Ansprechpartner:
Andreas Paul (andreas.paul(at)b-tu.de)

Aufgrund des zunehmenden Einsatzes von Technologien und Komponenten aus der klassischen IT geraten kritische Infrastrukturen zunehmend in den Fokus IT-sicherheitsrelevanter Betrachtungen. Aus Sicht von Betreibern wie Energieerzeugern und Netzbetreibern existieren bereits eine Reihe von externen und internen Richtlinien hinsichtlich der IT-Sicherheit in technischen Anlagen, die nach einer regelmäßigen Evaluierung der aktuellen IT-Sicherheit verlangen. Ein konkretes Vorgehen, wie der Ist-Zustand der IT-Sicherheit einer Infrastruktur im Detail gemessen werden soll, existiert jedoch nicht.

Daher wird derzeit am Lehrstuhl in einem Verbundprojekt ein Bewertungsverfahren entwickelt, in dem gegebene, mitunter sehr abstrakte Anforderungen auf konkret messbare, vorrangig technische Kriterien abgebildet werden, die auf Komponentenebene messbar sind. Die Messung dieser Kriterien soll möglichst automatisiert erfolgen, damit der manuelle Aufwand bei der Durchführung des Prozesses für komplexe Infrastrukturen praktikabel ist.

Dem Bewertungsverfahren liegt ein in Zusammenarbeit mit Betreibern ausgearbeiteter Kriterienkatalog zugrunde. Im Rahmen der Arbeit sollen Verfahren zur automatischen Messung dieser Kriterien entwickelt werden. Dazu sollen sicherheitsrelevante Parameter von Rechnern mithilfe von netz- und hostbasierter Verfahren möglichst automatisiert erfasst und ausgewertet werden. Die dazu notwendigen Tätigkeiten ähneln zum großen Teil denen eines Angreifers bzw. Penetrationstesters während der Informationsbeschaffungsphase.

• Erweiterung des Katalogs um aktuelle Verwundbarkeiten
• Ableitung und Diskussion von Verfahren zur Messung der Katalogkriterien und Verwundbarkeiten
  • Machbarkeit: netzbasiert, hostbasiert, nicht automatisierbar
  • Invasivität
  • Quantifizierbarkeit des Messergebnisses
• Implementierung der machbaren Verfahren
  • Prämisse: minimal invasiv & möglichst netzbasiert
  • Konfigurierbarkeit der durchgeführten Verfahren
  • Bereitstellung des Messergebnisses in automatisiert weiterverarbeitbarer Form
• Evaluation anhand verschiedener Rechnersysteme (ähnlich real eingesetzter Komponenten)

Die hier vorgestellte Aufgabe entspricht dem Umfang einer Masterarbeit.