Anfang Februar stellten Beteiligte des Projekts Secunity ("secUnity") eine neu erarbeitete Roadmap zur Cybersicherheit vor. Secunity ist ein Verbundprojekt des Bundesministeriums für Bildung und Forschung (BMBF), an dem 30 namhafte europäische IT-Sicherheitsexperten forschten und beteiligt waren.
Thema der Roadmap ist, wie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann.
In Brüssel veröffentlichten die Wissenschaftlerinnen und Wissenschaftler die Roadmap und übergaben sie offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit (Enisa).

Großes Projekt mit großen Themen

In Secunity arbeiteten mehrere IT-Sicherheitsexperten aus Deutschland zusammen. Beteiligt waren die drei nationalen Kompetenzzentren für Cybersicherheit Kastel, Crisp und Cispa, Forscher und Forscherinnen des Karlsruher Instituts für Technologie sowie Spezialisten der Technischen Universität Darmstadt und der Ruhr-Universität Bochum.
Ebenfalls beteiligt waren Wissenschaftler/-innen der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit (Aisec) und für Sichere Informationstechnologie (SIT).

Cybersicherheitsexperten bemängeln schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Durch die fortschreitende Vernetzung, die sich durch digitale Trends noch erweitern wird, würden die Angriffsflächen für Cyberkriminelle immer größer. In der jetzt veröffentlichten Roadmap wurden verschiedene zukünftige Herausforderungen und Lösungswege identifiziert.  So wurden etwa die Sicherheit eingebetteter Systeme, maschinelles Lernen und das Phänomen von Fake News untersucht sowie Vorschläge für mehr Sicherheit erarbeitet.

Widerstandsfähige Systeme statt unsicherer Hardware
Sehr kritisch sehen die Experten die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, so Professor Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit Crisp und des Fraunhofer-Instituts SIT.

Da aber auch in Zukunft weiterhin eine Vielzahl von preiswerten, aber unsicheren Hard- und Softwarekomponenten genutzt werden wird, reichen Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen nicht aus, um vernetzte Systeme wirksam zu schützen.
Am Beispiel Smart Home führt Professorin Claudia Eckert, Direktorin des Fraunhofer-Instituts Aisec aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben. Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“

Widerstandsfähigkeit trotz unberechenbarer Komponenten – dies sollte insbesondere für kritische Infrastrukturen wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Ein Problem der Zukunft erfordert Vorsorge
Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren.
Jörn Müller-Quade warnt: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”

Intelligente Technik als Gefahrenquelle
Methoden der Künstlichen Intelligenz finden aktuell viele neue Anwendungsfälle, bringen aber auch gravierende Risiken für die IT-Sicherheit mit sich. Denn maschinelle Lernprozesse können durch gezielte Manipulationen während der Lernphase und im Betrieb einfach angegriffen werden.

„Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Professor Thorsten Holz von der Ruhr-Universität Bochum.

Neue Möglichkeiten der Informationsgesellschaft, wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, werfen ähnliche rechtliche und datenschutzrechtliche Fragen auf: Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden. Ebenso mangelt es an Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände.

Bewusste Nutzung und Schutz der Privatsphäre
Des Weiteren müssen Nutzer, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden.
„Ziel der Forschung ist daher zum Beispiel, Methoden für einen Privacy Advisor zu entwickeln. Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in sozialen Netzwerken zu bewegen“, kündigt Professor Michael Backes, Gründungsdirektor des Cispa Helmholtz-Zentrums für Informationssicherheit, an.

Unendliche Möglichkeiten oder unsicherer Markt?
Angesichts der immer größer werdenden Datenbestände ergeben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im digitalen Zeitalter zu verlieren.

„Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, Crisp-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums "Highest" an der TU Darmstadt.

Nutzer müssen sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während die Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssen. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

„Um all diesen Herausforderungen zu begegnen, braucht die zivile Cybersicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cybersicherheitsforschung auf EU-Ebene“, fasst Secunity-Sprecher Jörn Müller-Quade zusammen.