Universität Regensburg LS Wirtschaftsinformatik I (Prof. Dr. Günther Pernul)
Das Teilvorhaben DEFENSIVE-DESIGN adressiert insbesondere das Design sowie die prototypische Entwicklung der Datentreuhänder Plattform. Von zentraler Bedeutung sind in diesem Zusammenhang, ausgehend von der Analyse und dem Abgleich bestehender wissenschaftlicher Ansätze, die Modellentwicklung und die Implementierung von modularen Komponenten. Im Teilvorhaben DEFENSIVE-DESIGN wird zudem das Gesamtvorhaben DEFENSIVE koordiniert. Neben den genannten Schwerpunkten ist der Lehrstuhl Wirtschaftsinformatik I zudem verantwortlich für die Integration der Arbeitsergebnisse aus allen Teilprojekten, um eine zielgerichtete Erstellung der Datentreuhänder Plattform für den dezentralen Austausch von IT-Sicherheitsvorfällen sicherzustellen.
Im Bereich des Designs und der Entwicklung der Datentreuhänder Plattform werden dazu die technologischen Grundlagen mit Distributed Ledger Technologies (DLT) sowie ein geeignetes Modell zur Umsetzung des Anreizverfahrens erforscht. Neben der Fragestellung, wie eine Datentreuhänder Plattform für den Austausch von IT-Sicherheitsvorfällen ausgerichtet und ausgestaltet werden muss, soll auch geklärt werden, ob durch eine Verbesserung und Weiterentwicklung verschiedener Anreizverfahren ein effizienterer Austausch als mit klassischen Technologien realisiert werden kann.
Für die Bereitstellung der Datentreuhänder Plattform wird im Rahmen dieses Teilvorhabens zunächst die Implementierung von dedizierten Anwendungen für verschiedene Akteure angestrebt. Ein Cloud-Template soll daraufhin eine Beteiligung an der Infrastruktur der Datentreuhänder Plattform mittels Netzwerkknoten und durch eine geringe Einstiegshürde ermöglichen. Dabei ist zu klären, ob und wie eine verlässliche Teilnahme an der Infrastruktur der Datentreuhänder Plattform möglich ist. Die Zusammenführung von organisatorischen wie auch technischen Elementen der DEFENSIVE-Datentreuhänder Plattform für einen Einsatz in Unternehmen bildet eine abschließende, praxisorientierte Zielsetzung. Im Rahmen der “Richtlinie zur Förderung von Projekten zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft” leistet dieses Teilvorhaben einen Beitrag zur Nutzbarmachung von Daten zu IT-Sicherheitsvorfällen. Konkret zielt dieses Teilvorhaben auf den dezentralen Austausch mittels moderner Technologien und Anreizverfahren ab. Die zielgerichtete Implementierung von Anforderungen kann dabei vielfältige anknüpfende Möglichkeiten der Datennutzung ermöglichen. Dadurch kann das Datentreuhändermodell und seine praktische Erprobung im Anwendungskontext der IT-Sicherheit eine vielversprechende Wirkung erzielen.
DFN-CERT
Im Teilvorhaben DEFENSIVE-PADS werden verschiedene, sicherheitsrelevante Prozesse für den Aufbau und Betrieb von dezentralen Datentreuhänderplattformen betrachtet. Dies beinhaltet Prozesse zur Authentifizierung und Autorisierung, sowie Prozesse zur Sicherstellung des Datenschutzes und der Informationssicherheit. Hierfür werden aktuelle wissenschaftliche Ansätze bezüglich jener Prozesse analysiert und gegebenenfalls an die Anforderungen der DEFENSIVE-Datentreuhänderplattform angepasst. Als Praxispartner wird das DFN-CERT relevante CTI-Daten bereitstellen, welche als Basis für Evaluationen dienen. Zur Evaluation betrachtet das DFN-CERT fokussiert die Einhaltung der Datenschutzanforderungen und unterzieht die DEFENSIVE-Datentreuhänderplattform einer Sicherheitsanalyse.
