Projektbeschreibung

Das Projekt ESUKOM

Schwerpunkte und gemeinsame Ziele 

Das Gesamtziel des ESUKOM Vorhabens ist die Konzeption und Entwicklung einer Echtzeit-Sicherheitslösung für Unternehmensnetze, die basierend auf der Konsolidierung von Metadaten arbeitet. Dabei soll insbesondere der durch mobile Endgeräte wie Smartphones erzeugten Bedrohungslage Rechnung getragen werden. ESUKOM setzt auf die Integration vorhandener Sicherheitslösungen (kommerziell und Open Source) basierend auf einem einheitlichen Metadatenformat gemäß der IF-MAP-Spezifikation der Trusted Computing Group. Das bedeutet konkret, dass man als Grundlage für die Arbeitsweise eine gemeinsame Datenbasis verwenden wird, die den gesamten, aktuellen Zustand eines Unternehmensnetzes abbildet. Dabei sollen alle vorhandenen Sicherheitstools die Möglichkeit besitzen, aus dieser Datenbasis die für ihre Funktionsweise relevanten Daten zu beziehen und selbst neue Daten zu veröffentlichen. Erst dadurch wird es möglich, auf verschiedenste Bedrohungen in Echtzeit zu reagieren. Das ESUKOM-Vorhaben verfolgt hinsichtlich der Integration verschiedener Sicherheitsmechanismen den Ansatz ein wohl definiertes Modell zur Beschreibung von Metadaten zu erstellen, das nicht alleine auf der Analyse von Logdateien beruht.

Eine korrekt funktionierende IT-Infrastruktur ist für die Geschäftsfähigkeit vieler Unternehmen mittlerweile unerlässlich. Dienste, die innerhalb eines Unternehmensnetzwerkes angeboten werden, sind oft schon für die Organisation der eigenen Mitarbeiter sowie für die Kommunikation mit Kunden zwingend erforderlich. Daher sind auch Unternehmen, die selbst keine IT-Dienste anbieten, von einer funktionierenden IT-Infrastruktur abhängig. Noch höher ist die Bedeutung der eigenen IT-Infrastruktur, wenn diese für das Kerngeschäft eines Unternehmens notwendig ist.

Aufgrund dieser Tatsache stellen Unternehmensnetze heutzutage ein äußerst attraktives Ziel für Angriffe dar. Wie dramatisch die Sicherheitslage mittlerweile ist, belegt eine auf dem Sicherheitsportal Heise Security veröffentlichte Meldung. Demnach werden alleine von chinesischen Hackern pro Jahr Daten im Wert von 40-50 Milliarden US-Dollar aus US Unternehmen gestohlen. Laut dem Verfassungsschutz NRW sind auch deutsche Unternehmen dieser Bedrohung der IT-gestützten Wirtschaftsspionage mittlerweile verstärkt ausgesetzt.

Bei dem vorliegenden Bedrohungsszenario nehmen insbesondere mobile Endgeräte eine Schlüsselrolle ein. Diese Endgeräte sind anfälliger für erfolgreiche Kompromittierungen, die sich dann auf das Unternehmensnetzwerk ausbreiten können. Dass vor allem solche mobilen Endgeräte leicht zum "Einfallstor" für Angreifer werden können, hat verschiedene Gründe, u.a.:

  1. Mobilität: Die Endgeräte werden in Umgebungen mit unterschiedlichem Sicherheitsniveau eingesetzt. Angreifer, die physischen Zugriff auf ein Endgerät haben, können Angriffe auf einzelne Geräte viel effektiver durchführen. Zum Beispiel ist es mit der "Evil Maid"-Attacke möglich, ein Laptop über einen USB-Stick innerhalb weniger Minuten so zu präparieren, dass die Zugangsdaten des Anwenders ausgespäht werden können.
  2. Dynamische Vernetzung: Mobile Endgeräte müssen dynamisch an vorhandene Netzwerke angebunden werden können. Dazu gehört sowohl der generelle Zugriff auf unsichere Netze wie das Internet, als auch die Anbindung der Endgeräte an das eigene Unternehmensnetz. Kompromittierte Endgeräte stellen damit prinzipiell eine Bedrohung für das Netz dar, an das sie angebunden werden. Zudem ermöglichen es drahtlose Kommunikationstechnologien wie Bluetooth, dynamisch Punkt-zu-Punkt Verbindungen zwischen einzelnen Geräten aufzubauen. Auch diese Funktionalität lässt sich für Angriffe missbrauchen.
  3. Unzureichende Sicherheitskonzepte für Smartphones: Smartphones nähern sich bzgl. Funktionsfähigkeit und Einsatzbereich stetig den klassischen PCs an. Die Kommunikation per E-Mail, das Surfen im Internet oder das Planen von Terminen sind einige der Funktionen, die mittlerweile zum Standard gehören. Zudem ist es mittlerweile auch möglich, dass der Anwender selbst neue Anwendungen auf seinem Smartphone installiert (über Portale verschiedener Hersteller wie den "AppStore" von Apple oder den "Ovi Store" von Nokia). Durch diese Entwicklung übertragen sich die von klassischen PCs bekannten Sicherheitsprobleme auch auf aktuelle Smartphones. Insbesondere Schadsoftware wie Viren und Würmer wird es in Zukunft verstärkt auch für Smartphones geben, mit den genannten online Portalen steht auch ein effizienter Verbreitungsweg zur Verfügung. Demgegenüber gibt es für Smartphones noch keine etablierten Sicherheitslösungen, wie sie für PCs oder Laptops verfügbar sind (Personal Firewalls, Anti Viren Scanner).

