DECOIT erhält "Best Paper Award" auf der IDAACS' 2017
Die internationale IDAACS-Konferenz findet bereits seit 2001 alle zwei Jahre statt. Unter der Überschrift „Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications” werden dabei unterschiedliche IT-Themen vorgestellt und diskutiert. Die DECOIT® GmbH ist hier seit geraumer Zeit regelmäßig mit Forschungsthemen vertreten. Dieses Jahr wurden zwischen dem 21.-23. September gleich zwei Projekte vorgestellt: das Industrieprojekt DRIVE mit Huawei und das ZIM-Projekt CLEARER. Während das CLEARER-Projekt großen Zuspruch bekam, wurde DRIVE sogar mit dem „Best Paper Award“ ausgezeichnet.
Die IDAACS fand in diesem Jahr in Bukarest (Rumänien) an der dortigen Universität bzw. Polytechnikum statt. Bei der Eröffnungssession wurde dabei betont, wie wichtig diese Wissenschaftskonferenz für die gute Kooperation zwischen Ost- und West-Europa ist. Bereits die neunte IDAACS-Konferenz wurde eröffnet, die große Schwerpunkte auf Internet of Things (IoT), Embedded Devices sowie Cyber Security setzte. In der Key Note Session von Prof. Kay Uwe Römer wurde dann auch über das Thema IoT referiert, welches sicherheitskritische Anwendungen beinhaltet. Dabei muss auch die Performance garantiert werden, um Sensoren und Aktuatoren immer erreichen zu können. Hierbei sind Belastungen durch erhöhte Temperaturen oder Interferenzen bei Funkanbindungen mit zu berücksichtigen, da es aufgrund normaler Umwelteinflüsse (Regen, Sonnenschein) zu Ausfällen kommen kann. CSMA-basierte MAC-Protokolle (z.B. ContikiMAC) benötigen aber einen möglichst verlustfreien Kanal, der bei höheren Temperaturen oftmals fehlschlägt. Daher müssen robustere Protokolle entwickelt werden, die auch temporäre Ausfälle der Verbindung „wegstecken“ können. Als Beispiel wurde ein intelligentes Parksystem in Barcelona gezeigt, welches als Testbed im Projekt Dependable Things (www.dependablethings.tugraz.at) zum Einsatz kam. IoT-Anwendungen sind heute allgegenwärtig, aber bestehende Geschäftsmodelle könnten versagen. Attacken und Außeneinflüsse wie Temperatur und Interferenzen können starke Auswirkungen auf IoT-Umgebungen haben. Daher gibt es einen Bedarf nach garantierter Performance!
Vorstellung des Projektes DRIVE (Dynamic Runtime Integrity Verification and Evaluation)
In der anschließenden Nachfolge-Session stellte Prof. Kai-Oliver Detken als erstes das Kooperationsprojekt DRIVE (Dynamic Runtime Integrity Verification and Evaluation) zwischen Huawei Technologies und der DECOIT® GmbH vor. Das DRIVE-Projekt beinhaltete die Entwicklung dynamischer Integrationsmessungen innerhalb von Linux-Systemen. Dafür wurde ein TPM-Chip in der Version 1.2 und 2.0 verwendet und für einen Demonstrator umgesetzt. So können auch Systeme, wie z.B. Router, auf Integrität analysiert werden, die nicht kontinuierlich neu gestartet werden. Dies betrifft auch Embedded Systeme, die im Internet-of-Things (IoT) Umfeld zum Einsatz kommen. DRIVE besteht aus drei Kernkomponenten, die das Messen des Kernelmoduls, die Referenzwertgenerierung und die Verifikation beinhalten. Aufgrund der Erfahrung der DECOIT® GmbH aus vorherigen Forschungsprojekten (u.a. VOGUE, ESUKOM, SIMU) konnte diese Entwicklungsarbeit im Trusted-Computing-Umfeld erfolgreich geleistet und bereits auf dem TCG Members Meeting im Juli präsentiert werden. Auch der Session-Leiter fand den Ansatz von DRIVE interessant, der ein Framework enthielt, um Messungen, Referenzwerterfassung und Verifikation zur Integritätserkennung umzusetzen. Dadurch können Hacker abgewehrt werden, die sich auf aktive Prozesse während der Laufzeit spezialisiert haben. Als interessante Fragen wurden gestellt, ob sich das System auf die Performance auswirkt und wo die Forschungsergebnisse verwendet werden. Das DRIVE-Paper wurde mit dem „Best Paper Award“ für verschiedene Themen-Schwerpunkte, u.a. Cyber-Security, ausgezeichnet.
