Im Kampf gegen Cyber-Kriminalität

Im Mai 2019 fiel am Hagener Campus der Startschuss für das Forschungsprojekt „SIMARGL“ (Secure Intelligent Methods for Advanced Recognition of Malware and Stegomalware). Gemeinsam mit 13 weiteren Projektpartnerinnen und -partnern aus sieben EU-Ländern arbeitete die FernUniversität unter der Leitung von Informatiker Prof. Dr. Jörg Keller an der Entwicklung eines Toolkits, um Cyberangriffe frühzeitig zu erkennen. Mit Erfolg – nach drei Jahren intensiver Forschungsarbeit wird das Toolkit bei den kommerziellen Partnern eingesetzt. Die Europäische Kommission förderte das Projekt SIMARGL im Rahmen des Programms Horizont 2020 mit rund fünf Millionen Euro.

Erfolg für die FernUni

Das Ergebnis ist nicht nur aus der Sicht der Wirtschaft erfreulich. „Auch aus der wissenschaftlichen Perspektive war das Projekt ein viel größerer Erfolg, als wir gedacht haben. Das freut mich besonders“, sagt Prof. Jörg Keller (Lehrgebiet Parallelität und VLSI). Die Anzahl der Vorträge und Publikationen haben die Erwartungen übertroffen. „Zudem haben die wissenschaftlichen Beschäftigten des Projektes an der FernUni von SIMARGL sehr profitiert. Vier Doktorandinnen und Doktoranden haben ein gutes Stück ihrer Promotionsvorhaben umsetzen können.“

Die FernUniversität war als Koordinatorin maßgeblich an „SIMARGL“ beteiligt. Sie war sowohl wissenschaftlich an den technischen Entwicklungen beteiligt als auch Anlaufstelle für die Europäische Kommission. Auch für die finanziellen Fördermittel war sie verantwortlich und verteilte diese vertragsgemäß an die jeweiligen Projektpartnerinnen und -partnern.

SIMARGL verfolgte das Ziel, den neuen Herausforderungen im Bereich der Cybersicherheit zu begegnen und ein integriertes und validiertes Toolkit zu erarbeiten. „Die geplante Projektarbeit verlief durch die Corona-Pandemie aber anders als geplant“, sagt Jörg Keller. Nach dem Kick-Off-Treffen in Präsenz fanden bis auf einen Termin alle weiteren via Videokonferenz statt. „Rückblickend hat das sehr gut geklappt. Wir haben uns öfter getroffen, diese Meetings aber kürzer gehalten, denn bei zu langen Videokonferenzen findet zu wenig Interaktion statt.“

Toolkit zum Schutz vor Cyberkriminalität

Der Zugriff auf das Toolkit funktioniere über ein Dashboard. Dieses zeigt „Zustände“ eines Netzwerkes an, beispielsweise eines Unternehmens. Dort beobachten Beschäftigte gewisse Vorgänge. „Ein Projektpartner ist ein großer Internet- und Mobilfunkanbieter in Polen. Beispielsweise senden sich die Menschen dort jeden Tag eine Menge an Bildern hin- und her. In diesen könnte Schadsoftware versteckt sein“, erklärt Keller. Das Toolkit besteht aus verschiedenen Programmen, die auch im Zusammenspiel interagieren können. Im Dashboard könnte ein IT-Werkzeug beispielsweise feststellen, dass in den letzten 24 Stunden zehn Bilder mit Schadsoftware infiziert waren. „Das ist ein typischer Bericht, den IT-Mitarbeitende im Dashboard vorfinden. Sie können dann weitere Untersuchungen durchführen mit verschiedenen Werkzeugen, die bei SIMARGL entwickelt und weiterentwickelt wurden.“

Testmöglichkeiten in der Praxis

Besonders macht das SIMARGL-Projekt die Möglichkeit, alle entwickelten IT-Werkzeuge direkt in der Praxis in großen Netzwerken zu testen. „Oft haben wir das Problem, dass wir IT-Systeme nicht auf Massentauglichkeit testen können“, so der Professor. Das Toolkit konnten die Wissenschaftlerinnen und Wissenschaftler auf Herz und Nieren prüfen. „Es ist nicht für den privaten Gebrauch gedacht, sondern richtet sich an Unternehmen oder öffentliche Institutionen.“ Das Toolkit wird eine begrenzte Zeit zur Verfügung stehen. Das ist der Aktualität geschuldet, denn die IT-Sicherheit entwickelt sich rasch weiter. „Einige Projektpartnerinnen und -partner möchten die einzelnen IT-Werkzeuge weiterentwickeln.“

Vier Doktorandinnen und Doktoranden der FernUni haben an den einzelnen Teilprojekten mitgewirkt. Dabei wurden sie von Senior-Wissenschaftlern begleitet: Dr. Michal Choras, Dr. Wojciech Mazurczyk und Prof. Jörg Keller. Choras übernahm die Projektkoordinatorin und Keller hatte die Aufgabe des wissenschaftlichen Koordinators inne. Sie präsentierten SIMARGL unter anderem auf verschiedenen Tagungen oder publizierten Beiträge zum IT-Vorhaben. Zudem wurde das Projektmanagement intensiv vom Forschungsservice und der Drittmittelabteilung der FernUniversität unterstützt.

Immer mehr Cyberangriffe

„Seit Projektbeginn passieren Cyberangriffe häufiger. Das liegt an der stetig wachsenden Digitalisierung. Es nutzen immer mehr Menschen das Smartphone oder den Computer und so steigt auch die Anzahl der Kriminellen“, sagt Keller. Täterinnen und Täter entwickeln immer bessere Techniken – die Schadsoftwares kommunizieren unauffälliger und bleiben häufig länger unentdeckt. Sie können bei Unternehmen oder auch öffentlichen Einrichtungen zu massiven Schäden führen. Das entwickelte Toolkit im SIMARGL-Projekt ist gerade gegen diese unauffällige Kommunikation vorgegangen und versucht Muster zu erkennen. „In der IT-Sicherheit versuchen wir etwas Auffälliges zu erkennen, obwohl das System eigentlich unauffällig läuft.“

Weitere Forschung in der IT-Sicherheit

Nach der Arbeit bei SIMARGL bereitet Prof. Keller schon ein weiteres EU-Projekt vor. Mit einer Förderung des Bundesministeriums für Bildung und Forschung (BMBF) hat er wieder europäische Partner zusammengebracht, um einen Förderantrag im Forschungsförderprogramm Horizon Europe einzureichen. Das Projekt nennt sich „IMACOSAR“ (Intelligent Monitoring and Countermeasures of Stego Malware and Ransomware). Das geförderte IT-Vorhaben fokussiert sich auf die Entwicklung von Lösungen aus der Künstlichen Intelligenz zur Abwehr neuartiger Cyberattacken. So ist der ewige Kampf gegen Cyberangriffe noch längst nicht vorbei.