Verwundbarkeitsgetriebene Organisation von Messkriterien für IT-Sicherheitsbewertungen
Ansprechpatner:
Andreas Paul (andreas.paul(at)b-tu.de)
Motivation
Wie in vielen anderen Bereichen kommen in kritischen Infrastrukturen (wie Kraftwerken und Verteilnetze aus dem Bereich der Energieversorgung) zunehmend Technologien und Komponenten aus der klassischen IT zum Einsatz. Dies geht einher mit steigender Vernetzung der Systeme über öffentliche Netze sowie dem Einsatz bewährter Technologien (z. B. Ethernet) bis auf die untersten Automatisierungsebenen. Dementsprechend sind kritische Infrastrukturen mittlerweile ebenfalls anfällig für klassische IT-Gefährdungen und geraten zunehmend in den Fokus sicherheitsrelevanter Betrachtungen.
Eine entscheidende Voraussetzung für die gezielte Erhöhung der IT-Sicherheit einer konkreten Infrastruktur ist die „Messung“ des Ist-Zustands. Am RNKS-Lehrstuhl wird derzeit im Rahmen eines BMBF-Forschungsprojekts ein Prozess zur quantitativen Bewertung der IT-Sicherheit von industriellen Steuerungssystemen entwickelt. Grundlage hierfür ist die Bewertung der beteiligten IT-Komponenten auf Basis ihrer technischen Konfiguration (Betriebssystem, laufende Netzwerkdienste, etc). Diese Bewertung kann aufgrund stets neu aufkommender Sicherheitslücken nicht statisch erfolgen und muss bei der Bekanntgabe neuer Verwundbarkeiten entsprechend angepasst und erweitert werden.
Aufgabenbeschreibung
Im Rahmen dieser Abschlussarbeit sollen verschiedene Informationsquellen für Verwundbarkeiten hinsichtlich einer automatisierten Generierung und Pflege (Aktualisierung) einer Datenbank für Kriterien zur quantitativen IT-Sicherheitsbewertung evaluiert werden. Als mögliche zu betrachtende Informationsquellen können IT-Sicherheitsportale (z.B. [1]), CVE-Datenbanken [2] oder Bestandteile verschiedener Sicherheitswerkzeuge (z.B. Signaturbasis des IDS Snort [3] oder Plugin-Sammlung des Netzwerkscanners Nessus [4]) in Frage kommen. Nach Auswahl geeigneter Informationsquellen sollen diese in ein prototypisch zu implementierendes Werkzeug integriert werden, mit dem die Organisation und der gezielte Einsatz IT-sicherheitsrelevanter Kriterien zur quantitativen Sicherheitsbewertung ermöglicht wird.
Zusammenfassung
- Recherche möglicher Informationsquellen für Verwundbarkeiten
- Spezifikation von Bewertungs-/Evaluierungskriterien dieser Informationsquellen hinsichtlich einer automatisierten Generierung/Pflege einer Datenbank für Kriterien zur quantitativen IT-Sicherheitsbewertung
- Evaluierung ausgewählter Informationsquellen anhand der spezifizierten Kriterien
- Entwurf und prototypische Implementierung eines Werkzeugs zur Organisation und der gezielten Auswahl von relevanten Kriterien zur quantitativen IT-Sicherheitsbewertung
Sonstige Informationen
Das hier formulierte Thema entspricht dem Umfang einer Masterarbeit. Der Umfang der Aufgaben kann ggf. an eine Bachelorarbeit angepasst werden.