztlich zur Unterstützung, Vereinfachung und Objektivierung wissenschaftlicher Peer-Reviews.
- Fördergeber: CAVE-PNP ist gefördert durch den Fonds zur Förderung der wissenschaftlichen Forschung (FWF) im 1000 Ideen Programm, öffnet eine externe URL in einem neuen Fenster.
- Dauer: 24 Monate
- Schlagworte: complexity theory, proof assistant, P/NP
Simulation und Analyse kritischer Netzwerk-Infrastrukturen in Städten (ODYSSEUS)
Projektbeschreibung
In Städten und deren Agglomeration ist eine Vielzahl von kritischen Infrastrukturen (KI) angesiedelt, die wesentliche Dienste in einem geographisch engen Raum bereitstellen und dadurch zueinander in physischer und logischer Abhängigkeit stehen. Daraus ergibt sich ein sensibles Geflecht von Organisationen und Verbindungen, in dem Zwischenfälle innerhalb einer einzelnen Infrastruktur Auswirkungen auf das gesamte System haben können. Insbesondere kritische Infrastrukturen aus den Bereichen Versorgung (Strom, Gas, Wasser, etc.), Kommunikation (IKT), Güterverteilung (Lebensmittel, Treibstoff, etc.) und Transport (Straße, Schiene, etc.) betreiben weitläufige Netzwerke, welche besondere Anforderungen im Hinblick auf Sicherheitsmaßnahmen aufweisen. Somit stellt speziell vor dem Hintergrund des Netz- und Informationssystemsicherheitsgesetzes (NISG) eine detaillierte Risikoanalyse mit starkem Fokus auf die Interaktion dieser Netzwerke sowie auf potentielle Kaskadeneffekte für die Bevölkerung einen zentralen Aspekt für den Schutz dieser kritischen Versorgungsinfrastrukturen dar. Aber auch die immer stärker in den Fokus rückenden sogenannten „Soft Targets“, also für Terroranschläge attraktive Ziele im Public Space, hätten im Fall eines Anschlages Auswirkungen auf die oben genannten Netzwerke. Ziel des Projekts ODYSSEUS ist es, ein simulationsbasiertes, domänenübergreifendes Risikomodell am Beispiel der Stadt Wien zu erstellen, welches die Netzwerke der zentralen Versorgungsinfrastrukturen (Strom, Gas, Wasser, Lebensmittel und Telekommunikation inkl. IKT) sowie die Transportnetzwerke (Straße und Bahn) bis zu einem ausreichenden Abstraktionslevel hin beschreibt. Hierbei sollte dieser Abstraktionslevel so gering wie möglich gehalten werden, um eine möglichst realitätsnahe Abbildung zu erreichen (abhängig von der verfügbaren Datenquantität und -qualität). Auf Basis dieses Modells werden potentielle Bedrohungen (sowohl Naturkatastrophen als auch durch Menschen verursachte Zwischenfälle) simuliert. Im Gegensatz zu bestehenden Lösungen aus der Literatur und der Praxis wird hierbei in ODYSSEUS auf die dynamischen Zusammenhänge zwischen den Netzwerken fokussiert und es werden mathematische Modelle aus der Stochastik (z.B. Markov-Ketten, probabilistische Automaten) für eine realitätsnahe Darstellung entwickelt. Zentraler Output von ODYSSEUS ist ein Framework, das eine detaillierte Bewertung sowohl der Auswirkungen von Bedrohungen sowohl auf einzelne kritische Infrastrukturen, als auch der möglichen Kaskadeneffekten innerhalb des gesamten Netzwerks der kritischen Versorgungsinfrastrukturen unter Berücksichtigung der städtischen Bevölkerung ermöglicht. Die Simulationen beschreiben, welche potentiellen Kompensations- und Verdrängungs-mechanismen innerhalb des mehrschichtigen Netzwerks der Versorgungsinfrastrukturen bzw. auf Public Spaces im Falle eines Ereignisses (intentional, technisch oder Naturgefahr) zu erwarten sind. Aus dieser Erkenntnis können zielgerichtete präventive Sicherheitsmaßnahmen abgeleitet, dargestellt und evaluiert werden, deren Umsetzung die Auswirkungen im Ereignisfall minimieren.
