Industrie und Verkehr vor Cyber-Angriffen schützen

Karlsruhe (ab) – Das Kompetenzzentrum KASTEL forscht seit zehn Jahren zur IT-Sicherheit – Interview mit Prof. Jörn Müller-Quade, dem Sprecher der Einrichtung.

Prof. Dr. Jörn Müller-Quade, Sprecher des Kompetenzzentrums KASTEL. Foto: KIT

© KIT

Prof. Dr. Jörn Müller-Quade, Sprecher des Kompetenzzentrums KASTEL. Foto: KIT

Die zunehmende Digitalisierung der Gesellschaft und die technologische Vernetzung von immer mehr Lebensbereichen bringt neue Gefahren mit sich – für den Einzelnen und seine Privatsphäre sowie für die Industrie und die Gesellschaft als Ganzes. Seit zehn Jahren forscht das Kompetenzzentrum für Angewandte Sicherheitstechnologie (KASTEL), angesiedelt am Karlsruher Institut für Technologie, zur IT-Sicherheit. Prof. Dr. Jörn Müller-Quade ist Sprecher der Einrichtung; zugleich leitet der Informatiker die Arbeitsgruppe Kryptographie und Sicherheit am neu gegründeten Institut für Informationssicherheit und Verlässlichkeit und ist Direktoriumsmitglied am FZI Forschungszentrum Informatik. Mit Müller-Quade hat BT-Redakteur Armin Broß gesprochen.

BT: Herr Prof. Müller-Quade, können Sie zunächst einen kleinen Rückblick geben: Was waren bisherige Schwerpunkte bei KASTEL?
Jörn Müller-Quade: Wichtig war uns ein ganzheitlicher Ansatz zur IT-Sicherheit. So waren von Anfang an auch Juristen dabei, um beispielsweise privatsphärenschonende Techniken beurteilen zu können. Ein Erfolg war NurseEye (zu deutsch: Krankenschwester-Auge) – ein digitales, videobasiertes System, mit dem man Stürze von Patienten im Krankenhaus oder Pflegeheim erkennen und Personal alarmieren kann, ohne dass dabei Kameras die Privatsphäre der Patienten verletzen.

BT: Können Sie noch einen Erfolg der bisherigen Forschung nennen?
Müller-Quade: Ein anderes Beispiel ist Blurry Box – ein Softwareschutz für die Fabrik der Zukunft. Diese Fabrik muss flexibel sein, um sehr geringe Stückzahlen produzieren zu können. Und hier ist das Betriebsgeheimnis nicht mehr ein hinter Werkstoren verschlossener Maschinenpark, sondern ein Stück Software, das die Fabrik regelt. Blurry Box war ein Schutz, der als erster das sogenannte Kerckhoffs’sche Prinzip berücksichtigte – dabei sagt man im Grunde genommen dem Angreifer, wie der Schutzmechanismus funktioniert, und trotzdem ist es für ihn sehr schwierig, das Verfahren zu knacken. Dafür gab es sogar einen deutschen IT-Sicherheitspreis.

BT: Welche Forschungsschwerpunkte sind für die Zukunft vorgesehen?
Müller-Quade: Es gibt drei Anwendungsgebiete als künftige Schwerpunkte: Eines befasst sich mit den Energiesystemen der Zukunft. Diese müssen intelligent sein, um mit den ständig wechselnden Bedingungen der erneuerbaren Energien zurechtzukommen – dadurch werden sie aber auch anfällig für Cyberangriffe. Wie diese Netze geschützt werden können, ist eine der Fragen, die wir uns stellen.
Zweiter Schwerpunkt ist die IT-Sicherheit für die Mobilität der Zukunft: Wir glauben, dass in der Zukunft der Verkehr viel stärker geplant und analysiert werden wird, damit es besser funktioniert – also mehr Intelligenz statt mehr Straßen. Diese zusätzliche Intelligenz lässt sich natürlich auch wieder angreifen, weshalb die intelligenten Mobilitätssysteme der Zukunft besonders geschützt werden müssen.
Der dritte Schwerpunkt liegt auf den Produktionsanlagen der Zukunft, der sogenannten Industrie 4.0. Maschinen, die früher gewissermaßen alleine vor sich hin produziert haben, sind nun vernetzt und kooperieren – und werden dadurch angreifbar. Das ist besonders heikel, da unsere Wirtschaft von funktionierenden Produktionsanlagen abhängig ist. Wir müssen also zum einen verhindern, dass Anlagen ausspioniert werden, und zum anderen, dass sie sabotiert werden, um unserer Wirtschaft zu schaden.

