Aus dem Themenbereich Forschung

IT-Sicherheit: Neue Systeme für die Informationsgesellschaft

Spätestens wenn Bürgerinnen und Bürger ihr Geld per Online-Banking verwalten oderIndustrieanlagen von einem Computerschädling befallen sind, ist es Zeit, sich über die Sicherheit von Computern und der Kommunikation im Internet ernsthaft Gedanken zu machen. Bei Geldtransaktionen sollen unbefugte Mitleser ebenso außen vor bleiben wie Computerviren.

Die Sicherheit und Zuverlässigkeit von Computeranwendungen kann sogar lebenswichtig sein. Computer in medizinischen Geräten auf einer Intensivstation müssen genauso zuverlässig und genau funktionieren wie die Rechner zur Steuerung von Flugzeugen. Korrekt und zuverlässig arbeitende Computeranwendungen sind schließlich auch eine entscheidende Voraussetzung für das Funktionieren von komplexen industriellen Produktions- und Steuerungsprozessen. In sicherheitskritischen Anwendungen können Softwarefehler zum Fehlverhalten technischer Anlagen mit katastrophalen Folgen für Menschen, Sachwerte und Umwelt führen.

IT-Sicherheit hat verschiedene Facetten:

• Computeranwendungen sollen Unbefugten keine Daten preisgeben: Forderung nach Vertraulichkeit,
• Computer sollen fehlerfrei arbeiten und durch niemanden manipulierbar sein: Forderung nach Integrität und 
• Computer sollen zuverlässig immer dann laufen, wenn man sie braucht: Forderung nach Verfügbarkeit.

Immer noch ist es schwierig, Computersysteme zu finden, die diesen Anforderungen gerecht werden. Die meisten Systeme offenbaren Unbefugten Daten, arbeiten nicht fehlerfrei und fallen aus, wenn man sie besonders dringend benötigt.

Abhilfe schaffen dabei nur Lösungen auf verschiedenen Ebenen. Zur Verbesserung der Sicherheit im Internet fördert das BMBF Projekte, die die Datenkommunikation unabhängig von Hardware und Betriebssystemen schützt und Einbrüche in Computersysteme schon im Ansatz erkennt.

Viele Sicherheitslücken entstehen durch Fehler in der Software, aber auch beim Entwurf der Hardware. Bisher fehlt es an Mitteln um zu prüfen, ob ganze Computersysteme auch korrekt arbeiten. Der Verifikation von Software kommt dabei eine zentrale Bedeutung zu. Das BMBF hat zunächst die mathematischen Grundlagenarbeiten für die Verifikation von Computersystemen gefördert. Aus den Ergebnissen entstehen nun Demonstrationssysteme für die Überprüfung von Computersystemen, die Chipkarten, Telekommunikation und Automobilelektronik von der Hardware bis zur Anwendungssoftware prüfen und deren Korrektheit testen. Sichere und zuverlässige Software wird zum Qualitätsmerkmal von Produkten "made in Germany" und erhöht die Absatzchancen.

Arbeitsprogramm IT-Sicherheitsforschung

Vom richtigen und zuverlässigen Funktionieren der Informations- und Kommunikationstechnologien (IKT) und dem Vertrauen in die Sicherheit der IKT-Systeme hängen inzwischen weite Bereiche des gesellschaftlichen und wirtschaftlichen Lebens ab. Gleichzeitig werden die weit vernetzten IKT-Systeme zunehmend auch für kriminelle Zwecke eingesetzt. Dies reicht vom Ausspionieren einzelner Daten von Bürgerinnen und Bürgern mit teils erheblichen Schäden über organisierte Kriminalität bis zu Spionage gegen staatliche Einrichtungen und Unternehmen.

Die Bundesministerin für Bildung und Forschung und der Bundesminister des Innern haben deshalb im Rahmen ihrer Gemeinsamen Erklärung zur Zusammenarbeit auf dem Gebiet der IT-Sicherheitsforschung vom 29. Oktober 2008 vereinbart, IT-Sicherheit als neuen Schwerpunkt der Forschungsförderung im Bereich der IKT zu etablieren. Das vorliegende Arbeitsprogramm IT-Sicherheitsforschung bildet den Kern dieses Förderschwerpunktes. Für eine Laufzeit von 5 Jahren werden vom Bundesministerium für Bildung und Forschung speziell für die Förderung von Projekten in diesem Bereich Fördermittel in Höhe von 30 Mio. Euro bereitgestellt.

Das Bundesministerium für Bildung und Forschung und das Bundesministerium des Innern haben gemeinsam die Schwerpunkte der Förderung identifiziert: Da eine Absicherung großer IKT-Umgebungen (z.B. Internet) de-facto nicht möglich ist, soll die Sicherheit von IKT-Systemen, insbesondere mobilen Systemen, auch in unsicheren Umgebungen gewährleistet werden (Schwerpunkt "Sicherheit in unsicheren Umgebungen").

Auch wenn eine vollständige Absicherung von IKT-Systemen gegen Angriffe nicht möglich ist, können die Systeme gegen "Epidemien" geschützt werden (Schwerpunkt "Schutz von Internet-Infrastrukturen"). Die nachträgliche Absicherung von IKT-Systemen ist extrem aufwendig und vielfach gar nicht möglich. IKT-Systeme sollen deshalb von vornherein so konzipiert und entwickelt werden, dass sie (beweisbar) über ein definiertes IT-Sicherheitsniveau verfügen (Schwerpunkt "Eingebaute Sicherheit"). Um speziellen und zukünftig vielleicht möglichen Angriffen entgegen wirken zu können, sollen zur Absicherung von IKT-Systemen auch neuartige Techniken, Methoden und Ansätze entwickelt werden (Schwerpunkt "Neue Herausforderungen zum Schutz von IT-Systemen und der Identifikation von Schwachstellen").