Die Bereitstellung von Kryptographie im Internet ist eine Herausforderung. Trotz jahrzehntelanger Forschung mit mehreren Vorschlägen sind die meisten Dienste und Netzwerke im Internet nicht kryptographisch geschützt. Die bestehenden Mechanismen sind manuell, was zu hohen Kosten, Overhead und Fehlkonfigurationen führt. Hinzu kommt das klassische Henne-Ei-Problem: um effektiv zu sein, müssen alle Beteiligten zwar den kryptographischen Mechanismus einsetzen, doch ist eine einseitige Bereitstellung weitgehend wirkungslos, wenn der andere nicht weit verbreitet ist. Dies stellt ein erhebliches Hindernis für einen breiten Einsatz dar, da die frühzeitige Anwendung zum einen keinen Sicherheitsvorteil bietet. Zum anderen können potenzielle Fehlkonfigurationen zu Angriffen und Verbindungsproblemen führen.

Diese Probleme gelten für eine Vielzahl von Systemen auf der Kontrollebene des Internets, wie RPKI [RFC6480], DNSSEC [RFC4033-RFC4035], die vor mehr als zwei Jahrzehnten vorgeschlagen wurden, aber noch nicht weit verbreitet sind, krypto­grafischer Schutz für NTP, wie beispielsweise Chronos, sowie Mechanismen, die zum Bootstrap der Kryptographie verwendet werden, wie beispielsweise die Domänenvalidierung.

Unser Ziel ist es, Hindernisse und Herausforderungen beim Einsatz krypto­grafischer Abwehrmaßnahmen im Internet zu beseitigen, Kosten und Aufwand für die Einführung zu reduzieren sowie Fehlkonfigurationen zu verhindern. Wir haben die folgenden Ziele definiert, die wir erreichen wollen, um die bestehenden Sicherheits- und Leistungsprobleme zu beheben:

• Automatisierung. Um den Einsatz kryptographischer Mechanismen im Internet zu erleichtern und gleichzeitig Fehler und Fehlkonfigurationen zu reduzieren, werden wir die Zertifizierung und Registrierung der digitalen Ressourcen wie IP-Präfixblöcke, AS-Nummern und Domänen automatisieren. Dadurch werden die aktuellen manuellen Zertifizierungs- und Eigentumsvalidierungsprozesse in ihrer bisherigen Form nicht mehr geben. Wir werden Mechanismen entwickeln, um die Einrichtung und Konfiguration der Zertifizierung und Registrierung sowie die Eigentumsvalidierung digitaler Ressourcen zu automatisieren.
• Vorteile bei frühzeitiger Anwendung. Unser Ziel ist es, die bestehenden Mechanismen zu erweitern, um es dem Anwender frühzeitig zu ermöglichen, Sicherheitsvorteile zu genießen, ohne darauf zu warten, dass der Rest des Internets auch den neuen Mechanismus einsetzt. Ziehen Sie beispielsweise in Betracht, eine neue Verschlüsselung in DNSSEC zu übernehmen, wie den Post-Quantum-Secure-Algorithmus FALCON, der ein NIST-Finalist der dritten Runde des digitalen Signaturverfahrens ist, kann es zu Problemen kommen. Da die DNS-Resolver diesen Algorithmus nicht unterstützen, hat eine DNSSEC-signierte Domäne, die ihn verwendet, keine Sicherheitsvorteile, aber stattdessen werden DNS-Antworten von dieser Domäne zusätzlichen Overhead und sogar mögliche Konnektivitätsprobleme aufgrund der Zunahme ihrer Größe erfahren. Wir werden Lösungen entwickeln, die diese Probleme lösen und die Sicherheitsvorteile auch bei einseitigen Einsätzen zum Tragen bringen, wenn beispielsweise nur eine Seite die neuen Mechanismen unterstützt. Wir beteiligen uns auch aktiv an der NIST-Standardisierung und organisierten einen Workshop im Rahmen der NIST-Standardisierungskonferenz zu Herausforderungen und Hindernissen beim Einsatz von PQC-Chiffren in der Internet-Infrastruktur.
• Experimentelle Forschungsplattformen. Unser Ziel ist es, Plattformen zu entwickeln, die es ermöglichen, verschiedene Mechanismen und ihre Si­cher­heits­lö­sun­gen zu testen sowie darauf Angriffe in einer Umgebung zu fahren, die dem realen Internet ähnelt, ohne dabei Leistungs-, Konnektivitäts- oder Sicherheitsrisiken für die Internetdienste oder Benutzer zu verursachen. Dazu entwickeln wir zwei Forschungsplattformen: ein programmierbares Netzwerk-Testbed und eine Plattform für aktive BGP-Experimente im Internet.

