6. SIMU-Projektmeeting bei der HS Hannover im Zeichen der Prototyp-Entwicklung

Am 10. Dezember fand bei der Hochschule Hannover das sechste SIMU-Projektmeeting statt. Alle Partner präsentierten ihre aktuellen Entwicklungsergebnisse, die bereits mit Fortschritten glänzten. Das Meeting, durch das der Konsortialführer DECOIT GmbH führte, zeigte, dass der Projektplan zeitlich nach wie vor gut eingehalten wird. Besonders der Abschluss der konzeptionellen Phase mit ersten prototypischen Realisierungen stand dieses Mal im Vordergrund sowie zukünftige Hersteller-Workshops und Messen/Konferenzen.

An den SIEM-Arbeiten des Forschungsprojektes bekundeten inzwischen weitere Hersteller ihr Interesse. So wurden auf der einen Seite unterschiedliche SIEM-Lösungen von der DECOIT GmbH getestet, um auf der anderen Seite entsprechende Kooperationen zu initiieren. Als neuer Kooperationspartner konnte die TELCO TECH aus Berlin für das Projekt gewonnen werden. Diese kooperierte bereits vorher mit der DECOIT GmbH, so dass eine enge Zusammenarbeit zu erwarten ist.

Die Entwicklung der SIEM-Kollektoren im Projekt ist bereits weit fortgeschritten. So können die IF-MAP-Clients der DECOIT GmbH und der Hochschule Hannover schon verwendet werden. Zusätzlich wird die DECOIT GmbH mit der Entwicklung eines Android-Clients beginnen, der sowohl IF-MAP, als auch Icinga unterstützen wird. Dadurch können Events auch vom Smartphone einbezogen werden. Neu ist auch die Entwicklung eines File Integrity Check (FIC), der Dateien und Ordner auf Modifikationen hin untersucht. Dieser Prototyp muss allerdings noch um eine IF-MAP-Schnittstelle ergänzt werden. Die SIEM-GUI wurde ebenfalls zum ersten Mal präsentiert: Der Prototyp, der eng mit einem Ticketsystem zusammenarbeitet, konnte live gezeigt werden. Auch die Arbeiten an der Pattern Matching Engine verzeichneten Fortschritte, wenn auch noch nicht alle offene Punkte geklärt sind. Dies gilt ebenso für die grafische Darstellung der Kommunikationsbeziehungen, die durch VisITMeta vorgenommen werden.

Blick auf den Expo Plaza Hannover vom Gebäude der Hochschule Hannover
Blick auf den Expo Plaza Hannover vom Gebäude der Hochschule Hannover

Die nächsten Entwicklungsschritte beinhalten die Installation der unterschiedlichen Prototypen auf einem Testbed und die Schnittstellenkommunikation. So wird es zukünftig einen CBOR-Proxy von Fraunhofer SIT geben, der die IF-MAP-Kommunikation schlank halten wird. Dafür müssen allerdings leichte Anpassungen an den IF-MAP-Clients vorgenommen werden. Auch die IO-Tool-Integration wird noch einige Arbeiten beinhalten. Ein beispielhafter Use Case wurde aber während des Meetings bereits von Fraunhofer SIT vorgeführt und das Datenmodell vorgestellt. Die Partner NCP und macmon secure arbeiten weiterhin an der IF-MAP-Erweiterung ihrer VPN-/NAC-Lösungen.

Abschließend wurde an einem generischen Use Case gearbeitet, der alle Komponenten der Partner beinhalten wird. Dadurch lässt sich das Zusammenspiel der Sicherheitskomponenten am besten testen, bewerten und weiter verbessern. So können reale Angriffe definiert und erkannt werden. Ziel ist die Vorstellung erster Ergebnisse auf der RSA-Konferenz in den USA im April 2015.

Zurück