Das Arbeitspaket „Anforderungserhebung“ stellt die Anforderungen verschiedener Akteure an dezentrale Datentreuhänderplattformen und die dort implementierten Prozesse zusammen. Anschließend werden die Prozesse im Kontext als relevant identifizierter Use-Cases evaluiert. Dabei wird im Sinne eines Privacy-by-design-Ansatzes von vorneherein ein Schwerpunkt auf Aspekte der Informationssicherheit und des Datenschutzes gelegt. Wichtig sind in diesem Kontext insbesondere die Authentisierung und Autorisierung von Endbenutzern unter Berücksichtigung verschiedener, flexibler und dezentraler Authentisierungsansätze sowie die Zusicherung der Integrität, Authentizität und Anonymität von CTI. Die Anonymität von CTI bezeichnet hier die Entfernung von personenbezogenen Daten mit dem zusätzlichen Ziel, keine spezifischen Informationen über die betroffene Einrichtung weiterzuverbreiten.
Weiter ist die Rechteverwaltung von zentraler Bedeutung, um die Authentizität, Glaubwürdigkeit sowie das Vertrauen in die CTI-Daten in einem dezentralen System zu gewährleisten. Hier spielt die Anforderung der Nichtabstreitbarkeit eine wichtige Rolle, welche zu entwickelnde Prozesse zur Rechteverwaltung füllen müssen. Um die Erfüllung der aufgestellten Anforderungen sicherzustellen benötigt ein so komplexes System wie die DEFENSIVE-Datentreuhänderplattform eine ausführliche Evaluation. Diese erfolgt durch das DFN-CERT als Teil des DEFENSIVE-PADS-Teilvorhabens unter Verwendung der im Arbeitspaket „Anforderungserhebung“ aufgestellten Anforderungen an Datenschutz und Informationssicherheit.
Um das Vertrauen in die Plattform und die Einhaltung der Anforderungen an die Informationssicherheit zu stärken, wird das DFN-CERT eine Sicherheitsanalyse der DEFENSIVE-Plattform durchführen. Hierfür werden Techniken wie Penetrationstests, statische Codeanalyse und Code-Audit genutzt, um Schwachstellen oder Mängel frühzeitig erkennen und beseitigen zu können. Im Rahmen der “Richtlinie zur Förderung von Projekten zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft” leistet dieses Teilvorhaben einen Beitrag zur Nutzbarmachung von Daten zu IT-Sicherheitsvorfällen. Konkret zielt dieses Teilvorhaben auf den dezentralen Austausch mittels moderner Technologien und Anreizverfahren ab. Die zielgerichtete Implementierung von Anforderungen kann dabei vielfältige anknüpfende Möglichkeiten der Datennutzung ermöglichen. Dadurch kann das Datentreuhändermodell und seine praktische Erprobung im Anwendungskontext der IT-Sicherheit eine vielversprechende Wirkung erzielen.
IT-Sicherheitscluster
Mit dem Projektvorhaben DEFENSIVE widmet sich das IT-Sicherheitscluster e. V. (SEC) der Konzeption und Implementierung eines dezentralen Datentreuhändermodells zur zielgerichteten Nutzung von Daten und dem dafür notwendigen Austausch zwischen verschiedenen Akteuren. Das Modell der dezentralen Datentreuhänderplattform wird im Projektvorhaben im Kontext der IT-Sicherheit evaluiert.
Das Teilvorhaben DEFENSIVE-APISEC adressiert exemplarisch die potenziellen Stakeholder der Datentreuhänderplattform und ist weniger von Forschungsfragen getrieben. Vielmehr rekrutiert es Partner aus der Mitgliederschaft des IT-Sicherheitsclusters für die Erprobung und konfektioniert wie konfiguriert Partnerschaften für einen erfolgreichen Entwicklungsprozess von DEFENSIVE und gewährleistet sowohl durch die Einbindung juristischer Expertise als auch der notwendigen Datenurheber (KMU/IT-Dienstleister) als auch der Verbraucher (KMU/KMO) den realitätsnahen Betrieb. Ferner distribuiert es das System in angeschlossene, branchenspezifizische Netzwerke in Deutschland und auf europäischer Ebene.