Unser Ziel ist es, Angriffe proaktiv zu verhindern und laufende Angriffe zu blockieren. Dafür untersuchen wir, welche Angriffe aktiv und proaktiv blockiert werden können, wobei wir uns auf gängige Bedrohungen wie Denial of Service, Traffic Hijacking, Ransomware und Phishing-Angriffe konzentrieren.

Um die Effektivität der Blockierung verschiedener Angriffe sowie mögliche Kollateralschäden zu verstehen und die Techniken bei Bedarf zu optimieren, simulieren wir für jede Technik die potenziellen Aus­wirkungen. Dabei analysieren wir die Techniken auch aus verschiedenen Blickwinkeln, beispielsweise hinsichtlich der Notwendigkeit der Zusam­men­arbeit mit Dritten, wie Registrierstellen oder Internetdienstanbietern (ISPs), sowie der Notwendigkeit gemeinsamer Anstrengungen mit mehreren Ländern, um effektiv zu sein.

In diesem Zusammenhang ist es wichtig zu verstehen, dass es ein breites Spektrum an technologischen Lösungen für die aktive Cyberabwehr gibt, die entwickelt werden können, um ein breites Spektrum von Angriffen zu lösen, abzuschwächen und zu verhindern. Solche Angriffe reichen von geringfügigen Störungen bis hin zu verheerenden finanziellen und anderen Schäden. Ihnen vorzubeugen ist von entscheidender Bedeutung. Wir werden zeigen, dass Prävention sowohl in Deutschland als auch auf europäischer Ebene möglich ist:  technologisch, gesetzgeberisch und auch operativ.

Cyber-Angriffe nehmen rasant an Zahl und Komplexität zu. Der Erstzugriff auf die Netzwerke der Opfer erfolgt zunehmend über das Malware-as-a-Service-Geschäftsmodell angeboten, bei dem die Erstinfektion mit einer Information-Stealer-Malware (Infostealer) durchgeführt wird. Infostealer zielen darauf ab, auf dem infizierten Zielsystem nach sensiblen und privaten Informationen wie Passwörtern und Cookies, Browserverlauf und zwischengespeicherten Daten zu suchen. Sie stellen Sicherheits- und Datenschutzrisiken dar und verursachen auch erhebliche wirtschaftliche Verluste. Sicherheitsforschende nutzen vielfältige Ansätze, um verdächtige Software zu erkennen und auf das Vorhandensein von Schadsoftware zu analysieren. Zu den Standardtechniken zur Malware-Erkennung gehört die Suche nach sogenannten Fingerabdrücken, d. h. syntaktischen Mustern bekannter Malware-Codes. Es ist auch üblich, vermutete Malware in einer Sandbox auszuführen und deren Verhalten zu beobachten, beispielsweise Versuche, auf bestimmte APIs von Netzwerkdiensten, Benutzerdaten usw. zuzugreifen.

Im Rahmen dieses Projekts entwickeln wir einen neuen Ansatz heißt Control-Flow-Fingerprinting (CF-Fingerprinting), der auf dem Laufzeitverhalten von Programmen Dieser berechnet den Fingerabdruck eines bestimmten Programms nicht auf der Grundlage syntaktischer Muster, sondern anhand des beobachteten Laufzeitverhaltens, das in einem Ausführungs-Trace protokolliert wird. Die Idee dahinter ist, dass infizierte Software ihr Verhalten ändert, spätestens dann, wenn vor­handene Schadsoftware aktiviert wird.