In weiteren IoT-Vorträgen wurde ein enormes Wachstum vorausgesagt. So meint Cisco Systems, dass bis 2019 ca. 24 Milliarden Internet-verbundene Systeme vorhanden sein werden. Huawei geht des Weiteren davon aus, dass bis 2025 ca. 100 Milliarden IoT-Komponenten existieren werden. Bereits heute gibt es ca. 7,5 Milliarden IP-Kameras und 4 Milliarden Router weltweit. Eine sichere Datenübertragung zwischen existierenden IoT-Systemen ist allerdings oftmals nicht vorgesehen. Dies liegt u.a. auch an den limitierten System-Ressourcen. Hinzu kommen der Energiebedarf und die Kosten, die solche Lösungen ausbremsen.
In einer zweiten Keynote von Dan Cristea wurde das Projekt E-READ (http://ereadcost.eu/users/dan-cristea/) vorgestellt, welches auf elektronische Medien abzielt. Herr Cristea stellte die kontroverse Frage, wie es wäre, wenn man die virtuelle Welt mehr mit der realen Umgebung in Verbindung bringen würde. Google oder Apple wissen heute über die Smartphones, wo man sich befindet. Auch entsprechende Metainformationen sind vorhanden. Damit könnte man eine Brücke zur realen Welt schlagen, besonders, wenn man die Informationen, wo sich Personen befinden, mit denen der Ortsangaben verlinkt. Speziell die Verlinkung von Lesern wurde dargestellt, die auf elektronische Bücher zurückgreifen, wodurch man auch einiges über die Leser selbst herausfinden kann. Dies kann zur Augmented Reality führen, indem man sein Smartphone in die Umgebung hält und u.a. sehen kann, welche Hotels in der Nähe existieren. Allerdings fehlte bei diesem Ansatz der Datenschutzaspekt völlig, da eine solche Analysesoftware letztendlich den gläsernen Menschen schaffen könnte. Bereits Watson von IBM ist heute in der Lage Texte zu analysieren, um im Versicherungsumfeld herauszufinden, ob der Schreiber ungehalten war oder einen Schaden vortäuschen will. Diese Technik kann zukünftig noch in ganz anderem Ausmaß zum Einsatz kommen, wenn keine Richtwerte vorgegeben werden.
Vorstellung des Projektes CLEARER
Bei der Vorstellung des CLEARER-Projektes (www.clearer-project.de) vom BMWi (ZIM) im „Special Stream in Cyber Security“ wurde von Prof. Kai-Oliver Detken von der DECOIT® GmbH angemerkt, dass heutige Sicherheitslösungen nicht ausreichend gut zusammenarbeiten, da Hersteller nicht an übergreifenden Lösungen interessiert sind. Auch eine gemeinsame Datenbasis existiert nicht. Daher stellen NAC-Systeme bisher eine Zugangskontrolle für Teilnehmer und Endgeräte dar, die sich fast schon etabliert hat (jedenfalls in größeren Unternehmen). Allerdings erkennt ein NAC-System nicht den IT-Sicherheitsstatus eines Unternehmens. Daher will das CLEARER-Projekt bestehende NAC-Systeme um SIEM-Funktionalität erweitern. Dies soll auf Open-Source-Basis geschehen, um speziell KMU eine Lösung anbieten zu können. Wie dies bei dem NAC-System von macmon secure umgesetzt werden kann, wurde exemplarisch vorgestellt. Die Projektergebnisse erzielten eine hohe Aufmerksamkeit. Viele Fragen wurden gestellt und der Vortrag war sehr gut besucht.
