Das TRUSTnet-Projekt hat sich zum Ziel gesetzt ein Trusted Core Network (TCN) aufzubauen und dafür entsprechende Gateways mit TPM-Chips auszustatten, damit diese sich gegenseitig auf Resilienz, Sicherheit und Stabilität überprüfen können. Dies soll mit den Komponenten der Hersteller KUNBUS und Lobaro umgesetzt werden. Aktuell wurden daher mögliche Bedrohungsszenarien auf eine solche Infrastruktur untersucht und es fand eine Analyse auf Basis von STRIDE statt. STRIDE ist ein Modell von Sicherheitsrisiken, das von Praerit Garg und Loren Kohnfelder bei Microsoft entwickelt wurde und zwischen sechs Kategorien unterscheidet, aus denen sich das Akronym zusammensetzt: Spoofing Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege. Zusätzlich wurde TARA (Threat Analysis and Risk Assessment) mit einbezogen. Im Projekt will man beide Ansätze in Kombination einsetzen, obwohl TARA eher ein Rahmenmodell und STRIDE eine Methode darstellt.

Als Use Case wurde das Modell eines Pumpspeicherkraftwerks präsentiert, dass den Einsatz der KUNBUS-Komponente RevPi Connect 4 vorsieht, und die Implementierung von Secure und Measure Boot vorsieht, um ein Remote-Attestation ermöglichen zu können. Dafür muss in der KUNBUS-Komponente der TPM-Chip (Trusted Platform Module) der Trusted Computing Group (TCG) angesteuert werden. Secure Boot bietet dabei ein sog. „Whitelisting“ von Software an, die auf einem bestimmten Rechner ausgeführt werden darf. Damit wird sichergestellt, dass nur eine bestimmte zertifizierte Software installiert und betrieben werden darf. Dies verhindert die Installation von Rootkits und schafft eine Vertrauenskette (Chain-of-TRUST), die immer als erstes bei einem Bootprozesse startet. Beispiele für signierte Software sind Bootloader oder Hardware-Treiber. Der Measure Boot misst hingegen die Layer des Boot-Prozesses, unternimmt aber keine Aktionen auf Basis dieser Daten. Daher startet die Komponente auch bei verletzter Integrität. Daher ist vorgesehen, dass Secure Boot im ersten Schritt und Measure Boot im zweiten Schritt ausgeführt wird.

Neben den beiden Boot-Varianten lässt sich auch der Ansatz Device Identifier Composition Engine (DICE) anwenden, der ggf. auch ohne TPM-Chip zum Einsatz kommen kann. Dies ist gerade für die Lobaro-Komponenten interessant, da diese noch keinen solchen Chip besitzen. Das Trusted Attestation Protocol (TAP) der TCG ist dafür geeignet, um den Anforderungen bzgl. TPM- und DICE-basierter Remote-Attestation gerecht zu werden und soll daher auch verwendet werden. Die Spezifikation Trusted Network Communications (TNC) hätte man ebenfalls nutzen können, jedoch ist dieser Ansatz zu komplex und viele Merkmale werden nicht benötigt. Daher wird auf den Standard RFC-9334 „Remote Attestation Procedures (RATS)“ der IETF gesetzt. Das verwendete SIEM-System soll abschließend in diesem Projekt den Vertrauensstatus von Geräten im gesamten Netzwerk überprüfen und verwalten. „Trust“ soll dabei als zusätzlicher Faktor bei SIEM-Policys und Entscheidungen einbezogen werden.

Abschließend konnte festgestellt werden, dass die Anwendungs- und Ausfallszenarien in Form von Use Cases abgeschlossen wurden. Auch die Bedrohungsanalyse liegt fast finalisiert vor. Das Konsortium wird daher nun mit Hochdruck an einem Gesamtkonzept bis Ende des Jahres arbeiten, um die TCN-Plattform definieren und SIEM-Funktionalität einbetten zu können.