Unser Ziel ist es, eine Fingerprinting-Technik zu entwickeln, die auf die Control-Flow-Traces von Programmen basiert und geeignet ist, Malware mit hoher Genauigkeit zu erkennen. Diese Technik soll eine hohe Erkennungsrate für Malware bieten, die auch auf unbekannte Varianten anwendbar ist, und dabei eine niedrige Fehlalarmrate hat. Die Kernidee besteht darin, Spuren von Programmläufen zu generieren, um Einblicke in die Kontrollflussentscheidungen und Programmzustand zu erhalten. Diese Methode wird in eine Online-Plattform integriert, die hochgeladene Software in Echtzeit auf Schadsoftware überprüft. Ein wichtiger Bestandteil wird ein Crawler-Bundle sein, das in regelmäßigen Abständen beliebte Software im Internet sammelt und auf mögliche Manipulationen und Infektionen analysiert.

Trotz der Wichtigkeit der Informationen, die über mit S/MIME (Secure/Multipose Internet Mail Extensions) verschlüsselte E-Mails übertragen werden, gibt es keine umfassende Sicherheitsanalyse des S/MIME-E-Mail-Ökosystems, die die Sicherheit von S/MIME-Zertifikaten abdeckt. Auch ihr Zusammenspiel mit verschiedenen E-Mail-Clients und LDAP (Lightweight Directory Access Protocol), das zur Verteilung von S/MIME-Zertifikaten verwendet wird, wurde bisher nicht ausreichend untersucht. Zum einen ist nicht bekannt, wie viele Organisationen überhaupt S/MIME verwenden. Zum anderen haben Wissenschaftler*innen derzeit auch keine Einblicke in die krypto­grafischen Eigenschaften von Zertifikaten, Sperr- und Ablaufmechanismen sowie potenziell unsicheren Schlüsseln. Die vielversprechendste Quelle für S/MIME-Zertifikate sind öffentliche LDAP-Verzeichnisse, in denen viele Organisationen S/MIME-Zertifikate für interne und externe Kommunikationspartner verteilen. Wesentliche Herausforderungen beim Sammeln von Zertifikaten von LDAP-Servern liegen in der Entdeckung der Verzeichnisse, Einschränkungen bei der Datenextraktion sowie den rechtlichen und ethischen Aspekten des Sammelns von S/MIME-Zertifikaten.

Die beiden Hauptziele dieses Projekts sind die Sammlung und Analyse von S/MIME-Zertifikaten sowie die Sicherheitsanalyse des LDAP-Protokolls, seiner Implementierungen und seiner Nutzung im Internet. Diese Analyse ist in fünf Teile unterteilt: Analyse der öffentlichen LDAP-Landschaft, LDAP-Protokollanalyse, LDAP-Implementierungsanalyse, S/MIME-PKI-Analyse und Richtlinien für sichere LDAP- und S/MIME-Bereitstellungen. Unsere geplanten Richtlinien werden die Herausforderungen und Abhilfemaßnahmen einer sicheren Bereitstellung von S/MIME und LDAP untersuchen.

Einblicke in die Internet-Kernprotokolle zu erhalten, ist entscheidend für das Verständnis von Fehlkonfigurationen und Schwachstellen sowie für den Entwurf und die Einführung neuer Mechanismen und Tech­no­logien. Obwohl viel Aufwand betrieben wird, um das Internet zu verstehen, fehlen noch viele Tools. Bestehende Tools unterstützen oftmals nicht wichtige Eigenschaften wie die Wiederholbarkeit von Versuchen oder die langfristige Auswertung. Des Weiteren sind die vor­handenen Tools nicht einfach zu bedienen, da sie keine benutzerfreundliche Oberfläche haben und keine einfache Erstellung von Statistiken und Analyse der gesammelten Daten bieten. Tools zur Durchführung dedizierter Messungen, die auf spezielle Aufgaben wie Zensur zugeschnitten sind, erfordern entweder zusätzliche Infrastruktur oder interne Zusam­men­arbeit innerhalb des gemessenen Netzwerks.