- Fördergeber: ODYSSEUS ist gefördert durch die FFG/KIRAS (873539)
- Dauer: 01.10.2019 - 30.09.2021
- Schlagworte: Simulation, Analyse, kritische Netzwerk-Infrastrukturen
- Ansprechpartner: AIT Austrian Institute of Technology GmbH, öffnet eine externe URL in einem neuen Fenster; Kontakt: Dr. DI Stefan Schauer
Entwicklung eines KI basierten ISMS und Risikomanagement Systems (KISMS)
Projektbeschreibung
Die wissenschaftliche Fragestellung im Projekt betrifft Machine Learning, speziell betreffend die Erklärbarkeit und Kommunizierbarkeit von Empfehlungen für Risiko-Behandlung, welche eine künstliche Intelligenz (KI) ermittelt bzw. errechnet. Der im Projekt betrachtete Forschungsansatz besteht vor diesem Hintergrund in einer Kombination aus deterministischen Regeln (wie bei Entscheidungsbäumen), mit nicht-regelbasierten Ansätzen wie etwa Regressionsmodellen. Formal handelt es sich hier um die Durchführung einer Regression mit Basisfunktionen, welche mittels Verfahren der Fuzzy Logic aus semantisch sinnvoll definierten Wenn-Dann-Regeln erzeugt werden. Anders ausgedrückt besteht das Machine Learning Problem hierbei in einer optimierten Auswahl aus Wenn-Dann Regeln aus einem vorgegebenen Pool von Regeln, sodass die Trainingsdaten – im vorliegenden Fall Risiko-Einschätzungen, alternativ jedoch auch Zeitreihendaten für die Prädiktion (z.B. via Markov-Modellen) von Sicherheitsvorfällen – möglichst gut approximiert (i.S.v. zu definierenden Metriken bzw. Ähnlichkeitsmaßen) werden.
- Fördergeber: KISMS ist gefördert durch den FFG Basisprogramm
- Dauer: 01.11.2020 - 31.10.2021
- Schlagworte: Machine Learning, Risikomanagement, Künstliche Intelligenz
Responsible Safe and Secure Robotic Systems Engineering (SEEROSE)
Details sind nur auf Englisch, öffnet eine externe URL in einem neuen Fenster verfügbar.
Machine Learning for Decision Support in Risk Management (4conform-C)
Projektbeschreibung
Ziel des Projekts ist die Entwicklung eines neuen, selbstlernenden Softwaremoduls zur Identifikation, Steuerung und Behandlung von Informationssicherheitsrisiken und Ergänzung um Dokumentationsmöglichkeiten im Rahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 sowie der Aufbau von damit erforderlichen Prozessen in der Software in weiterer Folge unter Anwendung von künstlicher Intelligenz. Durch KI soll erreicht werden, dass die Software fachliche und qualifizierte Entscheidungen selbständig trifft und daraus Maßnahmen ableitet.
- Fördergeber: 4conform-C ist gefördert durch den FFG Innovationsscheck
- Dauer: 01.07.2020 - 31.10.2020
- Schlagworte: Machine Learning, Risikomanagement, Künstliche Intelligenz
security for cyber-physical value networks Exploiting smaRt Grid sYstems (synERGY)
Projektbeschreibung
Cyber Physical Systems (CPS), wie jene, die in Wertschöpfungsnetzwerken zur Realisierung einer verteilten Fertigung von Gütern Verwendung finden, sind anfällig für verschiedene Arten von Cyber-Attacken. Dies liegt unter anderem daran, dass zunehmend weit verbreitete commercial-off-the-shelf-Produkte (COTS) eingesetzt werden und CPS zunehmend auch über physische Organisationsgrenzen hinweg interagieren müssen. Der Grad der Komplexität moderner Cyber-Angriffen hat sich in den letzten Jahren stark zugenommen – in Zukunft werden Angreifer auch zunehmend CPS ins Visier nehmen. Bedauerlicherweise sind heutige Sicherheitslösungen, die für Enterprise-IT-Infrastrukturen verwendet werden, nicht ausreichend um CPS zu schützen, da CPS weitgehend unterschiedliche Eigenschaften aufweisen. Beispielsweise umfassen CPS stark heterogene Technologien und haben eine Architektur, die sehr spezifisch von den zu kontrollierenden physischen Prozesse geprägt ist. Außerdem kollidiert das Paradigma präventiver Security Technologien mit den hohen Safety- Anforderungen in CPS; zum Beispiel könnte das Blockieren verdächtigen Verhaltens in einer reinen Enterprise IT-Umgebung akzeptabel sein, aber mit Sicherheit nicht in zeit- und sicherheitskritischen Umgebungen, die mit CPS synonym sind. Die Chancen von unerwünschten Nebenwirkungen sind enorm. Als Konsequenz müssen reaktive Sicherheitstechniken in CPS angewandt werden, die darauf beruhen Angriffe rechtzeitig und auf genaue Art und Weise zu erfassen. Um dies zu erreichen, insbesondere bei komplexen und verdeckten mehrstufige Angriffe wird ein Ansatz benötigt, der Informationen aus allen CPS Schichten korreliert, einschließlich des Feldbereichs, des SCADA-Backends, der Unternehmens-IT und des WANs (im Falle von ausgedehnten CPS). Allerdings arbeiten heutige Sicherheitslösungen in der Regel nur auf einzelnen Schichten und sind deshalb nicht in der Lage ein vollständiges Bild aufzunehmen. Dies führt zu einer eingeschränkten Sicht des Bedienpersonals in Bezug auf die Grundursache eines Angriffs, und daher ggf. zu einer Reduktion der Gesamtverfügbarkeit eines CPS.
