Home | Sitemap | english  | Impressum | KIT

IT-Security

Die Gruppe IT-Sicherheit der der Abteilung IT-Security und Service Management (ISM) nimmt sowohl innerhalb des SCC als auch für das gesamte KIT strategische und taktische Querschnittaufgaben wahr. Die Forschungs- und Entwicklungstätigkeiten sind daher ebenfalls weit gestreut und sind an verschiedene Bereiche angelehnt.

Strategische Ausrichtung

Im Rahmen verschiedener Projekte insbesondere des SCC untersucht und berät ISM-Sec alle Aspekte der IT-Sicherheit, die für die jeweiligen Projekte relevant sind. Aktuell ist ISM-Sec beispielsweise an den folgenden Projekten beteiligt:

  • OpenCirrus: Das OpenCirrus-Projekt befaßt sich mit der Bereitstellung und dem Betrieb von Ressourcen im Rahmen multinationaler Cloud-Computing-Kooperationen. Die Herausforderungen im Bereich der IT-Sicherheit liegen hier in der Identifizierung, der Authentifizierung sowie der Autorisierung von Benutzern und Ressourcen.
  • KITe: Im Rahmen des KITe-Projekts wird eine offene Umgebung für den Betrieb heterogener Rechencluster konzipiert und entworfen. Das Projekt betrachtet den gesamten Softwarestack von Clustersystemen; entsprechend vielfältig sind die Anforderngen an die IT-Sicherheit. ISM-Sec ist hier bereits in der Entwurfsphase involviert, um sicherstellen zu können, daß die nötigen Sicherheitsaspekte angemessen berücksichtigt werden.
  • KIT-IDM: Auch an diesem Projekt, das sich mit der Einführung eines KIT-weiten Identitätsmanagementsystems befaßt, ist ISM-Sec maßgeblich beteiligt. Kern der Sicherheitsanforderungen ist die sichere Identifizierung, Authentifizierung und Autorisierung von Mitgliedern des KIT, aber auch Anforderungen des Datenschutzes. Im Bereich des Identitätsmanagements werden durch ISM-Sec auch sichere Verfahren und Abläufe bei der Nutzerverwaltung und angelehnten Prozessen entwickelt.

Taktische Ausrichtung

Zusätzlich zu den eher strategisch angelegten Bereichen betreibt ISM-Sec Forschung und Entwicklung auch im taktischen Bereich, die maßgeblich durch den operativen Betrieb des angegliederten KIT-CERT, aber auch der von ISM-Sec geführten KIT-CA motiviert und geleitet ist. In den Bereich der taktischen Forschung und Entwicklung fallen beispielsweise die folgenden Aktivitäten:

  • Entwicklung einer einheitlichen sicheren Betriebssystemplattform für den Betrieb von internen Servern, die gleichzeitig aufwandsarm zu warten ist. Hierbei wird insbesondere auf die besonders hohen Anforderungen an den Daten- und Geheimschutz der durch das KIT-CERT betriebenen Systeme geachtet, die ihrem Verwendungszweck gemäß besonders viele sensible Daten enthalten. Die vollständige Verschlüsselung aller angeschlossenen Datenträger ist dabei ebenso eine Grundvoraussetzung wie die sichere und zuverlässige Authentifizierung und Autorisierung der CERT-Mitarbeiter.
  • Konzeption und Entwicklung eines zentralen Logdienstes für das SCC, um im Bedarfsfall rasch und sicher auf die im SCC ohnehin anfallenden Protokolldaten zugreifen zu können, falls dies beispielsweise im Rahmen eines Sicherheitsvorfalls nötig ist. Gleichzeitig sind auch hier datenschutzrechtliche Vorgaben einzuhalten, um einen vertretbaren Betrieb sicherstellen zu können.
  • Entwurf und Entwicklung einer skalierbaren Lösung zur Ausgabe von X.509-Zertifikaten durch die KIT-CA. Der Wirkbetrieb der CA ist zum 01. Oktober 2009 aufgenommen worden und deckt den Bedarf an individuell ausgestellten Zertifikaten zufriedenstellend, im Bereich der häufiger benötigten Serverzertifikate gerade noch ab; an der Fähigkeit, große Mengen von Nutzerzertifikaten mit möglichst wenig Aufwand auszustellen, wird gearbeitet.
  • Im Bereich der Vorfallsbehandlung entwickelt ISM-Sec nach Bedarf Verfahren, die sowohl auf organisatorischer wie auch auf technischer Ebene erlauben, schnell und effizient reagieren zu können, ohne die rechtlichen Rahmenbedingungen außer acht zu lassen, etwa im Bereich der Computerforensik.
  • Auch auf technischer Ebene konzipiert und entwickelt ISM-Sec Methoden, die eine schnelle und sichere Bearbeitung von Vorfällen gestatten, beispielsweise in Form eines effizienten Sperrmechanismus für IP-Adressen, mit denen einzelne als vireninfiziert identifizierte Rechner unverzüglich in Quarantäne genommen werden können.