Das Hauptziel dieses Projekts ist die Entwicklung von Tools für die automatisierte, wiederholende Datenerfassung und -analyse, ohne Notwendigkeit der Mitarbeit des getesteten Zielnetzwerks. Unser Ziel ist es, Einblicke in die Internet-Infrastruktur zu geben: wie die Systeme konfiguriert sind, wie krypto­grafisches Material wie Schlüssel und Signaturen erzeugt wird, was die Fehlkonfigurationen und Schwachstellen sind, wie Angriffe gestartet werden (z. B. wie Zensur über verschiedene Länder und Kontinente hinweg durchgesetzt wird) und auch welche Hindernisse für den Einsatz von Verteidigungsmaßnahmen und neuen Tech­no­logien vorhanden sind. Wir wollen diese Fragen im Hinblick auf die Kernprotokolle des Internets untersuchen. Unsere Erfahrung zeigt, dass der „Faktor Mensch“ die Hauptursache für Fehlkonfigurationen und Fehler bei der Nutzung von Tools oder dem Einsatz von Tech­no­logien und Abwehrmaßnahmen ist. Daher müssen die im Rahmen dieses Projekts entwickelten Tools so weit wie möglich automatisiert sein. Ihre Benutzeroberflächen werden in Zusam­men­arbeit mit Projekt 3 entwickelt, um eine benutzerfreundliche Oberfläche und einen einfachen Aufruf zu gewährleisten. Mit Hilfe unserer Tools werden Daten von zentralen Internet-Infrastrukturen gesammelt, periodisch analysiert und die Ergebnisse in Form von Grafiken und Diagrammen dargestellt. Die neuen Tools sollen protokollspezifisch sein, z. B. Tools zur Messung von Fehlkonfigurationen in DNS oder BGP sowie in ihren jeweiligen Abwehrmechanismen, und aufgabenspezifisch, wie z. B. die Erkennung von Zensur, DNS-Cache-Poisoning oder BGP-Präfix-Hijacking. Im Rahmen des Projekts werden auch Tools zur Erkennung von BGP-Präfix-Hijacking und DNS-Cache-Poisoning-Angriffen entwickelt: (1) Offline-Tools, die historische Daten analysieren, wie z. B. CAIDA und andere Repositories zur Erfassung von Datenverkehr sowie (2) Online-Tools, die eine Live-Überwachung zur Erkennung von Angriffen durchführen. Für letztere zielt Projekt 1 auf die Entwicklung von Tools ab, die Dienste in ganzen Netzwerken überwachen, z. B. für Internet Service Operators (ISPs), sowie auf Endhost-basierte Tools, z. B. für Browser. Die daraus resultierenden Tools ermöglichen die Erfassung von Informationen, die für das Verständnis praktischer Angriffe und Methoden, die von den Internet-Angreifern verwendet werden, erforderlich sind. Das Arbeitsergebnis wird eine Plattform sein, die ein umfassendes Toolset zur Erfassung von Informationen über die Kernprotokolle im Internet und über die Angriffe bietet.

Die Internet-Infrastruktur ist extrem anfällig für Angriffe. Basierend auf den Er­kennt­nissen aus Projekt 1 soll dieses Projekt neue Sicherheitsmechanismen entwerfen und möglicherweise bestehende Angebote erweitern, um die Lücken in den aktuellen Standards und Implementierungen zu schließen. Unsere Untersuchungen in diesem Projekt konzentrieren sich hauptsächlich auf drei Kernprotokolle des Internets: BGP, DNS und NTP. Genauer gesagt untersucht das Projekt Folgendes: (1) Angriffe auf Internet-Kernprotokolle sowie deren Missbrauch für Angriffe auf andere Systeme und (2) Einsatz von Abwehrmaßnahmen.

Untersuchen von Angriffen auf zentrale Internet-Protokolle und deren Missbräuche. Das Projekt entwickelt praktische Angriffe und testet deren Missbrauch für die Entwicklung anspruchsvoller Angriffe gegen Sicherheitsmechanismen, Anwendungen und Systeme. Wir führen DNS-Cache-Poisoning-Angriffe durch und bewerten damit Angriffe auf zahlreiche Systeme im Internet. Im ersten Schritt werden wir unter Verwendung unseres Testbeds aus Projekt 1 neuartige Angriffe entwickeln und evaluieren. Im zweiten Schritt werden wir eine Live-Evaluierung der im Internet vor­handenen Angriffe vornehmen und umfassende Messungen durchführen, um den Umfang der Schwachstellen und den Anteil der gefährdeten Netzwerke und Systeme abzuschätzen.

