ENSURESEC - Sicherheit des elektronischen Geschäftsverkehrs

18.Jun'20

Übersetzung des Blogartikel von Autor Michele Nati PhD, Tech analyst@IOTA Foundation

 

 

IOTA ist jetzt Teil des ENSURESEC-Konsortiums.

Was ist das? Und warum ist das gerade in diesen Tagen so wichtig?

 

Beginnen wir mit einer Analyse der gegenwärtigen Situation.

In den letzten Monaten der Pandemiekrise und des Lockdown, die mehr als ein Drittel der Weltbevölkerung zu eingeschränkter Mobilität und zum Verbleib in der eigenen Wohnung zwangen, schien eines klar zu sein. Da die meisten nicht lebensnotwendigen Geschäfte für die Öffentlichkeit geschlossen waren und die wesentlichen (d.h. die Lebensmittelgeschäfte) nicht in der Lage waren, die Online-Nachfrage und den Online-Vertrieb von Waren zu befriedigen, wurde deutlich, wie sehr wir uns darauf verlassen, aber auch wie sehr wir alle vom richtigen Funktionieren des elektronischen Handels abhängen.

Dies war in Ländern wie Italien, Spanien, Frankreich und dem Vereinigten Königreich, in denen fast 95% der Bevölkerungsbewegungen in den Monaten März bis Mai begrenzt waren, noch deutlicher sichtbar. Bestätigt wird dies durch die Tatsache, dass allein im Vereinigten Königreich die Online-Einzelhandelsumsätze im Mai im Vergleich zum Vorjahr um 32,7% gestiegen sind, was den höchsten Anstieg seit März 2008 darstellt. Gleichzeitig verzeichneten E-Commerce-Giganten wie Amazon in diesem Quartal des Jahres 2020 einen Anstieg von 32% bei der Anzahl der ausgelieferten Produkte. Im vergangenen Jahr betrug der beobachtete Anstieg nur 10%. Zwar wird ein solcher Nachfrageschub nicht unbedingt zu mehr Gewinn führen (aufgrund der zusätzlichen Kosten, die durch die erforderlichen neuen Lagerabfertigungs- und Auslieferungsverfahren entstehen), aber es ist klar, dass mehr Investitionen in die E-Commerce-Infrastruktur erforderlich sind, nicht nur um die Nachfrage zu befriedigen, sondern auch um sich vor neuen Cyberattacken zu schützen.

Es ist bekannt, dass Hacker Unternehmen ins Visier nehmen, von denen sie mehr erlangen können, wenn ihre Angriffe erfolgreich sind. Und der elektronische Handel stellt gerade in diesen Tagen ein vielversprechendes Ziel dar.

Dieser Trend wird auch nach der Pandemie-Situation nicht aufhören, wenn man beobachtet, dass in dieser neuen Normalität, in der die Bevölkerung immer mehr auf den E-Commerce setzt, auch neue Geschäftsmöglichkeiten entstehen. Man denke nur daran, wie Nicht-E-Commerce-Unternehmen wie Xiaomi gerade in Indien einen E-Commerce-Service eingeführt haben, der es den zu Hause gebliebenen Kunden ermöglicht, die Markenprodukte bei ihren lokalen Händlern zu kaufen. Ein wachsender Trend, der noch mehr traditionelle Einzelhändler auf der Straße treffen wird, wenn man bedenkt, dass 19% der britischen Autokäufer kürzlich erklärten, dass sie ein Auto früher kaufen würden, wenn es eine Online-Option gäbe. All dies bedeutet mehr Chancen, aber auch mehr Risiken für ein ohnehin schon komplexes Ökosystem, wenn dies zum Ziel weiterer Cyberangriffe wird.

Auf der anderen Seite sind die meisten Kunden trotz des Wachstums des elektronischen Handels und der Notwendigkeit, ihn zu nutzen, aufgrund des mangelnden Vertrauens in seine Sicherheit nach wie vor skeptisch. Dann wird deutlich, wie wichtig es ist, eine sichere E-Commerce-Infrastruktur und eine Vertriebskette, die sich über die Grenzen eines Landes hinaus erstreckt, weiterzuentwickeln und aufrechtzuerhalten.

In Europa zielt der Europäische Digitale Binnenmarkt darauf ab, eine solche Infrastruktur anzubieten, um das faire Wachstum aller kleinen Unternehmen und Händler auf dem europäischen Markt zu fördern.

Zur Sicherheit dieser Infrastruktur vor Cyberattacken beizutragen, ist in der Tat das Hauptziel des ENSURESEC-Projekts.

 

 

Was ist also ENSURESEC?

ENSURESEC ist ein gemeinschaftliches Projekt der Innovationsaktion, das von der Europäischen Kommission an ein Konsortium von 22 verschiedenen Partnern, einschließlich der IOTA-Stiftung, vergeben wird.

