comifin
Transcription
comifin
Seite 50/340 11.3.9 Steckbriefe C „COMIFIN – Communication middleware for monitoring finan- cial CI“(09/2008 - 02/2011) 11.3.9.1 Kurzbeschreibung des Förderprogramms/-Auftrags COMIFIN ist ein Gemeinschaftsprojekt unter FP7-ICT im Bereich des Subprogramms ICT-SEC-2007. Die Gesamtkosten betrugen 3, 57 Millionen € davon 2,35 Millionen Euro als EU-Beitrag. Zielstellung waren Sicherheitsthemen im Bereich der Informations- und Kommunikationstechnologien, die sich mit dem Schutz Kritischer Infrastrukturen beschäftigen. 11.3.9.2 Projektpartner Projektkoordinator war die ELSAG DATAMAT S.P.A. (Italien), W eitere Projektpartner waren die ‚Universita Degli Studi di Modena e Reggio Emilia‘ (Italien), die Technische Universität Darmstadt (Deutschland), das ‚Consorzio Interuniversitario Nazionale per L’Informatica‘ (Italien), ‚W aterford Institute of Technology/TSSG‘ (Irland), ‚Ministero Dell‘ Economia e Delle Finanze‘ (Italien), das ‚Finansdepartementet Norge‘ (Norwegen), IBM Israel – Science and technology LTD (Israel), ‚Optxware Kutatas-Fejlesztesi KFT‘ (Ungarn) sowie KreditTilsnyet (Norwegen) 11.3.9.3 Methode und Ergebnis Das Hauptziel von COMIFIN war es den, aus europäischer Sicht zu diesem Zeitpunkt bestehenden, technologischen und institutionellen Rückstand hinsichtlich des Schutzes der Finanzinfrastruktur strategisch anzuvisieren(2). Dies sollte als essentielles Element durch die Implementierung einer Software auf Zwischenebene (Middleware) sichergestellt werden(2). Der Ansatz war eine umfassende Methode zu entwickeln zum Schutz der Finanzinfrastruktur und dem kompletten Finanzwirtschaftsökosystem in seiner Gesamtheit(3). COMIFIN begrenzte sich, aufgrund des vorgegebenen Finanzrahmens, auf das Design und die Implementierung eines softwarebasiertem Monitoringsystems für die FD‘s (Financial Critical Infrastructure Domain)(2). Es ist eine „Cloud“-Lösung, die auf das Internet aufgesetzt ist. COMIFIN arbeitet mit semantischen Räumen und ist strikt auf den Informationsaustausch festgelegt(2). Die geteilten Informationen können beispielsweise • technische Informationen sein, wie Fehlermeldungen; • servicebezogene Informationen wie Unterbrechungen und Updates; • infrastrukturelle Informationen, wie Stromausfälle und Netzwerkfehler; • sicherheitsrelevante Informationen, wie Gefahrenbenachrichtigungen; Studie KritisFuE Steckbriefe C • Seite 2/340 Phishinginfos, entdeckte Betrugsversuche, Angriffe, Denial of Service (DoS) Attacken oder • weitere allgemeine W arnungen sein(4). Die einzelnen konkreten Ansätze umfassen das Identifizieren und Analysieren von Vulnerabilitäten und Interdependenzen, speziell im Finanzsektor, aber auch im Zusammenhang mit anderen KRITIS-Sektoren, bspw. Energie, basierend auf Arbeiten aus FP6 – Projekten wie IRRIS, CRUTIAL und GRIDS(2). Eine Reihe von interessanten Anwendungsfällen wurde identifiziert und beschrieben. Damit wurden, die für den Datenaustausch, relevanten Informationen und deren Format bestimmt sowie das Design der Bausteine festgelegt, welche in das lokale Netzwerkmanagementsystem integriert werden müssen. COMIFIN entwickelt ein SOA (Service Oriented Architecture) konformes Softwaresystem, genau genommen eine Reihe von zusammensetzbaren Bausteinen, aufgesetzt auf das Internet, für eine großangelegte Infrastruktur(1). Ebenso wurden mögliche Gegenmaßnahmen identifiziert wie z.B. Tools, Methoden, Prozesse. Innovative Techniken der Bedrohungsinformationsverteilung und für den Selbstschutz Infrastrukturpläne wurden entworfen. Entwicklung eines schnellen, lokalen online Monitoring durch, das Schaffen neuer Algorithmen und die Integration einer Rule Engine für die Ereigniskorrelation und dem Management innerhalb der lokalen FD (financial domain). Definition der Maßstäbe zur Beurteilung der Fähigkeiten zur der Gefährdungsüberwachung(2). 11.3.9.4 Schlagw örter Sektoren & Branchen: 1) Finanz- und Versicherungswesen Banken, Finanzdienstleister Bezugsthemen: Verwundbarkeit, Kaskadeneffekt, Interdependenzanalyse Weitere KRITIS- Aspekte: technisches/menschliches Versagen, vorsätzliches Handeln, terroristische Angriffe 11.3.9.5 Mehrwert für den Bevölkerungsschutz Zuordnung zum Entwicklungsstand: COMIFIN ist ein Demonstrator zur Machbarkeitsprüfung der in Norwegen und Italien getestet wurde(5). Einordnung als innovativ und/oder Effizient: COMIFIN wird als effizienter Ansatz zum Schutz der Finanzinfrastruktur und des gesamten Finanzökosystems beschrieben, weil es als allumfassender Ansatz konzipiert wurde und sich nicht auf einzelne Finanzdomänen alleine beschränkt. Der Mehrwert für den Bevölkerungsschutz ergibt sich indirekt, weil sich, laut interner Meinung, durch COMIFIN Studie KritisFuE Seite 52/340 Steckbriefe C die Sicherheit zum einen bei Finanzonlineanwendungen, wie Online-banking, handel und Fernzahlungen auch für den Endanwender erhöht. Zum anderen wird die finanzielle und wirtschaftliche Grundlage der Bevölkerung effektiver geschützt, weil der Gesamtansatz Kaskadeneffekte, gegeben durch die Interdependenzen in dem gesamten Sektor Finanz- und Versicherungswesen und mit anderen kritischen Infrastrukturen, berücksichtigt. Die von COMIFIN speziell dafür entwickelten und angewendeten Mechanismen und Tools tragen dazu bei, kritische Situationen einzelner Domänen früh zu Erkennen und gefährliche und katastrophale Ereignisse vorauszuahnen(2). 