Rüstungskontrolle im Cyberspace

Veröffentlichung stellt neues System zur Reduzierung von Exploit-Beständen vor

13.06.2023 von

Eine neue Arbeit der Forschungsgruppen ENCRYPTO und PEASEC anm Fachbereich Informatik der TU Darmstadt schlägt einen datenschutzfreundlichen Ansatz vor, der es staatlichen Akteuren ermöglicht, Exploit-Bestände zu vergleichen, ohne nationale Geheimnisse preiszugeben. Die Methode kann einen praktischen Ansatz für die Cyber-Rüstungskontrolle bieten und die Cybersicherheit für die Zivilbevölkerung verbessern, da identifizierte Exploits, die mehreren Staaten bekannt sind, potenziell freigegeben werden können, um sie zu beheben. Die Arbeit wurde jetzt in der Zeitschrift IEEE Transactions on Technology and Society veröffentlicht und erhielt außerdem den CROSSING Collaboration Award 2022.

ExTRUST ermöglicht es zwei oder mehr staatlichen Akteuren, ihre Schwachstellenbestände vertraulich zu vergleichen und gemeinsame Elemente aufzuspüren, ohne diese der Gegenseite offen zu legen.

Im vernetzten Cyberspace ist unsere fragile digitale Infrastruktur laufend Cyber-Bedrohungen durch verschiedenste Akteure ausgesetzt. Die Ausnutzung von Schwachstellen in der IT-Hardware und -Software ist zu einem Hauptinstrument der Spionage und der Kriegsführung im Cyberspace geworden und stellt die globale Cybersicherheit vor erhebliche Herausforderungen. Die Fortschritte im Bereich der künstlichen Intelligenz verstärken diese Entwicklung noch: KI-gestützte Cyberwaffen, oder eine KI-basierte automatisierte Cyberabwehr tragen zu einer immer komplexeren Lage bei.

Staatliche Akteure werden von langfristigen strategischen Sicherheitsinteressen geleitet. Sie halten oft Kenntnisse über Sicherheitslücken und deren Ausnutzung zurück, um ihre militärischen oder nachrichtendienstlichen Operationen im Cyberspace zu unterstützen. Zwar werden internationale Verträge und Vorschriften diskutiert, um solche Aktivitäten durch die Offenlegung von Schwachstellen einzuschränken. Diese Fortschritte werden jedoch durch Vorbehalte beim Austausch der Wissensbestände untereinander oder gegenüber Dritten gehemmt, da dies zu einem potenziellen taktischen Nachteil führen und staatliche Interessen gefährden könnte.

Politische Herausforderungen mit Technik begegnen

In ihrer Veröffentlichung „ExTRUST: Reducing Exploit Stockpiles with a Privacy-Preserving Depletion System for Inter-State Relationships“ schlagen Forschende der Cryptography and Privacy Engineering Group (ENCRYPTO) von Prof. Thomas Schneider und der Forschungsgruppe Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) von Prof. Christian Reuter eine datenschutzkonforme Lösung dieses Problems mittels Kryptografie vor. Das ExTRUST-System ermöglicht es zwei oder mehr staatlichen Akteuren, ihre Schwachstellenbestände mithilfe von Mehrparteienberechnungen (MPC) geheim zu vergleichen. Es verwendet eine neuartige Exploit-Beschreibungsmethode, um gemeinsame Elemente zu identifizieren, ohne den gegnerischen Parteien den Inventarbestand preiszugeben. Dieser Ansatz ermöglicht eine sorgfältige Abwägung der Offenlegung bei gleichzeitiger Wahrung der Geheimhaltungsinteressen der beteiligten Parteien.

Die Forschenden weisen darauf hin, dass das MPC-basierte ExTRUST-System derzeit noch nicht alle konzeptionellen Anforderungen erfüllt, sich aber als skalierbar erweist und verschiedenen Angriffsszenarien standhalten kann. Ebenso geht der Nutzen von ExTRUST über den zwischenstaatlichen Rahmen hinaus und ist auch für andere Zero-Trust-Anwendungen wie Bug-Bounty-Programme geeignet. Das vielseitige System ist ein beachtenswerter Beitrag zur Rüstungskontrolle und Abrüstung und gibt neue Impulse dafür, wie Technik zur Bewältigung politischer Herausforderungen eingesetzt werden kann. Die Arbeit wurde mit dem CROSSING Collaboration Award 2022 ausgezeichnet und ist nun auch in der Zeitschrift IEEE Transactions on Technology and Society veröffentlicht worden.

Publikation

Thomas Reinhold, Philipp Kühn, Daniel Günther, Thomas Schneider, and Christian Reuter. ExTRUST: Reducing exploit stockpiles with a privacy-preserving depletion system for inter-state relationships. IEEE Transactions on Technology and Society, 29. Mai 2023.

Diese Forschungsarbeit wurde von der Deutschen Forschungsgemeinschaft (DFG) über den Sonderforschungsbereich CROSSING gefördert und über das Graduiertenkolleg Privacy & Trust unterstützt. Weitere Unterstützung leisteten das Bundesministerium für Bildung und Forschung (BMBF) und das Hessische Ministerium für Wissenschaft, Forschung und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung des Nationalen Forschungszentrums für Angewandte Cybersicherheit ATHENE sowie der Europäische Forschungsrat (ERC) im Rahmen des Forschungs- und Innovationsprogramms Horizon 2020 der Europäischen Union.