EU-Forschungsprojekt zum Schutz vor Cyberangriffen

Schrankenlose Vernetzung, weltweiter Austausch, flexible und schnelle Arbeitsprozesse – die Digitalisierung bringt eine Menge Vorteile. Allerdings sind auch viele neue Risiken durch sie entstanden, nicht zuletzt im Bereich der Kriminalität. Ausgeklügelte Schadsoftware und gezielte Cyberangriffe bedrohen weltweit die IT-Sicherheit. Das Problem allein auf nationaler Ebene anzugehen, würde zu kurz greifen. Um Cyberkriminellen die Stirn bieten zu können, müssen Ressourcen und Knowhow über Ländergrenzen hinweg gebündelt werden. Das passiert seit Mai 2019 mit dem internationalen Forschungsvorhaben SIMARGL („Secure Intelligent Methods for Advanced Recognition of Malware and Stegomalware“). Es wird von der Europäischen Kommission für den Zeitraum von drei Jahren finanziert. Die Grundlage hierfür bildet das Rahmenprogramm „Horizon 2020“. Koordinatorin des EU-Forschungsprojekts ist die FernUniversität in Hagen. Das Fördervolumen beträgt rund 5 Millionen Euro.

Hinter SIMARGL steht ein internationales wissenschaftliches Konsortium, das sich bereits vor drei Jahren im Rahmen einer Ausschreibung des Bundesministeriums für Bildung und Forschung zusammengefunden hat. Ein großer Teil der Mitglieder kommt aus mittel- und osteuropäischen Mitgliedsstaaten der EU. Initiator und Konsortialführer ist Prof. Dr. Jörg Keller, Leiter des Lehrgebiets Parallelität und VLSI an der FernUniversität. An dem Projekt beteiligen sich insgesamt 13 Partner, darunter Universitäten, Stiftungen und Forschungsinstitute, aber auch große und kleine Unternehmen. Den Startschuss für die konkrete Forschungsarbeit gab eine Kick-Off Veranstaltung im Mai, zu der sich das Konsortium auf dem Hagener Campus getroffen hatte.

Ernstes Sicherheitsproblem

Ziel des Projekts ist die Entwicklung eines Toolkits zum Schutz vor Cyberkriminalität. Doch welcher Methoden bedienen sich die Eindringlinge überhaupt? „Das Problem ist sogenannte Ransomware, also eine Schadsoftware, die Daten auf infizierten Rechnern verschlüsselt und nur gegen Zahlung eines Lösegelds wieder entschlüsselt“, erklärt Prof. Keller. Diese Form der digitalen Erpressung bestimmt immer wieder die Schlagzeilen. Prominentes Beispiel sind die Attacken von „WannaCry“ im Frühjahr 2017, die auch in Deutschland viele Systeme lahmlegten – unter anderem bei der Deutschen Bahn.

Aus Sicht des Informatikers sind solche Angriffe alles andere als Kavaliersdelikte: „Es gibt Institutionen mit erheblichem Schutzbedarf – zum Beispiel Krankenhäuser. Dort kommt es drauf an! Wenn eine wichtige Operation ohne den Zugang zu Röntgenbildern nicht durchgeführt werden kann, ist das eine lebensbedrohliche Situation.“

Getarnte IT-Schädlinge

Das Perfide an den Angriffen: Sie erfolgen geschützt von einer Art Tarnkappe. „Die Schadsoftware verschleiert ihre Existenz, indem sie ihre Kommunikation mit dem Steuerserver in einer anderen Kommunikation versteckt, die unauffällig ist.“ Dabei sind die Möglichkeiten zur Übertragung zahlreich – angefangen beim Aufruf von Webseiten und Mails bis hin zur inzwischen gängigen Telefonie über Voice Over IP. Überall können sich die Schädlinge heimlich zwischenschalten.

Den Kriminellen seien kaum technische Grenzen gesetzt, warnt der Forscher: „Zum Beispiel haben wir in einem unserer Experimente Datenpakete in den Gesprächspausen eines Telefonats übertragen. Das fällt nicht auf!“ Die übertragenen Datenmengen sind zudem unverdächtig klein. „Ein Passwort etwa hat nur ein paar hundert Bytes. Über einen Tag verteilt kann man es leicht ausschleusen.“

Bessere Erkennungsmechanismen

Bereits präventiv eine Abwehr aus spezifischen Gegenmaßnahmen aufzubauen, gestaltet sich schwierig, da nicht abzusehen ist, auf welche Art ein Angriff erfolgt: Zum einen ist nicht prognostizierbar, durch welches der zahllosen Einfallstore ein Schädling wirken könnte. Zum anderen erkennen herkömmliche Methoden nur die Muster von Schadsoftware, die schon bekannt ist. Auch ein Rundumschlag mit allen zur Verfügung stehenden Mitteln würde nicht funktionieren: Mit einer Palette von verschiedensten Gegenmaßnahmen den gesamten Datenverkehr zu überwachen, würde die Übertragungsqualität zu sehr verschlechtern.

Deshalb arbeitet SIMARGL daran, die Schädlinge bereits auf einer höheren Ebene zu ertappen: „Wir wollen neue Methoden finden, mit denen wir Hinweise auf ‚verdeckte Kanäle‘ bekommen. Diese Methoden müssen deutlich allgemeiner sein und weniger Nebenwirkungen für den Datenfluss haben als heutige Maßnahmen.“ So ist eine Idee, schädliche Vorgänge daran zu erkennen, dass der Energieverbrauch eines Systems überraschend ansteigt. „Wenn wir dann bemerken, dass da irgendetwas Seltsames vorgeht, lohnt es sich, genauer hinzuschauen.“

Fit für weitere EU-Projekte

Vonseiten der FernUniversität forschen inzwischen drei Wissenschaftliche Mitarbeitende aus Prof. Kellers Lehrgebiet für SIMARGL; eine vierte Stelle möchte er bald besetzen. Neben der Forschungsarbeit bedeutet das Vorhaben allerdings auch einen großen Verwaltungsaufwand. Abhilfe schafft ein neues „Project Support Office“, ebenfalls finanziert aus den EU-Mitteln. Dessen Team setzt sich aus Beschäftigten der Forschungsförderung, Finanzverwaltung und des Lehrgebiets zusammen. Mit seiner Kompetenz entlastet es die Wissenschaftlerinnen und Wissenschaftler hinsichtlich der Organisation. Von der so gewonnenen Expertise im Umgang mit großen EU-Förderlinien soll die FernUniversität langfristig profitieren: „Zunächst hilft das Office unserem SIMARGL-Projekt. Wenn wir aber in Zukunft noch mehr EU-Projekte an der FernUniversität haben sollten, kann es kontinuierlich arbeiten und auch diese unterstützen.“