Das ESUKOM-Projekt, vertreten durch den Konsortialführer DECOIT GmbH, war zu einem Workshop des europäischen Forschungsprojektes MASSIF (www.massif-project.eu) im Rahmen des EU-Forums Cyber Security & Privacy (www.cspforum.eu) nach Berlin eingeladen worden, um die Entwicklung der Anomalie-Erkennung zu diskutieren, die im BMBF-Projekt ESUKOM (www.esukom.de) erarbeitet werden. Ziel der Gesamtveranstaltung war es, die zwischen dem 24. und 25. April stattfand, Cluster von europäischen Forschungsprojekten zu erwirken, um Forschungsansätze zu bündeln und Entwicklungen voranzubringen. Im Rahmen der Veranstaltung wurden diverse Projekte vorgestellt, die sich mit unterschiedlichen Aufgabenstellungen beschäftigt haben. Alle Projekte vereinte aber die Thematiken "Security and Privacy".
Der MASSIF-Workshop bestand aus verschiedenen Präsentationen der Projektteilnehmer sowie einer anschließenden Panel-Diskussion. Fraunhofer SIT stellte das Advanced-Security-Monitoring vor, indem SIEM ein zentraler Bestandteil ist. SIEM steht für Security Information and Event Management und ist keine Technologie, sondern ein Rahmenwerk. SIEM kombiniert SIM (Security Information Management) und SEM (Security Event Management) miteinander. MASSIF selbst ist ein IP-Projekt im FP7 der EU. Anforderungen sind bessere Interoperabilität, Skalierbarkeit und Flexibilität. Das Projekt besteht aus Forschungsinstituten, Industrie und SIEM-Produktprovidern. MASSIF setzt auf ein anforderungsbezogenes Systemdesign: man beginnt bei den Geschäftszielen, geht über zu den genutzten Anwendungen und erst zuletzt zu den Sicherheitsfragen über. Als Anwendungsszenarien kommen Geldüberweisung per Mobiltelefon und Managed Enterprise Service Infrastructure zum Einsatz. Prozesskontrolle kritischer IT-Infrastruktur ist ein wichtiges Ziel von MASSIF. Es wurden eine Menge neuer Empfehlungen aus den Szenarien abgeleitet für die nächste SIEM-Generation. Dazu gehören auch Cross-Layer Event-Filterung zur Zusammenführung unterschiedlicher Meldungen, was mit dem ESUKOM-Ansatz vergleichbar ist. Ein Security Information Metadata Model wurde entwickelt; man ist sich aber noch nicht einig, ob man IF-MAP wie bei ESUKOM verwenden wird.
Im Workshop wurden Kooperationen zu diversen anderen Forschungsprojekten (u.a. ESUKOM) präsentiert. Außerdem wurde eine User Group in MASSIF aufgesetzt, zu der ESUKOM ebenfalls gehört (MASSIF verwendet auch den IF-MAP-Server der FH Hannover aus ESUKOM). Als Roadmap hat man bekannt gegeben zukünftig Clouds und Virtualisierung ebenfalls mit zu betrachten. Das Projekt hat letztendlich eine Menge Ziele für drei Jahre Laufzeit. Mit kritischen Infrastrukturen, die man absichern will, sind im Projekt Infrastrukturen gemeint, die auf allgemeine Dinge wie Gesundheit, öffentliche Sicherheit etc. Auswirkungen haben. So wurde die Infrastruktur der Olympischen Spiele oder die von Staudämmen u.a. als Beispiele auserkoren. Das entwickelte GET-Rahmenwerk ermöglicht dabei die Sammlung unterschiedlicher Events und Zusammenführung in ein gemeinsames Format, um Events miteinander vergleichen zu können. Der grundsätzliche Ansatz ist ein Overlay-Support für Monitoring und Kontrolltechnologien ohne funktionale Eigenschaften. Der Sicherheitsansatz beinhaltet nun die formale Beschreibung des Systemverhaltens und der Sicherheitsanforderungen und keine technische Entwicklung im eigentlichen Sinne. Mehr Informationen können unter www.massif-project.eu abgerufen werden.
In der abschließenden Panel-Diskussion des MASSIF-Workshops wurde u.a. diskutiert, wie man falsche Alarme erzeugen und ein Monitoring-System fluten kann, so dass die richtigen Attacken nicht mehr erkannt werden können. Die Ansätze zur Verhinderung eines solchen Szenarios aus MASSIF sind gut, es bleibt aber noch unklar, diese im Detail umgesetzt werden können. Zukünftig könnte der ESUKOM-Ansatz zur Anomalie-Erkennung und Korrelation der Log-Informationen mit in MASSIF eingebracht werden. Allerdings müssen dann die dort im Einsatz befindlichen Sensoren auch in der Lage sein, das Trusted-Computing-Protokoll IF-MAP sprechen zu können. Dies wird bislang noch diskutiert und ist noch nicht umgesetzt worden, was u.a. auch daran liegt, dass neue Protokoll in Embedded Systems wie Sensoren nicht einfach integrierbar sind. Beide Projekte werden sich aber noch rege diesbezüglich weiter austauschen, um eine Lösung zu finden.
