Am 19. November 2018 trafen sich in Bremen bei der DECOIT^® GmbH die Partner des Forschungsprojektes ScanBox (www.scanbox-project.de) zum zweiten Mal, um den Projektfortschritt, offene Aufgaben und die zukünftige Entwicklung abzustimmen. ScanBox hat sich aus dem Kooperationsprojekt DiSiNet (www.disi-net.de) heraus entwickelt, einem Netzwerk von Firmen und Hochschuleinrichtungen zur Absicherung von Kritischen Infrastrukturen (KRITIS). Projektziel ist die Entwicklung einer Appliance zur Dokumentation und Evaluation des Sicherheitsniveaus in KMU. Die DECOIT^® leitet das ScanBox-Projekt und lud zum zweiten Konsortialtreffen nach Bremen ein.

Das Projekt ScanBox ist im Juli aufgrund der etwas verspäteten Bewilligung des Forschungsantrags gestartet und liegt dadurch etwas verzögert im Zeitplan. Trotzdem wurde seit der Kick-off-Veranstaltung bereits einiges erreicht. So ist sehr schnell die Webseite des Projektes federführend von der DECOIT^® GmbH mit Hilfe der Partner umgesetzt worden. Hierüber wird kontinuierlich der Projektfortschritt kommuniziert werden. Des Weiteren wurde ein Arbeitsworkshop mit dem assoziierten Partner hanseWasser GmbH abgehalten, der die Anforderungen für das Projekt anhand der vorhandenen Infrastruktur und BSI-Richtlinien festgelegt hat. Da hanseWasser zu den KRITIS-Unternehmen gehört und inzwischen ein BSI-Zertifikat besitzt, können diese Anforderungen sehr gut als Basis für die zukünftige Entwicklung bzw. den Aufbau einer Sicherheitsarchitektur verwendet werden. Daraus ließen sich auch Use-Case-Szenarien ableiten, die während des Treffens mit allen Partnern diskutiert wurden. Hier muss noch entscheiden werden, welche Leistungsmerkmale innerhalb des Projektes umgesetzt werden können und welche evtl. erst später zum Tragen kommen.

Daneben hat es einen weiteren Workshop mit dem Partner und Firewall-Hersteller TELCO TECH GmbH gegeben, um die Hardware-Spezifikation des zukünftigen Prototyps abstimmen zu können. Dafür wurde eine LiSS 3000 der DECOIT^® GmbH zur Verfügung gestellt, die entsprechend auf Performance, Skalierbarkeit und Betriebssystem-Kompatibilität getestet werden soll. Parallel wurden die Arbeiten an der SIEM-GUI+ Oberfläche der DECOIT^® weitergeführt und auf die LiSS-Plattform installiert. Hier muss zukünftig noch eine Abstimmung zwischen der Hard- und Software erfolgen, um einen gemeinsamen Prototyp umsetzen zu können. In diesem Zusammenhang wurde auch die auftretende Datenmenge bei selbstständigen Scan-Prozessen diskutiert. Diese könnten die genutzte Hardware überfordern, weshalb externer Speicher notwendig werden könnte. Dieser Speicher sollte sich allerdings immer innerhalb des Unternehmensnetzes befinden, aus Performance- und Datenschutzgründen, wie auch hanseWasser bestätigte. Eine weitere zentrale Frage war, wie unterschiedliche Netzsegmente berücksichtigt werden können, um Netzwerkverkehr global analysieren zu können. Hier war man sich ebenfalls einig, da hierfür auch die Infrastruktur entsprechend angepasst werden müsste (z. B. durch Aktivierung des Mirroring-Ports an den Switches). Deshalb würde eine Festlegung auf bestimmte Use-Case-Szenarien helfen. 

Die Hochschule Brandenburg untersuchte innerhalb des Projektes die zur Verfügung stehenden Schwachstelleninformationen auf Basis von CVE, CPE und CVSS-Datenbank. CVE ist beispielsweise ein Verzeichnis für die Hersteller, um neue Schwachstellen bekannt zu machen. Über 100.000 Einträge sind bereits enthalten, die auch kurz beschrieben werden. Die CVSS-Datenbank kann anschließend zur Bewertung der Schwachstellen herangezogen werden. Die NIST-Organisation vereinigt alle diese Informationen und bietet auch teilweise Lösungen dazu an. Zusätzlich hat man sich mit dem SIEM-Markt beschäftigt und diesen bewertet. Dabei gibt es führende SIEM-Hersteller, wie Splunk oder LogRhyhtm, die proprietäre und kostspielige Systeme anbieten, die nicht selbsterklärend sind. Das heißt, für diese Systeme werden Spezialisten benötigt, die im Mittelstand nicht verfügbar sind. Interessante Open-Source-Tools sind CVE-Search und CIS-Benchmark, die zur Sammlung und Auswertung von Daten verwendet werden können. Hierauf will sich das Projekt konzentrieren, ebenso wie auf klare Handlungsempfehlungen, die auch von Nicht-Sicherheitsexperten verstanden und befolgt werden können.

Das Projekttreffen war sehr effizient und brachte alle Partner wieder auf den gleichen Stand. Zusätzlich konnten die wichtigsten Punkte für die kommende Entwicklung abgesprochen werden. Die Projektarbeiten befinden sich aktuell mit leichter Verzögerung im geplanten Zeitrahmen. Die konzeptionelle Phase muss jetzt noch abgeschlossen werden, um mit gleicher Zielrichtung die Entwicklung Anfang nächsten Jahres endgültig gemeinsam beginnen zu können.