11.3.9.6 Mehrwert für KRITIS Zuordnung zum Entwicklungsstand: Das Monitoringsystem von COMIFIN ist ein Demonstrator zur Machbarkeitsprüfung des Entwurfes, der in Norwegen und in Italien der Prototyp zum Einsatz kam(5). Einordnung als innovativ und/oder effizient: Innovativ: Der Gesamtansatz von COMIFIN wird als innovativ im Projektabstrakt beschrieben, vor dem Hintergrund des Aufholbedarfs: hinsichtlich des Schutzes der Finanzinfrastruktur und des gesamten Finanzökosystems der zu diesem Zeitpunkt in Europa bestand.(1) „The main purpose of the COMIFIN STREP is strategically targeting the EU technological and institutional lag in financial infrastructure protection (FIP)“(2). Effizienz: COMIFIN verspricht sich durch den kollaborativen Ansatz eine Steigerung der Effizienz, hinsichtlich der nicht-funktionalen Anforderungen wie Reaktionsfähigkeit, Vorhersehbarkeit, Sicherheit und Trust(1), weil „… massive, coordinated Internet-based attacks and frauds that are not being effectively countered by any single organisation.“(3) „... current monitoring approaches are inadequate to deal with coordinated and distributed attacks on a large scale. Even well protected and highly secure financial institution networks are vulnerable to complex and coordinated frauds involving multiple actors spread over different countries. In these cases, the Monitoring and Detection systems whose scope is limited to each individual organisation are unable to detect potential attacks and provide early alerts. To be effective, the monitoring activities have to involve multiple participants possibly distributed over disparate organisational, administrative and geographical domains.“(3) Studie KritisFuE Steckbriefe C 11.3.9.7 Seite 53/340 Anw endung/Bekanntheit der Forschungsergebnisse Geplant waren zwei öffentliche W orkshops(2), Veröffentlichungen, z.B. im ECN(3), sowie die W erbung von Teilnehmer im Advisory Board wie z.B. die Bank of Ireland, Irland; Fidelity, Irland; Citigroup, Großbritannien; CLS (Continuous Lined Settlement), Großbritannien und Budapest Bank, Ungarn. Weitere Zusagen von Finanzinstitutionen standen zu diesem Zeitpunkt noch aus. Geplant waren mindestens 10 Teilnehmer im Advisory Board aus unterschiedlichen Finanzbereichen(2). 11.3.9.8 Zuständigkeiten von Behörden auf Bundes und Landesebene Behörde mit Regelungskompetenz Rechtsbezug Finanzaufsichtsbehörden Aufsichtsrecht, -gesetze 11.3.9.9 Parallele oder themennahe Forschung in anderen Projekten und möglicherweise wechselseitigen Bezug • COMIFIN-ICA „COMIFIN-ICA – COMIFIN International Cooperation Aspects“ Gesamter Titel“ (01.06.2010 – 28.02.2013)(6) • Parsifal „Protection and trust in financial infrastructures“ (01.08.2008 – 28.08.2010)(7) 11.3.9.10 • Referenz [1] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: COMIFIN Communication middleware for monitoring finanial CI. http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=C OMIFIN&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de& REF=87973 (Stand: 27.06.2013) • [2] COMIFIN Consortium: COMIFIN (Communication Middleware for Monitoring Financial CI) Brief Description of the Project. Unter: http://www. CO MIFIN.eu/COMIFIN/documents/public-documents.html (Stand: 04. Juli 2013) • [3] IRRIS project: ECN European CIIP Newsletter, August/September 2009, Volume 5, Nummer 2. Unter: http://www. irriis.org/ecn/ECN%20issue%2013%20v1%200.pdf (Stand: 04. Juli 2013) Studie KritisFuE Seite 54/340 • Steckbriefe C [4] COMIFIN Consortium: COMIFIN Leaflet. Unter: http://www. CO MIFIN.eu/COMIFIN/documents/public-documents.html (Stand: 09. Juli 2013) • [5] Complex event prosessing and the COMIFIN project, László, G.. Unter. http://www. inf .mit.bme.hu/sites/def ault/f iles/materials/category/kateg%C3 %B3ria/oktat%C3%A1s/msc-t%C3%A1rgyak/auton%C3%B3m-%C3%A9shibat%C5%B1r%C5% 91-inf ormatikai-rendszerek/11/CEP-COMIFIN.pdf (Stand: 09. Juli 2013) • [6] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: COMIFIN-ICA Communication middleware for monitoring financial CI – International Cooperation aspects. Unter: http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=C OMIFIN&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de&REF =96826 (Stand: 10.07.2013) • [7] Cordis Forschungs- & Entwicklungsinformatiosdienst der Gemeinschaft, EU-Forschungsprojekte: PARSIFAL Protection and trust in financial infrastructures. Unter: http://cordis.europa.eu/projects/index.cfm?f useaction=app.details&TXT=p arsif al&FRM=1&STP=10&SIC=&PGA=&CCY=&PCY=&SRC=&LNG=de&REF =87710 (Stand: 10.07.2013) Studie KritisFuE