Im folgenden finden Sie eine Auswahl aktueller und abgeschlossener Referenzprojekte.
Trustprop
Gefördert vom Bundesministerium für Wirtschaft und Energie
Im Trustprop-Projekt wird ein System zum Einsatz auf handelsüblicher Hardware entwickelt, mit dem angebundene Geräte im Internet der Dinge (IoT) und allgemeinen IT-Infrastrukturen authentifiziert, überprüft und verwaltet werden können. Zu diesem Zweck werden erstmals Verfahren entwickelt, die modernste Blockchain-Technologien nutzen, um Systemzustände zu aggregieren, verifizieren und die erhaltenen Resultate an nachgelagerte Verwaltungssysteme zu propagieren.
Das System kombiniert dabei etablierte Verfahren der Netzwerk- und Sicherheitstechnik und spezifische Anwendungslogik aus den Domänen ’Internet of Things (IoT)’, ’Trusted Computing’ und ’Distributed Ledger/Blockchain’, um die Integrität angebundener Geräte und Netzwerke überprüfbar zu machen und deren einwandfreie Funktionsfähigkeit mittels des Einsatzes kryptographisch sicherer Verfahren kontinuierlich nachzuweisen.
Damit bietet unser Verfahren erstmals die Möglichkeit, solche Systeme automatisiert und nachweislich sicher zu auditieren. Gerade im Zuge der durch das IT-Sicherheitsgesetz geforderten Auditierung kritischer Infrastrukturen, von denen sich viele auch über die Bereiche IoT und Cloud Computing erstrecken oder erstrecken werden, ergeben sich umfassende und wirtschaftlich außerordentlich erfolgversprechende Anwendungsmöglichkeiten für die im Projekt entwickelten Verfahren.
Intelligent Smart Meter Response (ISMR)
Gefördert vom Bundesministerium für Wirtschaft und Technologie
Smart Grids bedeuten den Umbruch von der zentral gesteuerten Elektrizitätsversorgung zu einer intelligenten, dezentralen Stromversorgung. Es ist absehbar, dass der Strommarkt in Zukunft nicht mehr – wie in der Vergangenheit – zentralistisch durch wenige große Konzerne bestimmt wird, sondern es zu einer Aufteilung kleinerer dezentraler Dienstleister in KMU-Größe kommt. Die intelligenten Energienetze verbinden mittels bidirektionaler Kommunikation alle Akteure des Energiesystems, um die Effizienz von Elektrizitätsversorgung und -verbrauch zeitlich zu optimieren. Eine bessere Stromnetzstabilität, besonders im Kontext erneuerbarer Energien, gehört zu den wichtigen Aspekten der Einführung von Smart Grids.
Die mit dem Smart Grid verbundenen riesigen Datenmengen feingranularer Messdaten stellen Energieversorger vor neue Herausforderungen: Die heutige, größenteils manuelle Analyse und Ausübung einer angemessenen Reaktion ist nicht nur zeitintensiv, sondern erfordert auch Expertenwissen. In iSMR wird auf Basis heuristischer Methoden und durch Verwendung künstlicher Intelligenz die sichere Erkennung und frühzeitige Reaktion auf Veränderungen im Stromnetz und Netzschwankungen verbessert und automatisiert. Im Fokus steht insbesondere die Datenauswertung regionaler Netzbereiche, die Erstellung von Metriken zur Bewertung von Reaktionsszenarien, sowie (teil-)automatisierte Eingriffe zur Wiederherstellung der Netzstabilität.
Forensische Netzwerkanalyse mittels Complex Event Processing (ForCEPs)
Gefördert vom Bundesministerium für Bildung und Forschung
Trotz des Einsatzes aktuellster Techniken zur Erkennung und Verhinderung von Angriffen ist eine vollständige Absicherung der IT-Infrastruktur in Unternehmen und Institutionen unmöglich. Insbesondere zielgerichtete Attacken, beispielsweise durch ausländische Geheimdienste oder im Fall von Wirtschaftsspionage, nutzen oftmals auch Wissen über spezifisches Nutzerverhalten oder Social Engineering aus. Wenn der Angriff dann bemerkt wird, ist oftmals eine große und zunächst nur schwer eingrenzbare Zahl an IT-Systemen betroffen.
