Cyber Defence-Plattform für Threat Hunting, Incident Response und Informationsaustausch in Echtzeit
In den letzten zehn Jahren wurden immer häufiger und mit immer größeren Auswirkungen Cyberangriffe beobachtet, von denen einige sogar ein globales Ausmaß erreichten. Schätzungen zufolge belaufen sich die durchschnittlichen jährlichen Kosten der Cyberkriminalität pro Unternehmen auf mehr als 13 Mio. USD, wobei sie 2018 um 12 % und in den letzten fünf Jahren um insgesamt 72 % gestiegen sind1. Dies erfordert kontinuierliche (und zunehmende) Investitionen in Cybersicherheitslösungen, die jedoch nicht immer den erwarteten Nutzen bringen. Moderne Cyberbedrohungen werden immer komplexer und schaffen es häufig, herkömmliche Perimeter-, Netzwerk- und Endpunktschutzmethoden zu umgehen.
Da im Verteidigungsbereich zunehmend modernste IKT-Technologien in militärischen Einheiten und Kommandostrukturen eingesetzt werden, nehmen die Auswirkungen von Cyber-Bedrohungen und potenziellen Zwischenfällen auf die Verteidigungsfähigkeiten der Mitgliedstaaten - auf taktischer, administrativer und strategischer Ebene - ständig zu. Im militärischen Kontext können die Auswirkungen eines Vorfalls im Bereich der Cybersicherheit nicht nur wirtschaftliche Folgen haben, sondern auch die nationale Sicherheit und Integrität direkt beeinträchtigen und sogar zum Verlust von Menschenleben führen. Während der Diebstahl von Informationen die häufigste Folge von Cyberkriminalität ist, können auch andere Ziele, wie militärische Netzwerke und Kontrollsysteme, in einer mächtigen Aktion zur Störung und Zerstörung ausgenutzt werden. Darüber hinaus werden viele Cyberangriffe auf militärische Ziele nicht von Einzelpersonen, sondern von ausländischen Staaten in Auftrag gegeben (und finanziert) und von professionellen Teams mit hoch entwickelten Werkzeugen und großzügigem Zugang zu technischen, finanziellen und personellen Ressourcen durchgeführt.
Um ihre Cyber-Resilienz zu erhöhen, setzen die Strukturen der Mitgliedstaaten eine Vielzahl technischer Lösungen auf Perimeter-, Netzwerk- und Endpunktebene ein. Diese Lösungen werden oft als Flickwerk von Einzelprodukten kombiniert, die jeweils isoliert arbeiten und keine organische Integration oder Fähigkeiten zum Informationsaustausch aufweisen. Dieser Ansatz stellt jedoch eher eine Notlösung als einen ganzheitlichen Verteidigungsrahmen dar. Hinzu kommt, dass die meisten dieser Lösungen von Organisationen außerhalb der EU entwickelt (und kontrolliert) werden und ihre Logik und Funktionsweise für den Endnutzer völlig undurchsichtig ist. Sie funktionieren im Wesentlichen wie "Black Boxes", und die Benutzerdokumentation ist oft die einzige Informationsquelle über ihr tatsächliches Verhalten. Es ist daher nicht verwunderlich, dass die EU die Befähigung zu reaktionsschnellen Cyber-Operationen zu einer ihrer elf Entwicklungsprioritäten erklärt hat2. Der Rückgriff auf rein von der EU entwickelte Fähigkeiten ist entscheidend für die Verbesserung der Cyber-Resilienz und die Stärkung der operativen Unabhängigkeit der EU-Mitgliedstaaten, insbesondere auf kosteneffiziente Weise.
Im technischen Bereich stoßen traditionelle Sicherheitstechniken an ihre Grenzen, und es wird anerkannt, dass der Austausch von Bedrohungsdaten sowie Automatisierung, künstliche Intelligenz und maschinelles Lernen heute die beiden kosteneffizientesten Ansätze zur Stärkung der Widerstandsfähigkeit im Cyberspace sind6. In dieser Hinsicht würde eine integrierte, innovative und offene Lösung, die in der EU entwickelt wird und diese beiden neuen Möglichkeiten nutzt, um die Erkennungs- und Reaktionsfähigkeit zu verbessern und den Austausch von Cyber-Bedrohungsdaten zu fördern, die speziell auf den Einsatz im Verteidigungsbereich zugeschnitten ist und die bereits vorhandenen traditionellen Sicherheitslösungen ergänzt, einen entscheidenden Beitrag zur Entwicklung der Cyber-Resilienz der EU leisten.
Das Projekt PANDORA zielt darauf ab, einen Beitrag zum Aufbau von Cyberverteidigungskapazitäten in der EU zu leisten, indem es eine offene technische Lösung für die Bedrohungsjagd in Echtzeit und die Reaktion auf Zwischenfälle mit Schwerpunkt auf dem Schutz von Endpunkten und dem Informationsaustausch entwickelt und implementiert. Das PANDORA-System wird in der Lage sein, bekannte und unbekannte Bedrohungen sofort zu erkennen und zu klassifizieren, on-the-fly Maßnahmen zur Bekämpfung dieser Bedrohungen durchzusetzen und darüber hinaus einen nahezu sofortigen Austausch von Bedrohungsinformationen mit Dritten auf nationaler und internationaler Ebene zu ermöglichen.
Im Einzelnen wird die in PANDORA entwickelte technische Lösung Folgendes leisten:
- Sammeln von Informationen (Metriken, Datenverkehr, Indikatoren für Kompromisse (IoCs) usw.) von Endpunkten und Netzwerkelementen;
- Erkennen und Klassifizieren von Sicherheitsvorfällen, sowohl von bekannten (basierend auf Signaturen und IoCs) als auch von unbekannten (basierend auf abgeleiteten Anomalien und verdächtigen Verhaltensweisen);
- Vorschlagen von Abhilfemaßnahmen und Richtlinien - und deren automatische Durchsetzung bei Bestätigung;
- Import und Export von Informationen über Vorfälle und Bedrohungen in/aus nationalen und internationalen Plattformen zum Informationsaustausch;
- Bereitstellung von grafischen und programmatischen Schnittstellen mit rollenbasierter Zugriffskontrolle zur Unterstützung von Sicherheitsoperationen und zur Ermöglichung eingehender Untersuchungen im Falle eines Vorfalls.
Es sei darauf hingewiesen, dass PANDORA, wie bereits erwähnt, vollständig auf den Anwendungsbereich und die Ziele des PESCO-Projekts mit dem Titel "Cyber Threats and Incident Response Information Sharing Platform (CTISP)" abgestimmt sein wird. Die meisten der in der EDIDP-Aufforderung genannten Anforderungen - die von der PANDORA-Lösung erfüllt werden - sind mit den Zielen des PESCO-CTISP-Projekts abgestimmt.
- Partner: SPACE HELLAS S.A. (COORDINATOR), THALES HELLAS, Naval Group, GMVIS SKYSOFT, AIT Austrian Institute of Technology GmbH, INFILI Technologies PC, UBITECH LIMITED, Orion Innovations PC, Gatewatcher, Honvédelmi Minisztérium Elektronikai Logisztikai és Vagyonkezelö ZRT., Centre Tecnologic de Telecomunicacions de Catalunya, INESC TEC – Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência, CYBER SERVICES, NVISO CVBA, Centro de Investigação, Desenvolvimento e Inovação da Academia Militar – CINAMIL
- Projektlaufzeit: 12/2020 – 11/2022
- Förderprogramm: Software suite solution, enabling real-time cyber threat hunting and live incident response, based on shared cyber threat intelligence, EDIDP-CSAMN-SSS-2019