Die Regeln für Cybersicherheit in der EU werden immer komplexer. Darauf reagiert das neu gestartete Projekt „Cybersecurity Certification and Assessment Tools“ (CCAT), an dem sich der SICP – Software Innovation Campus Paderborn, der zur Universität Paderborn gehört, beteiligt. Ziel ist es, die Umsetzung europäischer Cybersicherheitsvorschriften durch innovative Open-Source-Lösungen zu stärken. Das Projekt hat eine Laufzeit von drei Jahren und wird von der EU im Rahmen des Horizon Europe-Programms mit rund 4,2 Millionen Euro gefördert.
Im Projekt werden die Ergebnisse modernster angewandter Forschung in praktisch nutzbare Open-Source-Werkzeuge überführt. Die Tools sollen Unternehmen und Behörden dabei helfen, die Anforderungen des „Cyber Resilience Act“ (CRA) und des „Cybersecurity Act“ (CSA) zuverlässig umzusetzen. Dazu ermöglichen sie die umfassende Analyse verschlüsselter Systeme, kryptografischer Komponenten, sicherheitskritischer Hardware sowie bestehender Zertifizierungen.
Das CCAT-Konsortium vereint führende akademische und industrielle Partner*innen aus ganz Europa. Neben dem SICP sind die Masaryk-Universität (Tschechien), die Università Ca’ Foscari Venezia (Italien), Cybernetica AS (Estland), Monet+ (Tschechien), 10Sec S.r.l. (Italien) sowie die Universität Tartu (Estland) beteiligt. Zusätzlich wird das Projekt durch die Mitwirkung zweier assoziierter Partner aus Tschechien unterstützt: Red Hat und Tropic Square. Die Masaryk-Universität koordiniert das Vorhaben.
Die Tools werden von den Projektpartner*innen so angepasst, dass sie für verschiedene Anwender*innen einfach und praktisch einsetzbar sind: Regulierungs- und Zertifizierungsstellen können die CCAT-Werkzeuge nutzen, um die Sicherheit konkreter Produkte und Dienstleistungen zu überprüfen, während Technologieentwickler*innen klarere Leitlinien zur Erfüllung europäischer Cybersicherheitsanforderungen erhalten. Dabei wird eng mit Anwender*innen zusammengearbeitet, um die Werkzeuge verständlicher und benutzerfreundlicher zu machen.
Usability im Fokus
Der Fokus des SICP-Teams um Prof. Dr. Yasemin Acar (Empirische Softwaretechnik) liegt auf der nutzerfreundlichen Gestaltung der Tools. „Wichtig ist, dass Unternehmen die Werkzeuge effektiv in die Entwicklung einbinden können“, so Prof. Acar.
Die Projektmethodik basiert auf vier etablierten akademischen Werkzeugen, die weiterentwickelt und für einen breiteren Einsatz im privaten wie auch im öffentlichen Sektor angepasst werden: Der TLS-Scanner ist ein Werkzeug zur Bewertung der Sicherheit von TLS-Clients und -Servern zur Identifizierung von Schwachstellen und Konfigurationsproblemen. TLS steht für „Transport Layer Security“, eine Sicherheitstechnologie, die dafür sorgt, dass Daten im Internet verschlüsselt und sicher übertragen werden. SCRUTINY ist eine Werkzeugsammlung zur Evaluierung kryptographischer Implementierungen in Hardware-Geräten (z. B. Smartcards) und Softwarebibliotheken. ALVIE ist ein Werkzeug zur Analyse der Sicherheitsarchitekturen eingebetteter Systeme im Hinblick auf Schwachstellen, sec-cert dient als Plattform zur Analyse des Umfelds zertifizierter Cybersicherheitsprodukte, die Abhängigkeiten zwischen zertifizierten Produkten und neu auftretenden Schwachstellen abbildet.
Bei der Weiterentwicklung des TLS-Attackers greift das SICP-Team auf die Ergebnisse des Vorgängerprojektes „KoTeBi“ („Kombinatorisches Testen von TLS-Bibliotheken auf allen Ebenen“) zurück. „Im Rahmen von KoTeBi konnten wir die Schwachstellen in TLS-Bibliotheken aufdecken und die Analysewerkzeuge optimieren“, erklärt Prof. Dr. Juraj Somorovsky vom Institut für Informatik der Universität Paderborn. „Im CCAT-Projekt passen wir das Tool nun gezielt an die Anforderungen des Cyber Resilience Act und der EU-Zertifizierungen an, um Unternehmen und Behörden noch besser bei der Sicherheitsprüfung zu unterstützen.“
Projektleiter Prof. Václav Matyáš von der Masaryk-Universität fasst zusammen: „CCAT verbindet Forschung, Regulierung und Praxis, um sicherzustellen, dass europäische Cybersicherheitsvorschriften tatsächlich zu sichereren digitalen Produkten für Unternehmen, den öffentlichen Sektor und alltägliche Nutzerinnen und Nutzer führen.“