Im Falle einer Erkennung eines Angriffs kommt der IT-forensischen Analyse entscheidende Bedeutung zu. Im Gegensatz zur IT-forensischen Analyse von Rechnern, bei denen die kompletten Daten zum Zeitpunkt der Entdeckung eingefroren und Spuren sichergestellt werden können, ist gegenwärtig die forensische ex post Analyse von Netzwerken nur sehr eingeschränkt möglich, da für die Analyse benötigte Daten aufgrund der sehr großen Menge anfallender Daten und Informationen meistens entweder bereits wieder gelöscht oder überhaupt nicht gespeichert wurden.
Ziel des Projekts ForCEPs ist das Design, die Entwicklung und prototypische Implementierung moderner, skalierbarer Verfahren zur datenschutzkonformen Netzwerküberwachung. Ein Teilziel auf diesem Weg ist die Generierung aussagekräftiger Daten zur netzwerkbezogenen IT-forensischen ex post Analyse von Angriffen.
Die Forschungsgruppe für Netzwerksicherheit, Informationssicherheit und Datenschutz an der FRA-UAS konzentriert sich im ForCEPs-Projekt auf die Themenbereiche Systemarchitektur, verteilte Sensorik und Datenspeicherung, Detektionsalgorithmen zur Realzeiterkennung von Angriffen und Datenschutz.
Das ForCEPs-Konsortium besteht aus zwei Hochschulen für angewandte Wissenschaften, zwei Universitäten sowie sechs Partnern aus der Wirtschaft.
Anomaly Detection for Metering Infrastructure Networks (ADMIN)
Gefördert vom Bundesministerium für Wirtschaft und Technologie
Ziel des Projekts ist es, die Sicherheit des Betriebs von IP-Infrastrukturen für missionskritische Aufgaben, insbesondere Energieversorgung, Wasserversorgung und Verkehrsleittechnik, durch den Einsatz spezieller, neuer Verfahren zur Anomalieerkennung zu erhöhen. Dazu müssen Anomalien, die auf eine sicherheitsrelevante Bedrohung oder fehlerhaftes Verhalten der beteiligten Komponenten hinweisen, erkannt werden. Kern des Vorhabens ist die Konzeption und Implementierung kontextsensitiver Anomalieerkennungsverfahren basierend auf modernen heuristischen Methoden aus anderen Wissenschaftsdisziplinen und der Text- und Bilderverarbeitung. Konkret werden aktuelle wissenschaftliche Erkenntnisse in der Anomalieerkennung für den praktischen Einsatz in Smart Grid Anomalie-Erkennungssystemen weiterentwickelt.
Shield of Things (ShoT)
Gefördert vom Bundesministerium für Wirtschaft und Technologie
Das Internet der Dinge (IoT) wird in den nächsten Jahren erheblich an Bedeutung gewinnen und für die Nutzer alltägliche Realität werden. Gegenwärtig gibt es aber nur Einzellösungen, die typischerweise die IoT-Daten der Anwender in Cloud-Diensten speichern, verarbeiten und verwalten. Dies erzeugt erhebliche Sicherheitsbedenken und ist, wie auch die stark begrenzte Interoperabilität der bisher existierenden Insellösungen, ein Hemmnis für die weitere Verbreitung des IoT. Ziel des ShoT-Projekts ist deshalb die Integration eines multifunktionalen IoT-Gateways zur Anbindung der IoT-Endgeräte (Sensoren und Aktoren) in marktübliche Internet-Router. Die Benutzer erhalten durch fortgeschrittene Sicherheitsfunktionen und die ganzheitliche Integration aller IoT-Endgeräte im Router-Gateway einen konkreten Mehrwert in Sicherheit und Funktionalität. Insbesondere auch für KMU und Privatanwender, die bis dato aus Sicherheitsbedenken auf den Einsatz von IoT-Lösungen verzichten mussten, bietet die im Projekt entwickelte Lösung endlich die Möglichkeit, das Internet of Things voll nutzen zu können.