BT: Ist es auch ein Ziel, mit industriellen Partnern zusammenzuarbeiten?
Müller-Quade: Ja. Letztlich ist es so: Wir werden aus Steuergeldern bezahlt, und es ist unsere Aufgabe, für die Sicherheit unserer Gesellschaft etwas zu bewirken. Und da gehört es dazu, dass wir uns mit Industriepartnern zusammentun, um die Sicherheit von Produkten zu verbessern.

BT: Vielleicht noch einmal zurück zum Verkehrssektor: Spielt das Thema Autonomes Fahren auch eine Rolle für die IT-Sicherheit?
Müller-Quade: Ja. Beim autonomen Fahren muss das Auto geschützt werden, weil es ja beispielsweise – wenn es gehackt würde – Unfälle verursachen oder sogar Menschen entführen könnte.
Aber wir haben eben auch die Verkehrsplanung insgesamt im Blick. Das beste Routing bekämen Sie ja, wenn Sie von jedem Einzelnen wüssten, wann er wohin fahren will – und das wiederum ist für die Privatsphäre ganz schlecht. Deshalb brauchen wir sichere Berechnungen, kryptographische Verfahren, um mit privaten Daten etwas ausrechnen zu können, ohne diese privaten Daten preisgeben zu müssen.
Dass das überhaupt geht, ist für mich immer noch wie ein kleines Wunder – aber es geht. Die normale Vorstellung der Menschen, dass man Daten nur schützen kann, indem man sie für sich behält, ist nicht ganz richtig.

BT: Neue Technologien ermöglichen zugleich immer mehr digitale Überwachung. Ist der sprichwörtliche gläserne Bürger auch ein Thema bei Ihren Forschungen?
Müller-Quade: Ja. Das ist allerdings ein sehr heikles Thema. Ein Beispiel: Nehmen wir einmal an, wir hätten das absolut anonyme digitale Geld. Dann könnte man einerseits frohlocken und sagen: Das ersetzt nicht nur unser Bargeld, sondern ist sogar noch besser – weil anonymer und schneller und effizienter. Aber andererseits hätte man eine ideale Voraussetzung geschaffen beispielsweise für Erpressungen – das Risiko, bei der Geldübergabe erwischt zu werden, wäre überhaupt nicht mehr vorhanden.
Dieses Spannungsfeld zwischen dem Schutz der Bürger einerseits und der Möglichkeit des Missbrauchs ist ganz schwierig. Solche gesellschaftlichen Themen spielen für uns eine große Rolle.

BT: Die Frage ist aber dennoch: Wie verhindert man den gläsernen Bürger? Fakt ist ja: Wenn man mit Bargeld zahlt, ist das relativ anonym, wenn man mit Karte oder Smartphone zahlt, eben nicht.
Müller-Quade: Bezahlverfahren, die näher am Bargeld sind als die ständig überwachten Methoden mit Kreditkarte oder Handy, sind bei uns Gegenstand der Forschung. Das Verhindern des gläsernen Bürgers ist ein wichtiges Thema. Leider ist vielen Bürgern gar nicht richtig klar, wie durchsichtig wir werden, wenn man alle unsere Transaktionen verfolgen und analysieren kann. Deshalb ist ein privatsphärenschonendes Bezahlverfahren sehr wichtig, insbesondere wenn Bargeld immer seltener wird.