 

ENSURESEC Consortium

 

Wie andere von der EU finanzierte Projekte, darunter +CityXchange und Dig_it (an dem IOTA bereits beteiligt ist), arbeitete IF bereits seit August 2019 an der Entwicklung des Projektkonzepts. Im Januar 2020 erhielt das ENSURESEC-Konsortium den Zuschlag für die Finanzierung und gewann damit den Wettbewerb gegen andere Konsortien, die an derselben Ausschreibung für Projektideen teilnahmen. Das Projekt startete schließlich Anfang dieses Monats mit einem virtuellen Meeting. Eine neue Normalität in diesen Monaten des eingeschränkten grenzüberschreitenden Reiseverkehrs.

Über einen Zeitraum von zwei Jahren wird ENSURESEC einen EU-Haushalt in Höhe von 7,7 Millionen Euro einsetzen, was 83% der geschätzten Gesamtkosten des Projekts in Höhe von 9,3 Millionen Euro abdeckt, um die End-to-End-Sicherheit des E-Commerce- und Liefer-Service-Ökosystems des digitalen Binnenmarkts zu gewährleisten. Das Projekt wird vom INOV-Forschungszentrum in Portugal koordiniert, während das CEA (Centre for L'energie Atomique) in Frankreich als technischer Leiter fungieren wird.

Die IOTA Foundation ist der einzige Anbieter der Distributed-Ledger-Technologie und wird mit einer Reihe anderer Partner zusammenarbeiten, darunter Universitäten und Forschungsorganisationen, kleine und mittlere Unternehmen (KMU) mit "Internet-Shop"-Know-how im Bereich der Cybersicherheit und Großunternehmen, die sich aus Systemintegratoren (d.h. ATOS und Engineering), die die Infrastruktur für den elektronischen Handel bereitstellen, und Banken, die das erforderliche Zahlungsnetzwerk anbieten zusammensetzen.

Eine Reihe von externen Interessenvertretern, darunter Walmart, werden ebenfalls über den Expertenbeirat des Projekts mit einbezogen, der die Identifizierung der aktuellen Risiken des elektronischen Geschäftsverkehrs lenken und in Zukunft die Adoption der von ENSURESEC entwickelten Lösungen fördern wird.

Auf technischer Ebene entwickelt ENSURESEC eine Plattform von Sicherheitswerkzeugen als Dienstleistung, die sich in die bestehende komplexe Infrastruktur der Unternehmen, die Teil des E-Commerce-Ökosystems sind, integrieren und sie vor möglichen physischen und cyber-physischen Angriffen schützen kann.

Das ENSURESEC-Konzept basiert auf der Prävention durch Design (Kombination von Sicherheit-durch-Design und Datenschutz-durch-Design), gefolgt von einer zirkulären Methode der "Überwachung - Risikobewertung - Aufspüren von Vorfällen - Risikominderung", um einen lebenslangen Schutz im elektronischen Handel zu gewährleisten.

 

ENSURESEC-Konzept

 

Zur Zeit der Entwicklung wird ENSURESEC Präventionswerkzeuge bereitstellen, die maschinelles Lernen und formale Methodentechniken nutzen, um automatisch zu überprüfen, ob die Entwicklung eines E-Commerce-Dienstes gegen kritische bekannte Bedrohungen sicher ist.


Für das Echtzeit-Szenario wird ENSURESEC induktive und deduktive Werkzeuge entwickeln, die maschinelles Lernen nutzen, um Angriffe zu klassifizieren, vorherzusagen, zu erkennen und darauf zu reagieren.

 

ENSURESEC Erkennungs- und Reaktionsinfrastruktur

 

Physische Vermögenswerte und die physische Infrastruktur sind in der Dienstleistungskette des elektronischen Handels am stärksten schädlichen Cyberangriffen ausgesetzt. Um sie zu schützen und die erforderlichen Überwachungsinformationen zu sammeln, die für die Prävention und die Analyse von Vorfällen nützlich sind, ist eine sichere und vertrauenswürdige Überwachungsinfrastruktur erforderlich.

 

 

Was ist also die Rolle von IOTA?

Die IOTA Foundation wird ein öffentliches Budget von 450.000 EUR einsetzen, um die Technologie (das IOTA Tangle) und das Fachwissen zur Verfügung zu stellen, um eine solche unveränderliche dezentralisierte Prüfpfad-Infrastruktur aufzubauen. Die IF wird eine Reihe von Schnittstellen zu den IOTA-Streams entwickeln, die es einfacher machen, die von verschiedenen Systemen und Anlagen benötigten Protokollinformationen zu erzeugen und gemeinsam zu nutzen. ENSURESEC wird die IOTA-Identitäten nutzen, um die Authentizität der Informationen und der verbundenen physischen Vermögenswerte und Beteiligten zu gewährleisten. Es werden auch Off-Tangle-Komponenten entwickelt, die an das IOTA Tangle für die Suche von Daten und deren Verifizierung angeschlossen werden.