Für Unternehmen gilt es daher, ihre eigene IT-Infrastruktur ausreichend zu schützen. Dieser Schutz muss der aktuellen Bedrohungslage, die geprägt ist von einer großen Vielfalt verschiedener Endgeräte und Anwendungen sowie einer stetigen Tendenz hin zur dynamischen Vernetzung von mobilen Endgeräten, Rechnung tragen.

Wissenschaftliche und technische Ziele

Das Gesamtziel des Vorhabens ist die Konzeption und prototypische Entwicklung einer ganzheitlichen Sicherheitslösung, die durch die Integration vorhandener Sicherheitstools und die Konsolidierung von Metadaten die Sicherheit eines Netzwerkes in Echtzeit gewährleistet. Als technologische Basis dient die IF-MAP Spezifikation der Trusted Computing Group (TCG).

Die Konzeption und prototypische Entwicklung solch einer Sicherheitslösung ist nur möglich, wenn die folgenden vier wissenschaftlich-technischen Projektziele erreicht werden:

  1. Entwicklung von IF-MAP Software-Komponenten
    Es sollen ein MAP-Server sowie verschiedene MAP-Clients entwickelt werden. Potentielle MAP-Clients sind zum einen etablierte Open-Source Sicherheitslösungen wie NAGIOS, Snort und IPtables, sowie die Produkte der beteiligten KMUs (macmon und NCP). Die vorhandene Software muss dabei so erweitert werden, dass Metadaten über die IF-MAP Schnittstelle von dem MAP-Server bezogen bzw. in dem MAP-Server veröffentlicht werden können. Softwarekomponenten zur Erweiterung vorhandener Open-Source-Tools sowie der komplette IF-MAP Server werden unter einer Open-Source-Lizenz veröffentlicht werden. Die Softwarekomponenten zur Erweiterung der kommerziellen Produkte werden dagegen im Rahmen der Vermarktungsstrategie des jeweiligen KMUs vertrieben werden.
  2. Entwicklung eines fortgeschrittenen Metadaten-Modells
    Die IF-MAP-Spezifikation definiert lediglich ein grundlegendes, erweiterbares Format für Metadaten, die in dem MAP-Server vorgehalten werden können. Für reale Anwendungsszenarien ist es erforderlich, dieses grundlegende Modell zu erweitern. Es müssen insbesondere Vokabularien für spezifische Anwendungszwecke entwickelt werden. Nur so können die Besonderheiten des jeweiligen Unternehmensnetzes korrekt abgebildet werden (z.B. der Status von Smartphones als mobile Endgeräte oder die geografische Verteilung von externen Mitarbeitern die zurzeit das Unternehmensnetz nutzen).
  3. Entwicklung von Konsolidierungs-Algorithmen
    Es ist zu erwarten, dass die Datenbasis des MAP-Servers in realen Szenarien extrem große Dimensionen annehmen wird. Um aus dieser Menge an Daten die für die MAP-Clients relevante Informationen extrahieren zu können, sind effektive Konsolidierungs-Algorithmen notwendig. Diese Algorithmen werden basierend auf dem entwickelten Metadaten-Modell arbeiten. Es ist zu erwarten, dass die Datenbasis des MAP-Servers in realen Szenarien extrem große Dimensionen annehmen wird. Um aus dieser Menge an Daten die für die MAP-Clients relevante Informationen extrahieren zu können, sind effektive Konsolidierungs-Algorithmen notwendig. Diese Algorithmen werden basierend auf dem entwickelten Metadaten-Modell arbeiten.
  4. Integration vorhandener Sicherheitstools
    Als weiteres Projektziel muss generell geklärt werden, welche Sicherheitstools welche Metadaten aus dem MAP-Server beziehen bzw. in dem MAP-Server veröffentlichen sollten, um eine größtmögliche Menge von Bedrohungen erkennen und deren schädliche Auswirkungen verhindern zu können. Konkret soll die Frage beantwortet werden, wann zwischen welchen Tools eine Integration über IF-MAP überhaupt sinnvoll und zielführend zur Absicherung eines Unternehmensnetzes ist. Dazu ist eine Analyse der vorhandenen Angriffsvektoren vor dem Hintergrund der für ESUKOM relevanten Anwendungsszenarien erforderlich. Zudem muss bestimmt werden, welche Schnittmengen zwischen den vorhandenen Sicherheitsmechanismen hinsichtlich ihrer Funktionalität bestehen. Solche Schnittmengen können als Indiz dafür dienen, dass die jeweiligen Sicherheitstools "ihre" Metadaten konsolidieren sollten.

    Die geplante ESUKOM Sicherheitslösung besteht demnach aus vier logischen Komponenten:

    1. einem MAP-Server,
    2. einem Metadaten-Modell,
    3. verschiedenen Konsolidierungsalgorithmen zur Auswertung der Metadaten und
    4. mehreren MAP-Clients, die über den MAP-Server miteinander kommunizieren können.

    Mit dem ESUKOM‐Projekt soll so der Grundstein dafür gelegt werden, dass sich IF‐MAP-basierte Sicherheitslösungen zum Schutz von Unternehmensnetzen etablieren.

    Logo ESUKOM used for printing / für das drucken benötigt
    Logo BMBF