BT: Politisch motivierte Cyberangriffe haben in den vergangenen Jahren immer wieder für Schlagzeilen gesorgt. Ist das ein Aspekt, der die Forschung am KASTEL beschäftigt?
Müller-Quade: Wir befassen uns beispielsweise mit dem Thema Fake News – wie kann man sie erkennen und verhindern. Aber generell betrachten wir Sicherheitsmechanismen meistens unabhängig davon, welche Motivation der Angreifer hat. Wenn Sie Daten verschlüsseln, tun Sie es auf die gleiche Art und Weise, egal, ob jemand aus politischen Gründen lauschen oder ob er Sie betrügen will.

BT: Aber ein politischer Angriff, hinter dem ein großer Staat steckt, kann ganz andere Ressourcen mobilisieren...
Müller-Quade: Da haben Sie Recht. Deshalb betrachten wir auch, welche „Kosten“ ein Angreifer hat beziehungsweise welche er aufbringen kann. Und da sind sogenannte Statelevel Attacker, die ganze Staaten als Ressourcen haben, die allergefährlichsten. Weil man sich bei so mächtigen Gegnern sehr weitreichende Angriffe vorstellen kann, wie sie durch die Snowden-Enthüllungen offenbar wurden.

BT: Da kommt die IT-Sicherheitsforschung an die Grenzen, oder?
Müller-Quade: Da kommen alle an ihre Grenzen. Es ist so: Wenn Sie ein Geheimnis bewahren wollen, obwohl Sie es mit Statelevel-Angreifern zu tun haben, können Sie Ihren elektronischen Geräten nicht mehr vertrauen – denn die Hersteller beziehungsweise Softwareproduzenten könnten unter Umständen gezwungen sein, mit dem Staat zusammenzuarbeiten. Unter so extremen Umständen könnte es sein, dass sie für geschützte Gespräche wieder den sprichwörtlichen Waldspaziergang machen sollten.
In diesem Zusammenhang noch ein wichtiges Thema, das uns am KASTEL beschäftigt: Es gibt Angreifer, gegen die ein Schutz unheimlich schwierig ist, während gegen andere schon eine geringere Maßnahme völlig ausreichen kann. Leider ist es in der IT-Sicherheit zumeist üblich, nur zwischen sicher und unsicher zu unterscheiden. Wir wollen eine Quantifizierbarkeit von Sicherheit hinbekommen, die zwischen sicher und unsicher das ganze Spektrum betrachtet und bewertet – unter anderem über die „Kosten“ des Angriffs. Letztlich wollen wir Kennzahlen finden, die es uns erlauben, das Risiko zu beurteilen, das man eingeht.

Zum Thema: KASTEL

Das Kompetenzzentrum für Angewandte Sicherheitstechnologie (KASTEL) wurde im Februar 2011 auf Initiative des Bundesministeriums für Bildung und Forschung gegründet. Es ist eines von drei nationalen Kompetenzzentren für Cybersicherheit. KASTEL wird getragen von den Partnern Karlsruher Institut für Technologie (KIT), Fraunhofer Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) und dem FZI Forschungszentrum Informatik. Die Einrichtung wurde vor Kurzem verstetigt und dauerhaft gefördert. Zusätzlich wurde ein neues Institut für Informationssicherheit und Verlässlichkeit am KIT gegründet. In KASTEL arbeiten Experten für Software, Netzwerke, Kryptographie, Energieinformatik, Jura, Wirtschaftswissenschaften und Soziologie zusammen. (ab)

Ihr Autor

BT-Redakteur Armin Broß

Zum Artikel

Erstellt:
22. März 2021, 05:30 Uhr
Lesedauer:
ca. 5min 07sec

Artikel empfehlen

Artikel Aktionen

Orte


Kommentare können für diesen Artikel nicht mehr erfasst werden.