In einem komplexen Szenario wie dem des elektronischen Handels mit mehreren Beteiligten und Vermögenswerten, die gleichzeitig interagieren, ist die Notwendigkeit einer vertrauenswürdigen und neutralen Infrastruktur von größter Bedeutung, insbesondere um eine forensische Analyse von Zwischenfällen zu ermöglichen, wenn Prävention nicht ausreicht. Wenn sie jedoch gegen Angriffe auf die Cybersicherheit helfen soll, kann diese Infrastruktur in keiner Weise hackbar sein.

Daher wurde die IOTA als Referenz für ein verteiltes Ledger ausgewählt.

Das Tangle ist cybersicher. Die erlaubnislose (engl. permissionless) Natur macht es schwieriger, genügend Node-power zu aggregieren, die zur Steuerung des Ledger-Zustands erforderlich ist. Anders als bei genehmigten (engl. permissioned) Lösungen lockert das Tangle die Sicherheit gegenüber dem Onboarding von Nodes nicht. Die Verwendung von Proof-of-Work als Spam-Schutz erschwert die Durchführung von Denial-of-Service-Angriffen, wodurch die Verfügbarkeit der Infrastruktur rund um die Uhr gewährleistet ist, und ermöglicht es, sich vor möglichen Angriffen Dritter auf das Ledger zu schützen. Die Signatur von IOTA-Transaktionen ist quantensicher und gegen Brute-Force-Manipulationsangriffe geschützt.

Darüber hinaus ermöglicht es die Tangle-Skalierbarkeit (insbesondere nach dem Coordicide) und die Gebührenfrei-Struktur, das zu erwartende Transaktionsvolumen im E-Commerce-Ökosystem zu bewältigen. Die schlanke Integration und die Internet of Things-Bereitschaft ermöglichen die direkte Integration verschiedener physischer Vermögenswerte, wodurch das Vertrauen in die generierten Daten am Ende der Infrastruktur gestärkt wird. Die erlaubnislose Natur des IOTA-Netzwerks kann sich leicht an ein Ökosystem von Partnern anpassen, das unbegrenzt wachsen kann, ohne dass man sich auf vorgefertigte Konsortien für die Bereitstellung einer solchen Überwachungsinfrastruktur für E-Commerce-Assets einigen muss.

Die ENSURESEC-Technologie wird in einer Reihe von verschiedenen realen E-Commerce-Szenarien und unter möglichen (Cyber-)physischen Angriffsbedrohungen eingesetzt und getestet. Insbesondere wird der Nutzen des Einsatzes von IOTA in Verbindung mit G4S-Sicherheitsinstrumenten in der Lieferkette von TOFAR Market, einem Betreiber von Apotheken für den elektronischen Handel, der von den Logistikanbietern Milsped Group und Relational Rumänien betrieben wird, getestet. Das System wird sich mit der Prävention und der Reaktion auf Angriffe befassen, die auf den gestohlenen Informationen über den Standort von Waren basieren.

Während des Projektverlaufs werden jedoch noch weitere Szenarien und Angriffsvektoren analysiert, und es werden zusätzliche Möglichkeiten zur Nutzung von IOTA untersucht. Insbesondere zur Verhinderung von Cyberattacken, die die Daten der Verbraucher bedrohen, mit erhöhten Risiken für E-Commerce-Einzelhändler, insbesondere KMU, wird die Verwendung von IOTA-Identitäten untersucht werden. Dezentralisierte Identitäten können eine erhöhte Datensicherheit und -kontrolle gewährleisten und gleichzeitig eine bessere Benutzerfreundlichkeit bieten.

Die IOTA Foundation ist sehr stolz darauf, Teil des ENSURESEC-Projekts und -Konsortiums zu sein, und freut sich darauf, aus diesen realen Technologieeinsätzen zu lernen und Lehren daraus zu ziehen, wie eine sichere DLT-Infrastruktur mit einer ordnungsgemäßen Sicherheits-Governance über mehrere Interessengruppen hinweg und mit bewährten Verfahren für die Endpunktsicherheit der verschiedenen integrierten Systeme bereitgestellt werden kann.

Im Rahmen unserer Mission, die positive und innovative Nutzung der IOTA-Technologie zu fördern, hofft die IOTA Foundation, weiterhin an ähnlichen kooperativen Initiativen beteiligt zu sein.
In der Zwischenzeit können Sie uns auf dem IOTA-Blog weiter verfolgen, um mehr über den Fortschritt des ENSURESEC-Projekts zu erfahren. Wir werden die Aktualisierungen über das Projekt und die technischen Lösungen, die wir im Laufe des Projekts entwickeln werden, mit Ihnen teilen.