Die effektive Priorisierung von Vorfällen war in der gleichen Session ein Thema der Hochschule Hannover von Leonard Renners. Hierfür wurden zuerst SIEM-Hersteller befragt, was die wichtigsten Merkmale für sie sind. Dabei war ein wichtiger Anwendungsfall, dass Meldungen klarer priorisiert werden sollten und die Handhabung deutlich besser werden muss, damit kein IT-Sicherheitsexperte für die Behebung notwendig ist. Vorfälle sollten daher besser nach ihrer Wichtigkeit priorisiert werden, um die IT-Administratoren nicht zu überfordern. Denn zu viele Meldungen führen dazu, dass letztendlich keine Vorfälle untersucht werden. Auch die Fragestellung, ob sich neue Regeln anhand des Verhaltens in der Vergangenheit bilden lassen, wurde untersucht. Die Evaluierung wurde u.a. mit QRadar von IBM und Synthetic Dataset, basierend auf HP ArcSight, durchgeführt. Als Lösung wurde vorgeschlagen, dass ein Schwachstellentool eingebracht werden sollte, welches die Vorfälle auf die wesentlichen reduziert. Dabei sollte ein Regel-basiertes Modell verwendet werden, das aus dem Verhalten in der Vergangenheit lernt.
Aber auch im IoT-Umfeld müssen Events klarer differenziert werden, damit es nicht zu viele „False Positives“ gibt, die wiederum Expertenwissen erfordern. Dafür wurde ein neuer Algorithmus IDS-Lösungen in Bulgarien entwickelt, wie Martin Pamukov berichtete. Trotzdem war die Erkennungsrate immer noch nicht gut genug und erfordert noch Expertenwissen. Das Optimieren der Detektoren und ihre Einflüsse auf die Detektionsrate ist daher zukünftig ein interessantes Gebiet. IoT kann auch als Kombination unterschiedlicher bestehender Netze gesehen werden. Die Kommunikationen zwischen IoT-Endknoten ist aber meistens unverschlüsselt, speziell, wenn auch noch verschiedene Netze einbezogen werden. Dies liegt daran, dass zu viele physikalische Objekte auf einmal Internet-fähig werden. Daher referierte Prof. Muhammad Adeel Pasha darüber, dass eine Verschlüsselungslösung entwickelt wurde, die mit physikalischen oder Hardware-Aspekten arbeitet. Es wurden dazu RFID-Tags verwendet. Die Hardware-Implementierung sollte dabei universell und unabhängig von der Hard- und Software eingesetzt werden können. Die Hardware-Implementierung wurde vorgenommen und die Software-Implementierung setzt die Verschlüsselung um. Dadurch wird das Beste aus beiden Welten verwendet, um eine hohe Performance bei der Verschlüsselung zu erreichen.
In der Wireless Session wurde ein Projekt der Fachhochschule Dortmund von Prof. Uwe Grossmann vorgestellt. Das u.a. aus dem demografischen Wandel resultierende Problem mangelnder Pflegekräfte wurde hier versucht technisch zu lösen. In dem Projekt Smart Service Power (SSP) sollen ältere Leute weiter zu Hause zu betreut werden. Dies wird durch Sensortechnik und technische Notfallsysteme versucht zu erreichen. Dabei entstehen auch Patientendaten, die für andere Unternehmen (wie Versicherungen) interessant sein könnten. Es wurden daher verschiedene Geschäftsmodelle zwischen den Ärzten, Versicherungen und Krankenkassen analysiert. Dies war Hauptziel des Projekts, damit nach Projektende die Ergebnisse entsprechend verwertet werden.
In dem VTENN-Projektvortrag von Prof. Axel Sikora von der Hochschule Offenburg, ging es hingegen mehr um Industrie 4.0. Hier wurden Simulation, Virtualisierung und Emulation durchgeführt, um das Verhalten eines Netzwerks zu analysieren. Das Protokoll Virtual Test Environment for Networking Nodes (VTENN) wurde dabei im Linux-Umfeld auf einem einzelnen Host getestet. Die Virtualisierung war bei der Nutzung von Testplattformen sehr hilfreich. Dieses Projekt ist näher an der realen Welt bzw. Hardware dran, als andere Lösungen.