Daher ist es das Ziel von synERGY neuen Methoden, Werkzeuge und Prozesse für Cross- Layer-Anomalieerkennung (AD) zu entwickeln, die die frühe Entdeckung von sowohl cyberals auch physischen-Angriffe ermöglichen, die Auswirkungen auf die Sicherheit von CPS haben.
- Fördergeber: synERGY ist gefördert durch die FFG IKT der Zukunft (855457)
- Dauer: 01.01.2017 - 30.06.2019
- Schlagworte: Kritische Infrastruktur, Security, Safety, Risikomanagement, Energiemanagement
Cross Sectoral Risk Management for Object Protection of Critical Infrastructures (CERBERUS)
Projektbeschreibung
Ziel des Projekts ist die strukturierte Erfassung und Darstellung von kritischen Infrastrukturen und deren relevanten Informationen in Bezug auf den Objektschutz. Als zentraler Aspekt fließen die Interdependenzen zwischen kritischen Infrastrukturen mit ein, um die Ausbreitung von Bedrohungen und mögliche Kaskadeneffekte von Events ebenfalls analysieren zu können. In diesem Zusammenhang werden auch die zugrundeliegenden Bewertungsmodelle betrachtet, wobei eine Harmonisierung subjektiv bedingter Unterschiede in Risikobewertungen im Fokus liegt. Die Ergebnisse der Analysen mehrerer Infrastrukturen werden zusammengeführt (aggregiert), was eine sektor- oder themenübergreifende Darstellung (bis hin zu einer nationalen Sicht) der Risiken ermöglicht. Zusätzlich wird durch die Erarbeitung einer Best Practice basierend auf internationalen Normen und Standards eine Referenz-Guideline für kritische Infrastrukturen geschaffen, welche eine Grundlage für die Ableitung von konkreten Schutzmaßnahmen darstellt.
- Fördergeber: CERBERUS ist gefördert durch die FFG/KIRAS (854766)
- Dauer: 01.09.2016 - 31.08.2018
- Ansprechpartner: AIT Austrian Institute of Technology GmbH; Kontakt: Dr. DI Stefan Schauer
- Schlagworte: Kritische Infrastruktur, Security, Safety, Risikomanagement
Bewertung von Kreditwürdigkeit (CreditRating)
Projektbeschreibung
Konzeption eines Verfahrens zur Klassifikation von Personen oder Geschäften. Anhand vorgegebener Attribute wird eine Methode entwickelt, um eine Einschätzung zur Qualität einer Person als Kunde/Kundin zu geben, bzw. das Potential von Geschäftsausfällen zu liefern.