Reactive Network Optimization by Using SDN Technology (ROBUST)
Gefördert vom Hessischen Ministerium für Wissenschaft und Kunst im Rahmen der Landes-Offensive zur Entwicklung Wissenschaftlich-ökonomischer Exzellenz (LOEWE)
Ziel des im Rahmen der Landes-Offensive zur Entwicklung Wissenschaftlich-ökonomischer Exzellenz – kurz: LOEWE vom Hessischen Ministerium für Wissenschaft und Kunst geförderten Verbundprojekts ist die Entwicklung und Implementierung eines heuristischen Verfahrens zur dynamischen Netzwerkoptimierung unter sicherem Einsatz von Software Defined Networking (SDN).
Hierzu wird zuerst ein Lagebild des Netzwerks erstellt. Auf Basis von im Projekt entwickelter Metriken und Heuristiken wird das Netzwerk dann dynamisch optimal an die aktuellen Anforderungen angepasst. Hierdurch wird es möglich, Dienste in Netzen unter bestmöglicher Ausnutzung der vorhandenen Ressourcen und damit deutlich wirtschaftlicher als bisher zu betreiben.
Institutional Network and Service Provider Anomaly INspection (INSAIN)
Gefördert vom Bundesministerium für Bildung und Forschung
IT-Systeme von Unternehmen, aber auch Dienste von Internet Service-Providern (ISP) sind zunehmend über Computernetzwerke
miteinander verknüpft. Gleichzeitig nimmt die Zahl der Netzwerkangriffe trotz Einsatz aktueller Schutzsysteme zu. Betroffenen Unternehmen droht dadurch enormer wirtschaftlicher Schaden und Imageverlust.Das Forschungsprojekt ‘Institutional Network and Service Provider Anomaly INspection — INSAIN’ sucht nach neuen Ansätzen, Schadsoftware effizienter und datenschutzfreundlicher als bisherige Verfahren zu erkennen. Zentrale Idee ist die gemeinsame Nutzung von Netzwerkdaten bei ISPs und Unternehmen, um einen besseren Überblick über den globalen Netzwerkzustand zu erhalten und damit zuverlässigere Detektionsalgorithmen zu entwickeln.
Die Forschungsgruppe für Netzwerksicherheit, Informationssicherheit und Datenschutz an der FH Frankfurt konzentriert sich im INSAIN-Projekt auf die Themenbereiche Unternehmensnetze, Verteilte Sensorik und netzübergreifenden Datenaustausch.
Das INSAIN-Konsortium besteht aus zwei weiteren Fachhochschulen sowie 13 externen Partnern aus Wirtschaft, Wissenschaft und Verbänden.
Netzwerkbasierte datenschutzkonforme und effiziente Botnetzdetektion anhand von Flowdaten (NetFlowBot)
Gefördert vom Hessischen Ministerium für Wissenschaft und Kunst im Rahmen der Landes-Offensive zur Entwicklung Wissenschaftlich-ökonomischer Exzellenz (LOEWE)
Ziel des Verbundprojekts ist die Entwicklung und Implementierung eines innovativen, netzbasierten und datenschutzfreundlichen Ansatzes zur frühzeitigen Erkennung von Botnetzen anhand ihres Steuertraffics (Command & Control) unter Verwendung von Netzwerk-Flowdaten.
