Unternehmen und Regierungen werden tagtäglich mit Milliarden von Cyberbedrohungen bombardiert. Diesen Bedrohungen entgegenzuwirken bindet Ressourcen und Arbeitskräfte, sodass sich nur die größten Organisationen einen umfassenden Schutz leisten können. Was aber ist mit den kleineren Akteuren, die sich den Zeit- und Kostenaufwand nicht leisten können? Im Rahmen dieses EU-Projekts werden kostenfreie und einfach zu installierende fortschrittliche Tools entwickelt, um diese Organisationen dabei zu unterstützen, solche Bedrohungen abzuwehren.

Digitale Wirtschaft

Die überwiegende Mehrzahl an KMUs müssen entweder begrenzt zur Verfügung stehende Ressourcen opfern, um den erforderlichen Cyberschutz zu besorgen oder sich mit minderwertigen, riskanten Tools herumschlagen und auf das Beste hoffen. Das Projekt WISER zielt darauf ab, dies über die Entwicklung benutzerfreundlicher und kostenloser Risikobewertungs-Tools zu ändern, von denen stark IKT-basierte KMUs sowie größere Betreiber wichtiger Infrastrukturen Gebrauch machen können. „KMUs verfügen oftmals nicht über die Ressourcen oder Skills, um bei der Bewältigung von Cyberrisiken fortschrittliche Methodologien und Tools zu nutzen, wobei Beratungsdienstleistungen meistens nicht erschwinglich sind“, sagte Niccolò Zazzeri von Trust-IT Srl, einem Unternehmen mit Sitz in Pisa, das Teil des WISER-Forschungskonsortiums ist. „Wir zielen auf eine ausgereifte Lösung ab, die vom Endanwender leicht umgesetzt werden kann.“ Im Rahmen des im Juni 2015 mit einer Laufzeit von 30 Monaten gestarteten Projekts WISER werden zur Prüfung der Tools eine Reihe „früher Bewertungspiloten“ durchgeführt. Dies wird zu drei vollständigen Piloten führen, die auf die Bereiche Betrugserkennung, Energieverteilung und -nutzung sowie Energiebeschaffung ausgerichtet sind. Über die vollständigen Piloten werden die Methodologie und Modellierungs-Tools von WISER basierend auf realistischen Szenarios in Echtzeit validiert. Eines der von dem Konsortium bereits entwickelten und getesteten kostenlosen Online-Tools ist Cyber-WISER Light, welches sich aus zwei Teilen zusammensetzt: einem Fragebogen und einem Anfälligkeitstest. „Wenn wir mit KMUs sprechen, raten wir diesen, regelmäßig Selbstbewertungen durchzuführen, da sich die Bedrohungen in ihrer Art sowie mit der Zeit und Geographie ändern“, sagte Zazzeri. Das Tool sammelt über ein privates Netzwerk Informationen und erstellt basierend auf allgemeinen bewährten Verfahren für die Cybersicherheit einen Bericht. Daraufhin wird die Risikoexposition der Einrichtung beurteilt. Der nächste Schritt besteht darin, einen Anfälligkeitstest durchzuführen, der die Installation eines Tokens in dem Server der Einrichtung beinhaltet. „Benutzer müssen hierfür selbstverständlich über die Cyberberechtigung dieser Organisation verfügen, die Token-Operation ist allerdings nicht intrusiv – es handelt sich lediglich um ein Copy/Paste-Verfahren. Daraufhin wird anhand einer Bewertung der zehn wichtigsten Schwachstellen eine Übersicht zu der Anfälligkeit des Netzwerks erstellt”, stellte Zazzeri fest. Das nächste Projekt-Tool mit dem Namen Cyber-WISER Plus, das gegen Ende 2016 oder Anfang 2017 veröffentlicht werden soll, ist der Erkennung von Bedrohungen und Trojanischen Pferden gewidmet. Für größere Anwender wird das Forschungsteam zudem eine „Risk Platform as a Service“-Version (RPaaS) der Plattform entwickeln. Diese ist für wichtige Infrastrukturen und hochkomplexe Cybersysteme konzipiert, bei denen eine Überwachung von speziellen Reglern der IKT-Systeme erforderlich ist, um eine Manipulation der Regler zu verhindern. Die Verifizierungsverfahren werden auf verschlüsselten PKI-Funktionalitäten und -Komponenten (Public Key Infrastructure) basieren. Hierdurch wird geprüft, ob die Signatur bei der Übermittlung von Nachrichten in einem Netzwerk dem Zertifikat der Organisation entspricht, das jede Nachricht beinhaltet. Laut Zazzeri wird der Ansatz seines Projekts zur Adressierung und Bekämpfung von Cybersicherheitsbedrohungen und für eine kritische Informationsstruktur „auch Entscheidungsträger in öffentlichen und privaten Organisationen dazu befähigen, Cyberrisiken effektiver beurteilen zu können.“

Schlüsselbegriffe

WISER, Cybersicherheit, Bedrohung, Trojanisches Pferd, KMUs, privates Netzwerk, Risikoexposition, Anfälligkeit, Risikobewertungs-Tool