comifin

Seite 50/340
11.3.9
Steckbriefe
C
„COMIFIN – Communication middleware for monitoring finan-
cial CI“(09/2008 - 02/2011)
11.3.9.1
Kurzbeschreibung des Förderprogramms/-Auftrags
COMIFIN ist ein Gemeinschaftsprojekt unter FP7-ICT im Bereich des Subprogramms ICT-SEC-2007. Die Gesamtkosten betrugen 3, 57 Millionen € davon
2,35 Millionen Euro als EU-Beitrag. Zielstellung waren Sicherheitsthemen im
Bereich der Informations- und Kommunikationstechnologien, die sich mit dem
Schutz Kritischer Infrastrukturen beschäftigen.
11.3.9.2
Projektpartner
Projektkoordinator war die ELSAG DATAMAT S.P.A. (Italien), W eitere Projektpartner waren die ‚Universita Degli Studi di Modena e Reggio Emilia‘ (Italien),
die Technische Universität Darmstadt (Deutschland), das ‚Consorzio Interuniversitario Nazionale per L’Informatica‘ (Italien), ‚W aterford Institute of Technology/TSSG‘ (Irland), ‚Ministero Dell‘ Economia e Delle Finanze‘ (Italien), das ‚Finansdepartementet Norge‘ (Norwegen), IBM Israel – Science and technology LTD
(Israel), ‚Optxware Kutatas-Fejlesztesi KFT‘ (Ungarn) sowie KreditTilsnyet (Norwegen)
11.3.9.3
Methode und Ergebnis
Das Hauptziel von COMIFIN war es den, aus europäischer Sicht zu diesem Zeitpunkt bestehenden, technologischen und institutionellen Rückstand hinsichtlich
des Schutzes der Finanzinfrastruktur strategisch anzuvisieren(2). Dies sollte als
essentielles Element durch die Implementierung einer Software auf Zwischenebene (Middleware) sichergestellt werden(2). Der Ansatz war eine umfassende
Methode zu entwickeln zum Schutz der Finanzinfrastruktur und dem kompletten
Finanzwirtschaftsökosystem in seiner Gesamtheit(3). COMIFIN begrenzte sich,
aufgrund des vorgegebenen Finanzrahmens, auf das Design und die Implementierung eines softwarebasiertem Monitoringsystems für die FD‘s (Financial Critical Infrastructure Domain)(2). Es ist eine „Cloud“-Lösung, die auf das Internet
aufgesetzt ist. COMIFIN arbeitet mit semantischen Räumen und ist strikt auf den
Informationsaustausch festgelegt(2). Die geteilten Informationen können beispielsweise
•
technische Informationen sein, wie Fehlermeldungen;
•
servicebezogene Informationen wie Unterbrechungen und Updates;
•
infrastrukturelle Informationen, wie Stromausfälle und Netzwerkfehler;
•
sicherheitsrelevante Informationen, wie Gefahrenbenachrichtigungen;
Studie KritisFuE
Steckbriefe
C
•
Seite 2/340
Phishinginfos, entdeckte Betrugsversuche, Angriffe, Denial of Service
(DoS) Attacken oder
•
weitere allgemeine W arnungen sein(4).
Die einzelnen konkreten Ansätze umfassen das Identifizieren und Analysieren
von Vulnerabilitäten und Interdependenzen, speziell im Finanzsektor, aber auch
im Zusammenhang mit anderen KRITIS-Sektoren, bspw. Energie, basierend auf
Arbeiten aus FP6 – Projekten wie IRRIS, CRUTIAL und GRIDS(2). Eine Reihe
von interessanten Anwendungsfällen wurde identifiziert und beschrieben. Damit
wurden, die für den Datenaustausch, relevanten Informationen und deren Format bestimmt sowie das Design der Bausteine festgelegt, welche in das lokale
Netzwerkmanagementsystem integriert werden müssen. COMIFIN entwickelt ein
SOA (Service Oriented Architecture) konformes Softwaresystem, genau genommen eine Reihe von zusammensetzbaren Bausteinen, aufgesetzt auf das Internet, für eine großangelegte Infrastruktur(1). Ebenso wurden mögliche Gegenmaßnahmen identifiziert wie z.B. Tools, Methoden, Prozesse. Innovative Techniken der Bedrohungsinformationsverteilung und für den Selbstschutz Infrastrukturpläne wurden entworfen. Entwicklung eines schnellen, lokalen online Monitoring durch, das Schaffen neuer Algorithmen und die Integration einer Rule Engine für die Ereigniskorrelation und dem Management innerhalb der lokalen FD
(financial domain). Definition der Maßstäbe zur Beurteilung der Fähigkeiten zur
der Gefährdungsüberwachung(2).
11.3.9.4
Schlagw örter
Sektoren & Branchen: 1) Finanz- und Versicherungswesen  Banken, Finanzdienstleister
Bezugsthemen: Verwundbarkeit, Kaskadeneffekt, Interdependenzanalyse
Weitere KRITIS- Aspekte: technisches/menschliches Versagen, vorsätzliches
Handeln, terroristische Angriffe
11.3.9.5
Mehrwert für den Bevölkerungsschutz
Zuordnung zum Entwicklungsstand: COMIFIN ist ein Demonstrator zur Machbarkeitsprüfung der in Norwegen und Italien getestet wurde(5).
