Die Zunahme komplexer Cyberangriffe verdeutlichen die Verletzbarkeit der Gesellschaft und Informationsinfrastruktur. Neben Technologien zur Informations- und IT-Sicherheit braucht es Frühwarnsysteme und Reaktionsstrategien zur Stärkung der zivilen Sicherheit. Sogenannte „Computer Emergency Response Teams“ (CERTs) sind die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei IT-Sicherheitsvorfällen.

Das Projekt „Strategie- und Technologie-Entwicklung zur medienübergreifenden Erstellung eines Cyber-Lagebilds und Kommunikation von Cyber-Warnmeldungen“ (CYWARN) verfolgt dabei das Ziel, CERTs durch neue Strategien und Technologien bei der Erfassung, Analyse und Kommunikation des Cyber-Lagebilds zu unterstützen. Das BMBF fördert CYWARN im Rahmen des Programms „Forschung für die zivile Sicherheit“ im Rahmen der Bekanntmachung „Zivile Sicherheit – Sozioökonomische und soziokulturelle Infrastrukturen“ mit rund 2 Millionen Euro. Projektpartner sind die Technische Universität Darmstadt, die Universität Duisburg-Essen, das Hessen CyberCompetenceCenter sowie die Virtimo AG.

Herausforderungen und Potenziale in Computer Emergency Response Teams
Eine zu Projektbeginn durchgeführte Interviewstudie mit 15 CERT-Mitarbeitenden des Bundes und der Länder offenbarte, dass einerseits der etablierte Erfahrungs- und Wissensaustausch zwischen CERTs einen wichtigen Beitrag zur Bewältigung von Cyberangriffen leistet, jedoch die medienübergreifende Auswertung und zielgruppengerechte Aufbereitung von Cyberbedrohungen und Sicherheitslücken aufgrund der unübersichtlichen Informationslage im Internet eine große Herausforderung darstellt. Die organisationale Bearbeitung von Cyberangriffen könne demnach technisch unterstützt werden, indem

1. Informationen aus relevanten öffentlichen und sozialen Datenquellen möglichst automatisch erfasst werden
2. unter Prüfung der Glaubwürdigkeit und Relevanz von Informationen und Quellen in ein möglichst akkurates Lagebild integriert und visualisiert werden, sowie
3. Berichte und Warnmeldungen unter Nutzung von Vorlagen einfach an die Lage und Bedürfnisse der Zielgruppe angepasst werden.

Auf Basis der Studie wurden Anforderungen für das Design eines neuartigen Demonstrators abgeleitet.

Demonstrator zur Erfassung und Analyse von Cyberbedrohungen und Sicherheitslücken
Im Rahmen der folgenden Design- und Evaluationsstudie mit 12 CERT-Mitarbeitenden wurde die erste Fassung des sogenannten „Cyber Threat Observatory“ entwickelt und erprobt. Der Demonstrator erlaubt es, automatisiert Informationen aus öffentlichen Datenquellen zu sammeln, darunter Sicherheitsempfehlungen von Herstellern, standardisierte Schwachstellenberichte, Hinweise auf kompromittierte Systeme und Nachrichten aus sozialen Netzwerken (zum Beispiel Reddit und Twitter). Dabei erlauben es konfigurierbare Datenquellen, interaktive Diagramme und eine zentrale Suchfunktion, die Ergebnisse nach den Bedürfnissen der Mitarbeitenden und den Notwendigkeiten der Lage anzupassen. Wichtige Informationen können dabei für das Reporting und die Formulierung von Berichten und Warnmeldungen markiert werden. Die Evaluation des Demonstrators legt nahe, Ansätze der künstlichen Intelligenz zu integrieren, um die Qualität und Quantität der eingehenden Informationen weiter zu verbessern, etwa durch die Reduktion inhaltlicher Redundanzen in Sicherheitsempfehlungen oder irrelevanter Informationen aus sozialen Medien.

Geplante Ergebnisse und weitere Verstetigung des Projekts
Der Demonstrator wird aktuell weiterentwickelt und dann einer zweiten Evaluation unterzogen. Die Ergebnisse des Projekts fließen darüber hinaus in Strategien für Handlungsempfehlungen, Sensibilisierungsmaßnahmen, Lageberichte und Warnmeldungen ein, die dann von den CERT-Teams für die adressatengerechte Kommunikation mit der Bevölkerung, Behörden oder Betreibern von kritischen Infrastrukturen verwendet werden. Ziel ist es, diese zu einem besseren Eigenschutz zu befähigen. Akzeptanz und Anwenderfreundlichkeit werden bei der Entwicklung ebenso berücksichtigt, wie ethische, rechtliche und soziale Rahmenbedingungen.
Die Ergebnisse des Projekts werden kontinuierlich veröffentlicht, so zum Beispiel auf der Sicherheitsforschungskonferenz protekt 2022 in Leipzig oder auf der CYWARN-Website, auf der regelmäßig aktuelle Konferenz- und Magazinbeiträge vorgestellt werden. Langfristig ist ein Einsatz auch bei anderen Behörden und Organisationen mit Sicherheitsaufgaben oder Unternehmen, die ein eigenes CERT betreiben, denkbar.

Autoren: Dr. rer. nat. Marc-André Kaufhold (Projektmanager, E-Mail: kaufhold@peasec.tu-darmstadt.de), Prof. Dr. Dr. Christian Reuter (Verbundkoordinator; E-Mail: reuter@peasec.tu-darmstadt.de); Technische Universität Darmstadt, Wissenschaft und Technik für Frieden und Sicherheit (PEASEC)

Weitere Informationen zum Verbundprojekt

Förderkennzeichen 13N15407 bis 13N15410

Projektlaufzeit Oktober 2020 – März 2024

Projektumriss CYWARN