Entwicklung und Einrichtung von Abwehrmaßnahmen. Wir werden an der Entwicklung von Abwehrmaßnahmen für die wichtigsten Internet-Protokolle arbeiten und dabei auf die Erkenntnisse aus Projekt 1 zurückgreifen. Wir werden versuchen, wenn möglich auf den bestehenden Abwehrmaßnahmen aufzubauen und gegebenenfalls Erweiterungen zu entwickeln, um Probleme zu lösen, die eine breite Akzeptanz der Sicherheit verhindern, z. B. durch zusätzliche Anreize oder die Beseitigung von Barrieren. Unser erstes und wichtigstes Ziel ist es, den Einsatz von RPKI und DNSSEC voranzutreiben. Bei ihrem Einsatz verhindern diese Abwehrmechanismen die meisten Traffic-Hijack-Angriffe (sei es aufgrund von BGP-Präfix-Hijacking oder als Folge von DNS-Cache-Poisoning).

Die zunehmenden Cyberangriffe auf Internet-Infrastrukturen, -Plattformen, -Dienste und -Nutzer führen nicht nur zu enormen finanziellen Verlusten und Datenschutzverletzungen sowie zur Verletzung der Privatsphäre, sondern beeinträchtigen auch die Stabilität moderner Gesellschaften und sogar das Leben der Menschen. Neueste Angriffe zeigen, dass alles und jeder ein Ziel ist und angegriffen werden kann, von kritischen Infrastrukturen über den Finanzsektor bis hin zu Politiker*innen und Regierungen. Cyberspionage und Cyberkriminalität werden zunehmend zu Bedrohungen für unsere moderne Demokratie. Täglich werden Angriffe auf Netzwerke gemeldet.

Ungepatchte und veraltete Systeme sind Haupteinfallstore in die Netzwerke. Obwohl die Bedeutung der Behebung von Schwachstellen und des Patchens der Systeme bekannt ist, zeigt die Forschung, dass die meisten der aktiv bei Angriffen ausgenutzten Schwachstellen bekannt sind und ein großer Teil der Netzwerke aufgrund ungepatchter Systeme anfällig ist. Hauptursache dafür ist ein Mangel an automatisierten Tools, die es Netzwerken ermöglichen, kontinuierliche und regelmäßige Sicherheitsmessungen ihrer digitalen Assets durchzuführen.

In diesem Projekt wollen wir folgende Fragen beantworten: Wie sicher ist mein Netzwerk? Welche Geräte habe ich in meinen Netzwerken? Ist alles gepatcht? Dies scheinen einfache Fragen zu sein, die jedoch in der Praxis mit den vor­handenen Instrumenten schwer zu beantworten sind. Fehlkonfigurationen und Schwachstellen in Netzwerken und Diensten werden als Haupteinfallstore verwendet, um in Netzwerke einzudringen. Die Angriffe nehmen stetig zu, bekannte Schwachstellen und Exploits werden zunehmend als erste Schritte genutzt, um in einen fremden Rechner einzudringen. Das Verständnis der Sicherheitslandschaft im Allgemeinen sowie der Schwachstellen in bestimmten Organisationen und Netzwerken im Besonderen kann es den Betreibern ermöglichen, ihre Netzwerke zu patchen, bevor sie von Kriminellen entdeckt und miss­braucht werden.