Der zu erarbeitende Ansatz wird vor allen Dingen Effizienz- und Effektiviätsgesichtspunkten Rechnung tragen, um einerseits im Netzbetreiberkontext mit hohem Datendurchsatz von mehreren Gbit/s eingesetzt werden zu können und andererseits im institutionellen Umfeld mit geringen Hardwareressourcen auszukommen. Um dort den reibungslosen Betrieb auf einer Embedded-Plattform zu gewährleisten, wird bei der Entwicklung besonderes Augenmerk auf Performance gelegt. Die eingesetzten Algorithmen und Ansätze werden speziell für den Einsatz auf der Embedded-Plattform hin optimiert.
Innovative Anomaly and Intrusion-Detection (iAID)
Gefördert vom Bundesministerium für Bildung und Forschung
Ziel des gemeinsam mit drei anderen Hochschulen und zwei Industriepartnern durchgeführten Vorhabens ist die Entwicklung wissenschaftlicher und technischer Innovationen zur Anomalieerkennung in Netzwerken. Im Fokus der Forschungsgruppe stehen dabei speziell die datenschutzkonforme Erkennung von Anomalien auf der Applikationsschicht und die (teil-)automatische Reaktion auf erkannte Bedrohungen und Angriffe. Hierzu wird im Projekt eine Taxonomie möglicher Bedrohungen und eine mehrstufige Gefährdungsmatrix entwickelt. Neben technischen Gesichtspunkten werden dabei auch organisatorische Aspekte der Reaktion betrachtet.
Communication Security for Separated Area Computer Networks (COSSAC)
Gefördert vom Bundesministerium für Wirtschaft und Technologie
Eine häufig unterschätzte Angriffsgefahr auf die IT-Infrastruktur von Unternehmen besteht durch VPN-Verbindungen in das Unternehmensnetzwerk. Selbst eine korrekt authentifizierte und verschlüsselte VPN-Verbindung kann von Dritten für illegitime Zwecke missbraucht werden. Dabei ist der VPN-Zugriff heutzutage nicht nur extern arbeitenden Mitarbeitern oder der Anbindung von Außenstandorten vorbehalten, sondern wird auch zunehmend für Monitoring-, Steuerungs- oder Wartungszugriffe auf Anlagen und Geräte weltweit eingesetzt (sogenannte Maschine-zu-Maschine, M2M-VPNs). Durch die VPN-Verbindung werden solche Anlagen und Geräte de facto zu einem Teil des Unternehmensnetzes und können als Ausgangspunkt für Angriffe missbraucht werden. Die stellt beispielsweise in der Energiewirtschaft, im Anlagenbau und der Fertigungstechnik ein erhebliches Risiko dar.
Ziel des Projekts ist die Entwicklung einer Lösung zur Erkennung und Verhinderung der missbräuchlichen Verwendung von M2M-VPNs auf Basis einer dafür maßgeschneiderten Embedded-Hardware. Durch den Einsatz spezieller Algorithmen können dabei Manipulationen an den an das VPN angeschlossenen Anlagen und Geräten erkannt und mögliche Angriffe abgewehrt werden.
Event-driven Network Analysis and Surveillance (ENeAS)
Gefördert durch die Fachhochschule Frankfurt am Main, Kooperation mit der Universidad de Cádiz
Um Problemen wie z.B. fehlerhaften Hard- oder Softwarekomponenten, Fehlkonfigurationen oder zu geringer Dimensionierung möglichst frühzeitig und mit den richtigen Mitteln begegnen zu können, ist die Analyse und Überwachung der Netzwerkinfrastruktur entscheidend. Langfristig kann die Verfügbarkeit und die zuverlässige Funktion eines Netzwerks nur sichergestellt werden, wenn aktuelle und detaillierte Informationen über dessen Zustand und den Verkehr vorliegen und ausgewertet werden, um Problemen möglichst frühzeitig und mit den richtigen Mitteln begegnen zu können und den Erfolg von Änderungen zu bewerten.