Einordnung als innovativ und/oder Effizient: COMIFIN wird als effizienter Ansatz
zum Schutz der Finanzinfrastruktur und des gesamten Finanzökosystems beschrieben, weil es als allumfassender Ansatz konzipiert wurde und sich nicht auf
einzelne Finanzdomänen alleine beschränkt. Der Mehrwert für den Bevölkerungsschutz ergibt sich indirekt, weil sich, laut interner Meinung, durch COMIFIN
Studie KritisFuE
Seite 52/340
Steckbriefe
C
die Sicherheit zum einen bei Finanzonlineanwendungen, wie Online-banking, handel und Fernzahlungen auch für den Endanwender erhöht. Zum anderen wird
die finanzielle und wirtschaftliche Grundlage der Bevölkerung effektiver geschützt, weil der Gesamtansatz Kaskadeneffekte, gegeben durch die Interdependenzen in dem gesamten Sektor Finanz- und Versicherungswesen und mit
anderen kritischen Infrastrukturen, berücksichtigt. Die von COMIFIN speziell dafür entwickelten und angewendeten Mechanismen und Tools tragen dazu bei,
kritische Situationen einzelner Domänen früh zu Erkennen und gefährliche und
katastrophale Ereignisse vorauszuahnen(2).
11.3.9.6
Mehrwert für KRITIS
Zuordnung zum Entwicklungsstand: Das Monitoringsystem von COMIFIN ist ein
Demonstrator zur Machbarkeitsprüfung des Entwurfes, der in Norwegen und in
Italien der Prototyp zum Einsatz kam(5).
Einordnung als innovativ und/oder effizient:
Innovativ: Der Gesamtansatz von COMIFIN wird als innovativ im Projektabstrakt
beschrieben, vor dem Hintergrund des Aufholbedarfs: hinsichtlich des Schutzes
der Finanzinfrastruktur und des gesamten Finanzökosystems der zu diesem
Zeitpunkt in Europa bestand.(1) „The main purpose of the COMIFIN STREP is
strategically targeting the EU technological and institutional lag in financial infrastructure protection (FIP)“(2).
Effizienz: COMIFIN verspricht sich durch den kollaborativen Ansatz eine Steigerung der Effizienz, hinsichtlich der nicht-funktionalen Anforderungen wie Reaktionsfähigkeit, Vorhersehbarkeit, Sicherheit und Trust(1), weil „… massive, coordinated Internet-based attacks and frauds that are not being effectively countered by any single organisation.“(3) „... current monitoring approaches are inadequate to deal with coordinated and distributed attacks on a large scale. Even
well protected and highly secure financial institution networks are vulnerable to
complex and coordinated frauds involving multiple actors spread over different
countries. In these cases, the Monitoring and Detection systems whose scope is
limited to each individual organisation are unable to detect potential attacks and
provide early alerts. To be effective, the monitoring activities have to involve
multiple participants possibly distributed over disparate organisational, administrative and geographical domains.“(3)
Studie KritisFuE
Steckbriefe
C
11.3.9.7
Seite 53/340
Anw endung/Bekanntheit der Forschungsergebnisse
Geplant waren zwei öffentliche W orkshops(2), Veröffentlichungen, z.B. im
ECN(3), sowie die W erbung von Teilnehmer im Advisory Board wie z.B. die Bank
of Ireland, Irland; Fidelity, Irland; Citigroup, Großbritannien; CLS (Continuous
Lined Settlement), Großbritannien und Budapest Bank, Ungarn. Weitere Zusagen von Finanzinstitutionen standen zu diesem Zeitpunkt noch aus. Geplant waren mindestens 10 Teilnehmer im Advisory Board aus unterschiedlichen Finanzbereichen(2).
11.3.9.8
Zuständigkeiten von Behörden auf Bundes und Landesebene
Behörde mit Regelungskompetenz
Rechtsbezug
Finanzaufsichtsbehörden
Aufsichtsrecht, -gesetze
11.3.9.9
Parallele oder themennahe Forschung in anderen Projekten
und möglicherweise wechselseitigen Bezug
• COMIFIN-ICA „COMIFIN-ICA – COMIFIN International Cooperation Aspects“ Gesamter Titel“ (01.06.2010 – 28.02.2013)(6)
•
Parsifal „Protection and trust in financial infrastructures“ (01.08.2008 –
28.08.2010)(7)
11.3.9.10
•
Referenz
[1] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: COMIFIN Communication middleware for
monitoring finanial CI.
http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=C
OMIFIN&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de&
REF=87973 (Stand: 27.06.2013)
•
[2] COMIFIN Consortium: COMIFIN (Communication Middleware for Monitoring Financial CI) Brief Description of the Project. Unter:
http://www. CO MIFIN.eu/COMIFIN/documents/public-documents.html
(Stand: 04. Juli 2013)
•
[3] IRRIS project: ECN European CIIP Newsletter, August/September
2009, Volume 5, Nummer 2. Unter:
http://www. irriis.org/ecn/ECN%20issue%2013%20v1%200.pdf (Stand: 04.
Juli 2013)
Studie KritisFuE
Seite 54/340
•
Steckbriefe
C
[4] COMIFIN Consortium: COMIFIN Leaflet. Unter:
http://www. CO MIFIN.eu/COMIFIN/documents/public-documents.html
(Stand: 09. Juli 2013)
•
[5] Complex event prosessing and the COMIFIN project, László, G.. Unter.
http://www. inf .mit.bme.hu/sites/def ault/f iles/materials/category/kateg%C3
%B3ria/oktat%C3%A1s/msc-t%C3%A1rgyak/auton%C3%B3m-%C3%A9shibat%C5%B1r%C5% 91-inf ormatikai-rendszerek/11/CEP-COMIFIN.pdf
(Stand: 09. Juli 2013)
•
[6] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: COMIFIN-ICA Communication middleware for monitoring financial CI – International Cooperation aspects. Unter:
http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=C
OMIFIN&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de&REF
=96826 (Stand: 10.07.2013)
•
[7] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: PARSIFAL Protection and trust in financial infrastructures. Unter:
http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=p
arsif al&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de&REF
=87710 (Stand: 10.07.2013)
Studie KritisFuE