Quattro S: Security, Safety, Sovereignty, Social Product

  • Projektteam:

    Weber, Arnd (Projektleitung)

  • Starttermin:

    2017

  • Endtermin:

    2019

  • Projektpartner:

    Fraunhofer SIT, Fraunhofer Singapore, Hochschule RheinMain, TU Berlin/T-Labs

  • Forschungsgruppe:

    Innovationsprozesse und Technikfolgen

Projektbeschreibung

Dieses Projekt soll Lösungsansätze für mehrere Probleme erarbeiten. Das erste ist die Sicherheit der Informationstechnik. Hierbei werden Themen wie „zero-day“ Angriffe (vgl. die WannaCry Erpressungs-Software), „Denial-of-Service“-Angriffe wie Mirai, bis hin zu Hardwareangriffen (z.B. durch die Meltdown and Spectre Prozessor-Schwächen) und neuartige Hardwaretrojaner adressiert. Diese Angriffsmöglichkeiten resultieren aus Schwachstellen in den langen Wertschöpfungsketten der IT-Industrie und bedrohen die Vertraulichkeit, Integrität und Verfügbarkeit von Computersystemen.

Das zweite Problem ist, dass diese Angriffe auch Leib und Leben (safety) bedrohen können, wie z.B. die Energie-Infrastrukturen oder die Produkte der Automobilindustrie.

Das dritte Problem besteht aus dem Verlust von Wertschöpfung durch Abwanderung von Produktion und Kompetenzen zu im Wettbewerb stehenden Volkswirtschaften (z.B. USA und China). Souveränität würde bedeuten, die volle Kontrolle über die Eigenschaften der Informationstechnik zu haben, sicher zu sein, dass keine versteckten Charakteristika eingebaut wurden und garantieren zu können, dass keine Betriebsgeheimnisse gestohlen werden. Somit würde ein volkswirtschaftlicher Nutzen aus der verbesserten Kontrolle gezogen werden.

Diese Ziele sind schwer zu erreichen, weil jede Komponente der Wertschöpfungskette zahlreiche Defekte aufweisen kann, eventuell sogar durch Probleme in den verwendeten Entwicklungswerkzeugen verursacht. Somit würden sichere Komponenten die Gesamtkosten reduzieren, obwohl ihre Entwicklung zunächst mit Mehrkosten einhergehen kann. Vorschriften zur verpflichtenden Verwendung sicherer Systeme würden hier helfen, weil damit im Wettbewerb stehende Firmen dieselben Voraussetzungen erhielten. Da auch in anderen Regionen der Welt an der Kontrolle der Wertschöpfungsketten gearbeitet wird, ist die Forschung an Optionen und deren spätere industrielle Umsetzung unverzichtbar.

Im Projekt werden die folgenden Aktivitäten durchgeführt:

  • Risikoanalysen
  • Herausarbeitung technischer Optionen wie (1) die Kontrolle der gesamten Wertschöpfungskette von der Anwendungsebene über das Betriebssystem, die Hardware und die verwendeten Werkzeuge; (2) offene, zertifizierte und bewiesene Pfade; (3) Migrationspfade von Lösungen, z.B. von kleinen Systemen hin zu größeren
  • Erforschung unterstützender ökonomischer und legislativer Aktionen
  • Einen Beitrag zur Entwicklung eines Übergangsprozesses und der Entwicklung von Prototypen leisten
  • Diskussion der Ergebnisse mit allen Parteien sowie Weiterentwicklung der Optionen, Prototypen und Visionen von Produkten

Die Ziele sollen mittels Experteninterviews, Öffentlichkeitsarbeit, Workshops, Unterhaltung einer Website, sowie Teilnahme an der Spezifikation und der Entwicklung von Prototypen verfolgt werden.

Weitere Informationen im Flugblatt „Eradicate Faults and Backdoors in Information Technology and Facilitate Innovation“.