- Dauer: 27.09.2017 - 24.02.2018
- Schlagworte: Kreditwürdigkeit, Klassifikation, Statistik
Value-Network Süd - IT-enabled Eco Systems (V-NET)
Projektbeschreibung
Das Qualifizierungsnetzwerk "V-Net – IT enabled Eco Systems" macht Schlüsselpersonal südösterreichischer Unternehmen fit für neue Herausforderungen in den Schlüsselkompetenzen "IT als Commodity", "Moderne, wertebasierte Softwareentwicklung" und "Consumerization". Koordination @ AAU: Martin Pinzger, Software Engineering Research Group (SERG) Lehrende im Qualifizierungsnetzwerk: Stefan Rass, Peter Schartner
- Dauer: 01.01.2017 - 31.12.2018
- Schlagworte: Value-driven Systems Engineering, Lean Product Management, Rapid Value Delivery, Risk and Value in IT-Security, Wertsteigerung durch Software Qualität, Lernende Organisationen
Secure Storage of Keys in Software (Secure-Secrets-Store)
Projektbeschreibung
Ziel der Projekts ist die Analyse, inwieweit kryptographische Schlüssel und Schlüsselkomponenten ohne Verwendung von dedizierter Hardware sicher (d.h. im Sinne von CIA+) gespeichert werden können. Aufbauend auf dieser Analyse wurde ein Konzept für bedarfsgerechte Umschlüsselung im Rahmen der Authentifizierung erarbeitet und eine Empfehlung für die sichere Speicherung von Schlüsselmaterial gegeben.
-
Dauer: 01.06.2016 - 30.08.2016
-
Schlagworte: Key-Management, Sicheres Speichern, IT-Sicherheit, Umschlüsselung, Authentifikation
MEDUSA Consulting
Projektbeschreibung
Beratungsleistungen im Rahmen des EU-Projekts MEDUSA (Multi-order Dependency approaches for managing cascading effects in port's global supply chain and their integration in risk assessment frameworks), Grant-Nr. 4000005093, Projekt im Zusammenhang mit Risikomanagement und Hafensicherheit.
- Dauer: 01.05.2015 - 31.05.2016
- Schlagworte: Riskomanagement, Supply Chain, Security, Häfen, Schiffsverkehr
Key-Management-System im Kontext von Smart Metering (SmartMeter)
Projektbeschreibung
Gegenstand der Studie ist ein Konzept für die Verwaltung kryptographischer Schlüssel (Key Management) im Kontext der Verarbeitung von Smart Meter Daten durch ein zentrales Meter Data Management System (MDMS). Die Studie diskutiert Sicherheitsmaßnahmen und relevanter begleitender Prozesse dar, welche im Kontext verschiedener Umsetzungsmöglichkeiten (etwa auf Basis symmetrischer oder asymmetrischer Kryptographie) als notwendig erachtet werden. Ziel der Studie ist die Beschreibung notwendiger Systemeigenschaften im Hinblick auf größtmögliche Sicherheit und Flexibilität in der Anwendung.
-
Dauer: 01.06.2014 - 31.07.2014
-
Schlagworte: Schlüsselmanagement, Smart Metering, Security, Privacy
Sichere IT-Services auf mobilen Endgeräten (SeCom)
Projektbeschreibung
Ziel der Studie ist die Analyse der Einsatzmöglichkeiten von mobilen Endgeräten wie Smartphones und Tablets im Hochsicherheitsbereich. Dabei liegt der Fokus einerseits auf der sicheren Datenübertragung und Speicherung von Text- und Bildmaterial, sowie andererseits auf den speziellen Gegebenheiten der Betriebssystemumgebungen aktueller Plattformen (Android, iOS, Blackberry) und deren Eignung und Potentiale für hochsichere Kommunikation. Ein weiterer Schwerpunkt liegt auf den Einsatzmöglichkeiten von Virtualisierung und VPN-Zugängen auf mobilen Endgeräten. Inhalt der Studie sind technische und organisatorische Anforderungen und Rahmenbedingungen, die eine möglichst benutzerfreundliche Handhabung des Zugriffs auf und der Übertragung von hochsensiblen Dokumenten ermöglichen. Die Betrachtung orientiert sich hierbei an den Sicherheitsanforderungen, welche der Standard "EU Confidential" vorschreibt.
- Dauer: 01.03.2014 - 25.06.2015
- Schlagworte: Security, EU Confidential
- Fördergeber: SeCom ist gefördert durch die FFG KIRAS (840813)
Sichere abschnittsbezogene Geschwindigkeitserfassung (SectionControl)
Projektbeschreibung
Entwicklung eines technischen Konzepts für Abschnittgeschwindigkeitsüberwachung unter besonderer Berücksichtigung der Privatsphäre der Fahrzeughalter. Einsatz von homomorpher Kryptographie zur Erkennung von Geschwindigkeitsübertretungen anhand "verschlüsselter" Daten, sodass personenbezogene Daten nicht vor dem Nachweis einer Übertretung verarbeitet werden können.