Ziel ist die Unterstützung des DEFENSIVE-Projekts durch die Vermittlung von angemessenen sekundären Projektpartnern, die einerseits Realdaten erzeugen, andererseits Realdaten nutzen. Der Arbeitspart von DEFENSIVE-APISEC ist daher weniger auf wissenschaftlicher, denn auf kooperationsbildender und juristisch-ökonomischer Ebene zu verorten. Ein Teilziel ist die Definition eines Anforderungskatalogs für DEFENSIVE (in Zusammenarbeit mit den beiden anderen Partnern). Zudem ist die Priorisierung der Anforderungen (Datenschutz, Anreize, Interoperabilität) ein weiteres Teilziel von DEFENSIVE-APISEC. Parallel dazu ist ein angestrebtes Ergebnis ein konzeptuell valides Geschäfts- und Finanzierungsmodell, damit der technische Betrieb der Datentreuhandplattform nach dem Launch sich wirtschaftlich tragen kann. Ziele sind zudem eine Veranstaltungsstruktur sowie geeignete Lehrformate zur Vermittlung und Erprobung des Prototyps durch eine breitere User-Community. Die Ergebnisse dieser Arbeit fließen in ein Konzept zum Transfer der Ergebnisse in die Wirtschaft, an die Mitglieder des IT Sicherheitsclusters und darüber hinaus ein.
Geplant ist eine Distribution unter einer Lizenz für freie und quelloffene Software. Daher sollte die Bewerbung der Open Source Community bei Github unter den Mitgliedern zeitig erfolgen. Ziel des Projekts ist die Entwicklung eines tragfähigen sowie erfolgversprechenden Konzepts dazu. Eine der großen Qualitäten des IT-Sicherheitsclusters sind Mitglieder mit speziell fürs Fach geeignetem juristischen Sachverstand. Dieser bezieht sich beispielsweise auf IT-Recht, IP-Fragestellungen sowie Expertise sowohl im Urheber-, Lizenz- als auch im aktuellen Datenschutzrecht. Dieses Know-how wird instanziiert und für DEFENSIVE-APISEC nutzbar gemacht. Darüber hinaus entwickelt das Projekt einen juristisch sicheren Prozess, der die Beantragung, Prüfung und Bewilligung der Nutzung des Datenökosystems rechtssicher garantiert. Nicht zuletzt arbeitet das Team von DEFENSIVE-APISEC an einem vertrauenswürdigen Verfahren zur Regelung des Zugangs zum Datenökosystem mit. Eine wesentliche Gelingens- und Erfolgsbedingung für diese neue digitalisierte Form der Treuhänderschaft ist ihre Zertifizierung. Daher erarbeitet DEFENSIVE-APISEC ein Konzept mit Akkreditierungsgesellschaften zur Vorbereitung der Akkreditierung der treuhänderischen Sharing-Plattform.
Im Rahmen der “Richtlinie zur Förderung von Projekten zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft” leistet DEFENSIVE-APISEC damit einen Teilbeitrag zur rechtssicheren, anonymisierten, aber auch ökonomisierten Nutzbarmachung von Daten zu IT-Sicherheitsvorfällen und überwindet damit konkrete Hürden, die bislang noch hemmend auf die Informationsvermittlung wirken, da nicht jedes Unternehmen Daten von Incidents freizügig zur Verfügung stellt. Der dezentrale Austausch mittels moderner Technologien und Anreizverfahren bedarf allerdings einer juristischen Fundierung, die Mitglieder des Clusters gewährleisten können. Die Mitarbeit an der Implementierung ergänzt technische Möglichkeiten der Datennutzung um Kooperationsmodelle jenseits der Infrastruktur. Durch die Integration von echten Daten echter Urheber und realen potenziell Betroffenen kann das Datentreuhändermodell in seiner praktischen Erprobung im Anwendungskontext der IT-Sicherheit eine vielversprechende Wirkung entfalten.
Zu Beschreibung des Gesamtvorhabens.