46. BremSec-Forum im Zeichen innovativer Sicherheitsforschung
Am 13. Februar 2019 fand, fast schon traditionsgemäß im BITZ, die 46. BremSec-Veranstaltung statt. Dieses Mal stand sie im Zeichen innovativer Sicherheitsforschung, da die Integrität von IT-Sicherheitssystemen eine zunehmende Herausforderung für die Informationssicherheit darstellt. Dabei spielen zukünftig sogenannte Hardware-Vertrauensanker (z. B. Trusted Platform Module, TPM) eine entscheidende Rolle, denn diese sind bereits heute in der Mehrzahl aller Rechner verbaut, werden aber nach wie vor zu wenig genutzt. In diesem Bereich hat die DECOIT® GmbH bereits einige Forschungs- und Industrieprojekte umgesetzt. Den Vortrag zum Thema „Wir bringen Informationssicherheit in die Anwendung“ hielt allerdings die Hochschule Bremen, die aus ihrer Sicht berichtete, wie man die Forschungsergebnisse in die Praxis überführt.
Die Referenten der Hochschule Bremen erforschen und entwickeln innovative Sicherheitslösungen in enger Zusammenarbeit mit Unternehmen, wie der DECOIT® GmbH, da man auf reale Anwendungsszenarien angewiesen ist. Prof. Dr. Sethmann machte den Auftakt, indem er die Arbeitsgruppe vorstellte und einen Überblick auf die bereits durchgeführten Projekte gab. Dabei betonte er, dass Informationssicherheit für die Praxis entwickelt wird und keine Grundlagenforschung betrieben wird. Zudem ist man gut vernetzt mit Standardisierungsgremien oder Industrieverbünden wie IETF, Trusted Computing Group (TCG) oder der Allianz für Cybersicherheit. In zwei der angesprochenen Projekte hat die Hochschule Bremen dabei eng mit der DECOIT® GmbH zusammengearbeitet. In einer Kurzvorstellung wurde daher auch INTEGER (integer-project.de) erläutert, da hier ein TPM-Chip zur VoIP-Kommunikation zum Einsatz kommt.
Im Anschluss daran stellte Bastian Fraune das SiDaFab-Projekt genauer vor. Das Projekt baut auf dem SPIDER-Projekt (www.spider-smartmetergateway.de) auf, welches ein Sicherheitsgateway für Produktionsanalagen zum Ziel hatte und u.a. von der DECOIT® GmbH mitentwickelt wurde. Fokus war hier einen Hardware-basierten Vertrauensanker (TPM) einzubauen, um das Gateway gegenüber Manipulationen von außen abzusichern. SiDaFab, welches von 2017 bis 2019 läuft, soll nun das Gateway auf Schwachstellen testen. Dies wird in Industrie4.0-Umgebungen immer wichtiger, da dort durch Predictive Maintenance bereits von der Maschine Kontakt zum Hersteller über das Internet automatisch aufgenommen wird, um Ersatzteile zur Verfügung zu stellen, bevor sie ausfällt. Durch die Internet-Anbindung ist die Sicherheit aber entsprechend gefährdeter. Als Protokoll kommt dabei in der Industrie immer häufiger OPC-UA zum Einsatz, obwohl häufig noch auf das unsichere MQTT gesetzt wird.
Dabei kann zur Absicherung auch hier das TPM-Modul genutzt werden. Dieser Chip kommt heute immer häufiger zum Einsatz. So nutzt beispielsweise BitLocker seit Windows 10 dieses Modul quasi als Standard. Infineon produziert den TPM-Chip nach TPM2.0 Common Criteria (EAL4+), weshalb sie auch SiDaFab-Projektpartner sind. Die Schlüssel können im TPM sicher abgelegt werden. Alternativ kann man aus der Ferne die Systemplattform auf IT-Sicherheit abfragen (Remote Attestation). In SiDaFab enthält das Cyber-Physical-System den TPM-Chip, welcher mit einem Secure Gateway eine sichere Kommunikation herstellt. Von da aus kann dann auch eine Cloud entsprechend angesprochen werden. Dies ist notwendig, weil die Maschinen über die MQTT/OPC-UA-Protokolle inzwischen Datenmengen produzieren, die, wie der Referent betonte, „irgendwo“ abgelegt werden müssen. Dies ließe sich natürlich auch durch eine Private-Cloud-Lösung realisieren. Innerhalb des Projekts wurde ein Demonstrator aufgebaut, um die Anwendungsszenarien testen zu können. Dies wird auch das endgültige Ziel bis zum Ende des Projektes bleiben.
Als weiteres Thema wurde von der Hochschule Bremen die IT-Sicherheit lokaler Unternehmensserver aus der Cloud thematisiert. Interessant dabei war, dass quasi fast kein anwesendes Unternehmen auf Cloud-Dienste setzt, wie eine Kurzumfrage des Referenten ergab. Anhand der Microsoft-Cloud Azure wurden Beispiele und Verfahren dargestellt. So bietet die hybride Azure-Funktion auch TPM-Unterstützung, wie das BitLocker TPM-Backup. Windows 10 und Windows Server 2016/2019 unterstützen bereits in vielen Funktionen den TPM-Chip. Der Azure IoT Hub bietet zudem einfache Möglichkeiten, um erste Sicherheitskonfigurationen vorzunehmen. Der Security Development Lifecycle ist ebenfalls eine Microsoft-Lösung bzw. ein Konzept (angewendet im SPIDER-Projekt), welches seit 2006 in sieben Phasen die Absicherung von IT-Systemen ermöglicht. Grundsätzlich sollte das Ziel sein, Security-by-Design zu erreichen, um nicht nachträglich Sicherheitsmechanismen anbringen zu müssen. Daher ist ein Sicherheitskonzept zum Erreichen der Schutzziele immer notwendig. Der Vortrag machte deutlich, dass Microsoft relativ viel in die IT-Sicherheit investiert bzw. gut aufgestellt ist. Trotzdem wurde die deutsche Cloud von Microsoft eingestellt. Inoffiziell war zu hören, dass dies an der neuen DSGVO lag, offiziell, dass man sich auf die Azure-Cloud konzentrieren will.
Zum Abschluss wurden Fragen beantwortet und der nächste Termin bzw. das nächste Thema für das BremSec-Forum besprochen. Als Termin wurde der 19. Juni 2019 ausgemacht, bei dem wahrscheinlich das Thema Windows10-Sicherheit diskutiert werden soll. Die DECOIT® GmbH wird dann sicherlich wieder aktiv daran teilnehmen und entsprechend berichten.