Ziel von ENeAS ist die Entwicklung und Implementierung einer neuartigen, flexiblen Analyse- und Überwachungsplattform für Netzwerke, speziell Unternehmensnetze. Durch innovative Ansätze, insbesondere den Einsatz von Complex Event Processing (CEP) zur Detektion von Ereignissen, die Integration verschiedener, heterogener Datenquellen (z.B. Sniffing, Connection Tracking, Scanning) sowie die Entwicklung eines geeigneten, einfach bedienbaren User-Interface zur Steuerung des Systems und zur Datenauswertung, wird eine gegenüber herkömmlichen Systemen deutlich verbesserte Erkennung und Darstellung meldewürdiger Ereignissen erreicht.
ENeAS erfasst die kontinuierlichen Änderungen der Anforderungen an die Netze und ermöglicht damit eine fortlaufende Anpassung und Erweiterung der Infrastruktur. Somit können sich die Verantwortlichen verstärkt auf die Lösung der Probleme anstatt deren Identifikation konzentrieren. So werden die Abläufe und Prozesse beim Betrieb von Netzwerken optimiert und insgesamt eine höhere Qualität der IT-Infrastruktur sichergestellt.
Intelligenter stromsparender Switch zur datenschutzkonformen Sicherheitsüberwachung von Netzwerken
Gefördert vom Bundesministerium für Wirtschaft und Technologie
Ziel dieses Projekts ist es, einen “Intelligenten Switch” (Secure Intelligent Switch -SIS) zu entwickeln, der es ermöglicht, Firmennetzwerke an zentraler Stelle zu überwachen. Die Sicherstellung der Informationssicherheit bedeutet nicht nur das Abwehren von Angriffen von außerhalb des eigenen Netzwerkes, sondern auch das kontinuierliche Monitoring des internen Datenverkehrs. Hierdurch kann z.B. auch versuchte Betriebsspionage festgestellt und verhindert werden.
Der Switch und damit auch das Firmennetzwerk, werden durch ein software- und hardwareseitiges Schutzkonzept vor Manipulationen (Angriffen) geschützt. Um Gefahren für die Netzwerksicherheit für administratives Personal einfacher auffindbar zu machen, werden unterschiedliche Szenarien der Netzwerk-Protokollierung implementiert. Die gesammelten Logdaten werden besonders in Hinblick auf den Datenschutz gesichert gespeichert und der Zugriff entsprechend ausgestaltet.
DaNe – Datenschutzkonforme Netzwerksicherheit in kleinen und mittelständischen Unternehmen
Gefördert vom Bundesministerium für Bildung und Forschung
Die Sicherheit der Netzwerkinfrastruktur ist für kleine und mittelständische Unternehmen ebenso wichtig wie in Großunternehmen, muss aber mit wesentlich geringerem Budget und Personaleinsatz erreicht werden. Aus diesem Grund weisen viele kleine und mittelständische Betriebe gravierende Defizite in der IT-Sicherheit auf.
Ziel unseres Projektes ist es, auch kleinen und mittelständischen Unternehmen die einfache und kostengünstige Absicherung ihrer Kommunikationsinfrastruktur mit modernen Methode zu ermöglichen. Der Fokus des Projekts ist die Entwicklung eines Tools, mittels dessen das Design, die Konfiguration, die Administration und der Betrieb einer sicheren und datenschutzkonformen Netzwerkinfrastruktur auch in kleinen und mittelständischen Betrieben einfach möglich wird. Das Projekt hat unter http://www.fh-frankfurt.de/dane einen eigenen Webauftritt.