Veranstaltungen

Workshop zum Thema „Security and Sovereignty in the Information Technology Supply Chain“, durchgeführt von KIT, Fraunhofer SIT und Télécom ParisTech, am 12. Januar 2017

Ausgewählte Publikationen

Weber, A.; Heiser, G.; Kuhlmann, D.; Schallbruch, M.; Chattopadhyay, A.; Guilley, S.; Kasper, M.; Krauß, C.; Krüger, P. S.; Reith, S.; Seifert, J.-P.
Secure IT without vulnerabilities and back doors. TATuP - Zeitschrift für Technikfolgenabschätzung in Theorie und Praxis 29(2020)1, S. 30-36
Volltext/pdf

Weber, A.; Reith, S.; Kuhlmann, D.; Kasper, M.; Seifert, J.-P.; Krauß, C.
Open source value chains for addressing security issues efficiently efficiency policies. In: IEEE Xplore (Hrsg.): Proceedings of the 3rd Annual IEEE Workshop on Cyber Resilience and and Economics (CRE 2018), 16.-20.07.2018, Lissabon, Portugal. Lissabon, Portugal: IEEE Conference Publications 2019, S. 599-606, DOI: 10.1109/QRS-C.2018.00105
Volltext/pdf

Weber, A.; Reith, S.; Kasper, M.; Kuhlmann, D.; Seifert, J.-P.; Krauß, C.
Sovereignty in information technology. Security, safety and fair market access by openness and control of the supply chain. Karlsruhe, Wiesbaden, Singapur, Darmstadt, Berlin: KIT-ITAS, HS RheinMain, Fraunhofer Singapur/SIT, TU Berlin 2018, publ. online
Volltext/pdf Titelbild/jpg

Publikationen


2020
Zeitschriftenaufsätze
Weber, A.; Heiser, G.; Kuhlmann, D.; Schallbruch, M.; Chattopadhyay, A.; Guilley, S.; Kasper, M.; Krauß, C.; Krüger, P. S.; Reith, S.; Seifert, J.-P.
Sichere IT ohne Schwachstellen und Hintertüren
2020. TATuP, 29 (1), 30–36. doi:10.14512/tatup.29.1.30VolltextVolltext der Publikation als PDF-Dokument
2018
Zeitschriftenaufsätze
Weber, A.; Guilley, S.; Kasper, M.; Krauß, C.; Krüger, P. S.; Kuhlmann, D.; Reith, S.; Seifert, J.-P.
IT-Sicherheit gründlich lösbar?
2018. Zukunftsmotor, 2018 (2), 12–13 
Weber, A.; Krauß, C.; Reith, S.
Sichere, offene IT-Wertschöpfungskette
2018. Funkschau, 2018 (12), 36–37 
Weber, A.; Reith, S.; Kasper, M.; Kuhlmann, D.; Seifert, J.-P.; Krauß, C.
Souveränität und die IT-Wertschöpfungskette
2018. Datenschutz und Datensicherheit, 42 (5), 291–293. doi:10.1007/s11623-018-0943-z
Proceedingsbeiträge
Weber, A.; Reith, S.; Kuhlmann, D.; Kasper, M.; Seifert, J.-P.; Kraub, C.
Open Source Value Chains for Addressing Security Issues Efficiently
2018. 18th IEEE International Conference on Software Quality, Reliability, and Security Companion, QRS-C 2018; Lisbon; Portugal; 16 July 2018 through 20 July 2018, 599–606, Institute of Electrical and Electronics Engineers (IEEE). doi:10.1109/QRS-C.2018.00105
Forschungsberichte/Preprints
Weber, A.; Reith, S.; Kasper, M.; Kuhlmann, D.; Seifert, J.-P.; Krauß, C.
Sovereignty and the information technology supply chain: Security, safety and fair market access by openness and control of the supply chain
2018. Karlsruher Institut für Technologie (KIT) 
Vorträge
Weber, A.
Cybersecurity for Industry
2018. International Conference on Cyber Security Opportunities and Challenges (2018), Bangkok, Thailand, 6.–7. Dezember 2018 
Weber, A.
A Global Agenda
2018. International Conference on Cyber Security Opportunities and Challenges (2018), Bangkok, Thailand, 6.–7. Dezember 2018 
Weber, A.
Full Stack Open Supply Chains
2018. Fraunhofer Singapore (2018), Singapur, Singapur, 12. Dezember 2018 
Weber, A.
Offenheit der IT Supply Chain einschließlich Tools und Fabs
2018. Gulaschprogrammiernacht (GPN 2018), Karlsruhe, Deutschland, 10.–13. Mai 2018 

Kontakt

Dr. Arnd Weber
Karlsruher Institut für Technologie (KIT)
Institut für Technikfolgenabschätzung und Systemanalyse (ITAS)
Postfach 3640
76021 Karlsruhe