- Dauer: 15.07.2011 - 01.03.2012
- Schlagworte: Anonymisierte Datenverarbeitung, Abschnittsbezogene Geschwindigkeitsüberwachung, Schutz der Privatsphäre
Risikomanagement für Simultane Bedrohungen (RSB)
Projektbeschreibung
Das Risiko-Management stellt einen Kernaspekt für die Sicherheit von kritischen Infrastrukturen dar. Entsprechende Risiko-Management Tools liefern aber meist nur unzureichende Entscheidungshilfen, da die verwendeten Analysen lediglich eindimensional sind. Das bedeutet, dass Sicherheits-Kriterien zwar einzeln quantifiziert und bewertet, jedoch nicht unter Berücksichtigung wechselseitiger Abhängigkeiten optimiert werden können. So können beispielsweise die Forderungen nach hoher Geheimhaltung bei gleichzeitig hoher Verfügbarkeit zu Konflikten führen. Zurzeit existieren Regelwerke bzw. Komplett-Lösungen zur Bewertung von Kommunikationsinfrastrukturen in Form von Katalogen (z.B. der Grundschutzkatalog des Bundesministeriums für Sicherheit in der Informationstechnik – BSI) oder Software-gestützten Fragebögen. Die Analysemöglichkeiten derartiger Werkzeuge sind aber meist nur heuristischer Art und leisten oft keine befriedigende Hilfestellung für die Berücksichtigung von Abhängigkeiten zwischen verschiedenen Sicherheitszielen.
Das Ziel des Projekts ist die Entwicklung einer Methodik sowie eines Prototypen für die Risiko-Analyse von Netzwerk-Topologien innerhalb bzw. zwischen kritischen Infrastrukturen anhand mehrerer Security-Aspekte, welche in Wechselbeziehung zueinander stehen. Im Gegensatz zu anderen Methoden der Risiko-Analyse, die lediglich eine Analyse anhand eines einzigen Kriteriums erlauben, ermöglicht die neue Methodik durch den Einsatz spieltheoretischer Ansätze eine kombinierte Analyse mehrerer Aspekte, darunter insbesondere Authentifizierung, Abhör- und Ausfallsicherheit. Der spieltheoretische Ansatz erlaubt es, hierfür eine simultan optimale Infrastruktur-Nutzungsstrategie zu bestimmen, welche die Abhängigkeiten zwischen verschiedenen Sicherheitszielen berücksichtigt.
Die Methode liefert quantitative Aussagen über Risiken, die in Zusammenhang mit individuell adaptierbaren Messgrößen gebracht werden, um neben einer statistischen auch z.B. eine monetäre Abschätzung der Gefahren geben zu können. Darüber hinaus lassen sich die Ergebnisse der mathematischen Analyse eines Netzwerk-Modells optimal in bestehende Reporting-Tools integrieren, um eine kompakte Darstellung der Risiko-Situation zu erhalten. Entscheidungsprozesse betreffend die Bewertung oder den Ausbau von Sicherheitsmaßnahmen in einem bestehenden Netzwerk einer kritischen Infrastruktur werden hierdurch unterstützt.
Als Ergebnis dieses Projekts soll eine Methode zur Risikobewertung entstehen, die durch eine entsprechende Software umgesetzt wird. Dadurch wird einem Security- Verantwortlichen ein Werkzeug in die Hand gegeben, mit dem die Sicherheit eines Systems quantitativ anstatt – wie bisher – rein qualitativ erfasst werden kann. Die Methode stellt darüber hinaus eine direkte Verbindung von Security-Komponenten, sowie deren Kosten und Nutzen für die Sicherheit des Gesamtsystems dar, die monetär ausgedrückt werden können. Dies bedeutet, dass im Gegensatz zu aktuellen Methoden der Trade-off zwischen den Investitionen für Security und dem daraus resultierenden verminderten Risiko mittels konkreter Geldbeträge beziffert werden kann. Somit können das Für und Wider einer Investition im Security-Bereich unter konkreten wirtschaftlichen Gesichtspunkten gegeneinander abgewogen werden.
IT-Security-Risk-Management based on Decision Theory (SERIMA)
Details sind nur auf Englisch verfügbar.
Collision-free Number Generation
Details sind nur auf Englisch verfügbar.