Zwar gibt es einige Tools, wie z. B. Zmap, doch um diese konfigurieren und betreiben zu können ist  diese Fachwissen erforderlich. Auch für Laien sind sie nicht leicht zu verstehen. Infolgedessen führen die Netzwerke keine regelmäßigen Sicherheitsscans durch. Auch Sicherheitstests werden leider nur selten durchgeführt, und wenn, dann typischerweise durch einen Anbieter, der Pentestdienste anbietet. Unsere Tools ermöglichen es jedem Netzwerkbetreiber, regelmäßige Sicherheitstests durchzuführen und einen aktuellen Stand über seine digitalen Assets, sein digitaler Präsenz und seinen Sicherheitsstatus zu haben. Unternehmen werden damit in der Lage sein, Schwachstellen zeitnah zu patchen, wodurch Angriffe verhindert werden können.

Unser Ziel in diesem Projekt ist es, Einblicke in die Schwachstellen der derzeit eingesetzten OT-Systeme (Operational Technology) zu erhalten. Zu diesem Zweck wollen wir Folgendes erreichen:

1. Entwicklung einer Taxonomie der Angriffsfläche verschiedener OT-Typen. Die entwickelten Tools werden auf die verschiedenen Arten von OT-Systemen und deren unterschiedlichen Topologien und Komponenten spezifisch zugeschnitten sein.
2. Entwicklung von Methoden, um verschiedene OT-Typen, ihre Architekturen und Komponenten zu messen. Entwicklung von Werkzeugen, um Schwachstellen für externe Angriffe zu identifizieren.
3. Ableitung potenzieller Exploits für Angriffe anhand der gewonnenen Erkenntnisse. Analyse der Aus­wirkungen, insbesondere Aus­wirkungen von Fehlern in der IT oder OT, Durchführbarkeit von Remote-Angriffen auf die IT zur Manipulation der OT usw.
4. Abgabe von Empfehlungen für Techniken zur Sicherung der OT und der zugehörigen IT-Systeme.

Botnetze stellen eine besondere Gefahr im Internet dar. Sie können eingesetzt werden, um einzelne Ziele wie ein Unternehmen oder eine Regierungsbehörde verteilt durch massiven Datenverkehr auf die für die Angriffe verwendeten Knoten anzugreifen. Um potenzielle Opfer zu schützen, ist es somit notwendig, Botnetze so früh wie möglich zu erkennen und ihre Angriffe zu vereiteln, bevor sie ihre volle Angriffskraft entfalten können. Die heutigen zentralisierten Angriffserkennungssysteme im Internet reichen jedoch nicht aus, um Botnetze so früh wie nötig zu erkennen und zu bekämpfen. Ziel des Projekts ist es, ein neues System zu entwickeln, das dezentral gesammelte Daten durch kooperative Datenanalyse aggregiert und analysiert. Dies wird durch die lokale Da­ten­verarbeitung dezentraler Instanzen und den Austausch der lokalen Angriffserkennungsergebnisse untereinander erreicht, um Bedrohungen in einem größeren Maßstab zu erkennen.

Das ABC-Projekt Visuelle Sicherheitsanalyse konzentriert sich auf die Visualisierung von großen Sicherheitsdaten-Repositories. Das Internet ist ein riesiges Netzwerk, mit dem unzählige Geräte verbunden sind. In diesem Projekt arbeiten wir an Visualisierungen zur Analyse des globalen Internet-Routings sowie des lokalen Netzwerkverkehrs. Unser visuelles Analysetool für das globale Routing bietet neue Einblicke in die Verbindungen zwischen autonomen Systemen und schafft eine neuartige geografische Annäherung, wie der Traffic um die Welt gerouted wird. Der zweite Fokus liegt auf der Visualisierung des lokalen Netzwerktraffics. Da die Anzahl der Geräte in Firmen- oder Heimnetzwerken zunimmt und immer mehr unentdeckte Cyberangriffe stattfinden, arbeiten wir an einem neuen progressiven, visuellen Analysetool, um die großen Netzwerktraffic-Protokolldateien zu analysieren. Wir stellen einen Online-Prototyp unter netcapvis.igd.fraunhofer.de zur Verfügung, der bereits entwickelt wird. Im Rahmen dieser ATHENE-Mission arbeiten wir auch in Zusam­men­arbeit mit der TU Darmstadt an einer umfassenden Visualisierung von Computer-Botnetzen, um Crawler-Informationen zu analysieren, die von derzeit aktiven Botnetzen im Internet gesammelt werden.