Verfügbarkeitsanalyse der Infrastruktur in Rechenzentren (VAIR)
Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der bit GmbH
Im IVRZ-Projekt wurde ein prototypisches Indikatorsystem zur Bestimmung der Verfügbarkeit der Infrastruktur in Rechenzentren entwickelt. Auf Basis des in diesem Projekt gewonnenen Know-Hows wird im VAIR-Projekt das prototypische System zu einem voll funktionsfähigen Bewertungssystem weiterentwickelt. Die wissenschaftlichen Hauptziele des Projekts sind die empirisch begründete Abbildung von Indikatormustern auf Verfügbarkeitsstufen, die Ableitung von Reifegradszenarien und Verfügbarkeitsstufen und die empirische Validierung von best-practice-Ansätzen für die Bewertung von Infrastrukturen. Ein weiteres wichtiges Projektziel ist die Implementierung des Systems als breit einsetzbare Software, die sowohl im Stand-Alone-Betrieb als auch Client-Server-basiert eingesetzt werden kann. Das Projekt hat unter http://www.vair-check.de einen eigenen Online-Auftritt.
Aufbau und Etablierung eines Informationssicherheitsmanagementsystems an der FH Frankfurt am Main
Funktion als IT-Sicherheitsbeauftragter der FH Frankfurt am Main
IT-Sicherheit umfasst den Schutz von Informationen und Informationssystemen gegen unbefugte Zugriffe und Manipulationen und die Sicherstellung der Verfügbarkeit der durch die Systeme bereitgestellten Dienste. Um IT-Sicherheit langfristig aufrecht erhalten zu können, muss sie als Prozess in der Institution verankert werden. Die Hochschule orientiert sich dabei an den IT-Grundschutzstandards des BSI.
In der Funktion als IT-Sicherheitsbeauftragter der Fachhochschule geht es darum, ein entsprechendes Informationssicherheitsmanagement an der FH Frankfurt aufzubauen, zu etablieren und den Informationssicherheitsprozess zu steuern. Hierzu gehören unter Anderem der Aufbau einer geeigneten Organisationsstruktur, die Erstellung und Umsetzung eines Sicherheitskonzepts, die Aufrechterhaltung und die kontinuierliche Verbesserung der Informationssicherheit im laufenden Betrieb sowie die Untersuchung von Sicherheitsvorfällen. Der IT-Sicherheitsbeauftragte hat einen eigenen Online-Auftritt auf den Webseiten der Hochschule.
DETOS – Sichere Infrastukturen in heterogenen Netzen
Gefördert vom Hessischen Ministerium für Wissenschaft und Kunst
Der ausreichende Schutz von Netzwerken durch gegenwärtige Sicherheitsinfrastrukturen (Firewalls, VPNs, etc.) ist durch die zunehmende Mobilität von Benutzern und andere neue Anforderungen mehr und mehr in Frage gestellt.
Ziel unseres Projekts ist es, neue, innovative Methoden und Konzepte zur Ermöglichung sicherer Netzwerkanwendungen zu entwickeln und Tools zu implementieren, welche eine einfache praktische Implementierung der entwickelten Verfahren erlauben, und die Praxistauglichkeit der Methoden zu demonstrieren.
Indikatorsystem für die Verfügbarkeit von Rechenzentren (IVRZ)
Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der bit GmbH
Der Verfügbarkeit der Infrastruktur von Rechenzentren kommt in der Praxis eine entscheidende Bedeutung zu. Als Teile der kritischen Infrastruktur sollten die Ausfallzeiten eines Rechenzentrums soweit als möglich minimiert werden. Hierzu ist es erforderlich, die Verfügbarkeit der Infrastruktur möglichst genau einschätzen zu können. Ziel des vom BSI geförderten Projektes war es, ein prototypisches Indikatorsystem zur Bestimmung der Verfügbarkeit der Infrastruktur von Rechenzentren zu entwickeln. Das System ist online verfügbar unter http://ivrz.fb2.fh-frankfurt.de
Schutz von Dokumenten und digitale Signatur
Kooperation mit der Fraport AG
Der Schutz betrieblicher Informationen vor unberechtigtem Zugriff ist in den letzten Jahren mehr und mehr in den Mittelpunkt des Interesses gerückt. Ziel des Projekts ist es, neue Verfahren und Prozesse zum Schutz von Dokumenten zu entwerfen, zu implementieren und in die bestehende Infrastruktur zu integrieren.