Im Vortrag der Hochschule Hannover von Bastian Hellmann ging es um das Entwerfen eines Frameworks zur Datenzusammenfassung und Integration. Integraler Bestandteil ist dabei die Event-Analyse und plausible Verifikation zum Erkennen von Veränderungen an Netzwerkkomponenten. Die Integration des Frameworks in ein reales Netzwerk war dabei das Hauptziel. Dazu wurde die Schaffung einer gemeinsamen Datenbank für alle verfügbaren Informationen des Netzwerks vorangetrieben. Anschließend fand eine Homogenisierung der Daten statt, um sie miteinander korrelieren zu können. Die Visualisierung wurde durch VisITMeta (siehe auch github.com/trustathsh) basierend auf IF-MAP entwickelt. Die Skalierbarkeit ist dadurch aber immer noch nicht zufriedenstellend gelöst worden. VisITMeta wird in einem Teilbereich auch im CLEARER-Projekt der DECOIT® GmbH verwendet.
Eine Sicherheitsarchitektur für IoT wurde von Prof. Robert Hiromoto von der Universität Idaho vorgestellt. Dabei stellte er fest, dass man erst einmal das normale Verhalten kennen muss, damit man Anomalien erkennen kann. Eine Hardware-Sicherheit ist ebenfalls absolut notwendig. So wird meistens ein Spagat zwischen Handhabung und Sicherheit durchgeführt. Beides im hohen Maße zu erreichen, ist kaum machbar. Maschinen-basiertes Lernen ist zwar eine Möglichkeit, um normales und abnormales Verhalten in einem IoT-Umfeld kennenzulernen. Aber was ist wirklich „normal“? Kann nicht auch eine Attacke ein normales Verhalten widerspiegeln? Man sollte daher erst einmal versuchen die Abläufe und Prozesse einer IoT-Umgebung im Detail zu verstehen. Daher wurden Learning-Techniken entwickelt, um mögliche Attacken zu finden und zu isolieren. Damit ließen sich 91,83% des Datenverkehrs in einer Private Cloud klassifizieren. Eine absolute Lösung wurde aber bisher noch nicht gefunden.
Gerhard Hansch vom Fraunhofer AISEC stellte eine Fragestellung des IUNO-Projekts vor. Im Automobilumfeld gibt es viele sensitive Geräte und Prozessflüsse sowie geringe Bandbreite und Speichervolumen. Ein Paket Capture kann nur durch Port Mirroring durchgeführt werden, da das Monitoring keinen Einfluss auf den bestehenden Datenfluss haben darf. Als Lösung wurden bestehende Felder des IP-Protokollkopfs ausgenutzt, um keine zusätzlichen Pakete schicken zu müssen. Tests wurden bei Bussystemen wie MODBUS, ICS/SCADA etc. erfolgreich durchgeführt. Damit erhält man eine gute Basis zur Anomalie-Erkennung und für Intrusion Detection.
In der Abschluss-Session wurden die Orte für die nächsten IDAACS-Veranstaltungen bekannt gegeben. So wird die nächste IDAACS-Wireless 2018 in der West-Ukraine stattfinden, während die IDAACS-Konferenz 2019 in Metz (Frankreich) geplant ist. Es geht also weiter mit der IDAACS-Geschichte, die auch neue Programm-Komitee-Mitglieder bekanntgab. Dieses Jahr nahmen ca. 100 Teilnehmer an der Konferenz teil, so dass sie auch dieses Mal gut besucht war. Von den eingereichten Vorschlägen wurden 65 % zugelassen, was für die Qualität der Veranstaltung spricht. Abschließend wurden die Paper Awards vergeben. Dieses Jahr ging auch ein Award an die DECOIT®: Das von der DECOIT® und Huawei Technologies verfasste DRIVE-Paper wurde mit dem „Best Paper Award“ für verschiedene Themen-Schwerpunkte, u.a. Cyber-Security, ausgezeichnet. Entsprechend stolz nahm Prof. Kai-Oliver Detken den Preis entgegen.
Wie jedes Jahr war die Teilnahme an der IDAACS-Konferenz eine Bereicherung. Die Krönung war dieses Jahr natürlich die entgegengenommene Auszeichnung "Best Paper Award". Unsere Konferenzbeiträge stehen Ihnen wie gewohnt in unserem Download-Center kostenlos zur Verfügung.