Vor etwas mehr als fünf Jahren wurde die Idee zum „Zurich Information Security Center“ (ZISC) in Gesprächen zwischen dem IBM Forschungslabor Zürich und dem Departement Informatik der ETH Zürich geboren. Drei Ziele standen für die Gründer des ZISC von Beginn an im Vordergrund: Forschung auf Weltklasse-Niveau, ein Top-Ausbildungsangebot und die bestmögliche Nutzung von Synergien und Erfahrungen der involvierten Partner. Credit Suisse und Sun Microsystems stiessen hinzu und 2003 öffnete das ZISC mit Domizil am Departement Informatik der ETH Zürich seine Tore. Sieben Monate später schloss sich auch die Armasuisse dem Verbund an.

Etablierter Partner

In den vergangenen fünf Jahren gelang es den involvierten Partnern - Sun Microsystems ist seit 2006 nicht mehr Teil des ZISC -, die ursprünglichen Ziele in konkreten Projekte umzusetzen und das Zentrum als international anerkannter Partner in Sachen Informationssicherheit zu etablieren. David Basin, von Beginn an Direktor des ZISC, zieht eine erfreuliche Bilanz: „Wir konnten sieben Forschungsprojekte abschliessen, fünf weitere sind momentan noch am Laufen. Gleichzeitig haben wir einen hochkarätigen Master Track in Information Security aufgebaut und mehrere internationale Workshops organisiert“.

Mit Basin arbeiten heute fünf Professoren und sechs Doktoranden und Postdoktoranden am ZISC. Das Team beschäftigt sich unter anderem mit formalen Methoden für die Informationssicherheit. Dabei geht es um die Frage, wie Systeme von Grund auf sicher konstruiert werden können. Kryptographie, Netzwerk-, System- und Wireless-Sicherheit sind weitere Schwerpunkte.

Schlupflöcher im Internet aufspüren

Weil der Computer sämtliche Bereiche unseres Lebens durchdringt ‑ vom Einkauf mit der Kreditkarte bis hin zum E-Banking ‑, ist die Gesellschaft anfälliger für die kriminelle Ausnutzung von Sicherheitslücken in Informationssystemen geworden. „Informationssicherheit wird in einer Informationsgesellschaft zu einer Schlüsseltechnologie. Unsere Arbeit am ZISC wird von Tag zu Tag wichtiger“, sagt Basin. Dabei haben sich die Forscher einer grundlegenden Problematik zu stellen: Während die Angriffe auf Computersysteme immer professioneller werden, fordern die User immer einfacher zu bedienende Systeme für den Schutz ihrer IT-Umgebung. Kommt hinzu, dass heute jeder PC-Benutzer sein eigener Sicherheitsadministrator ist und oftmals so wenig Zeit wie möglich für die Sicherung des eigenen Informatiksystems einsetzen will.

Unter diesen Umständen sind möglichst einfache, aber zugleich höchst wirksame Sicherheitslösungen gefragt. Genau dafür betreibt das ZISC Grundlagenforschung. Ein Beispiel für ein sehr nutzerorientiertes Forschungsfeld sind die Internet-Sicherheitsprotokolle, wie zum Beispiel SSL, IPsec oder Kerberos. Nur wenige werden sich über diese Protokolle Gedanken machen, die bei webbasierten Transaktionen, beim Chatten oder der Informationsrecherche im Hintergrund ablaufen. Doch fehlerhafte Protokolle bieten Schlupflöcher für mögliche Angriffe auf ein Computersystem. Sebastian Mödersheim vom ZISC konnte einen „model checker“ entwickeln, einen speziellen Algorithmus, der solche Fehler in Protokollen zuverlässig und innert kürzester Zeit aufspürt.

Das entwickelte Werkzeug „OFMC“ wurde mit zwei Industriepartnern während der Entwicklung von neuen Protokollen getestet und half konkrete Lücken frühzeitig zu beheben. Die Arbeit brachte dem Forscher sowohl eine ETH-Medaille als auch den ABB-Forschungspreis ein. Zudem wurden die Ergebnisse in “Computer and Communications Security” und “Journal of Information Security” veröffentlicht, zwei angesehenen Publikationen im Bereich der Informationssicherheit.

Virtuelles Wachssiegel für die Datensicherheit

Auch Zuzana Beerliovas neuartige Algorithmen für die „multiparty computation“ (MPC) erhielten in der Fachgemeinde viel Aufmerksamkeit. Die Forscherin beschäftigt sich mit Netzwerken, in welchen mehrere Parteien miteinander kommunizieren, die einander aber nicht unbedingt trauen – wie dies zum Beispiel bei Wahlen, Auktionen, dem Vertragsabschluss oder der gemeinsamen Verwaltung von statistischen Daten der Fall sein kann. Beerliova schuf dafür Algorithmen, die in neuen Protokollen Anwendung finden. Diese erlauben es, die Vertrauenswürdigkeit der Kooperationspartner schneller und sicherer einzuschätzen.

Unter den noch laufenden Forschungsprojekten liefert „role mining“ spektakuläre Ergebnisse, besonders in Bezug auf eine direkte Anwendung in der Industrie. Egal ob Credit Suisse, Armasuisse oder IBM: Die drei Unternehmen verbindet eine grosse Anzahl an Mitarbeitern mit unterschiedlichen Zugriffsrechten auf Informationen im firmeneigenen Netzwerk. Um diese Rechte so einfach wie möglich zu verwalten, werden oft Rollen definiert, die den einzelnen Mitarbeitern aufgrund ihrer Funktionen im Betrieb zugeordnet werden und die wiederum den Zugang zu bestimmten Informationen erlauben. Die zu verwaltenden Informationen sind enorm komplex und die bisherigen Lösungen konnten den Anforderungen von Grossunternehmen nur bedingt genügen.

Mario Frank vom ZISC wählte einen neuen Ansatz für „role mining“ und entwickelte zum ersten Mal überhaupt ein probabilistisches Modell für rollenbasierte Zugriffskontrollsysteme. Nicht nur können damit Rollen aus bestehenden Daten mit Hilfe eines lernenden Algorithmus definiert werden, sondern es entstehen gleichzeitig auch wesentlich aussagekräftigere Rollenprofile, die eine Verwaltung besonders bei grossen Organisationen vereinfachen. Zudem können mit diesem Ansatz auffällige oder fehlerhafte Rollenprofile automatisch erkannt und gemeldet werden. Obwohl das Projekt erst ein halbes Jahr alt ist, sind die ersten Ergebnisse bereits für eine Präsentation an der Computer and Communications Security Conference (CCS) vorgemerkt, einer der renommiertesten Konferenzen auf dem Gebiet.

Begehrte Masterabsolventen

Die Nähe zur Industrie trägt nicht nur in der Forschung Früchte, sondern auch in der Lehre. So werden die im ZISC involvierten Spezialisten der Partnerunternehmen im „Information Security Master Track“ als Dozenten eingebunden. Diese eineinhalbjährige Spezialisierung für Computerwissenschaftler kann als Kern einer Masterausbildung in Informatik absolviert werden. Sie findet diesen Herbst zum zweiten Mal statt und vermittelt den Studenten ein breites Wissen in Gebieten wie Kryptographie, formale Methoden für Informationssicherheit, Systemsicherheit, Netzwerk-Sicherheit und E-privacy.

„Unsere Absolventen sind in der Industrie heiss begehrt. Nicht selten landen sie schliesslich bei einem unserer Partnerunternehmen. Das ist quasi ein weiterer Beitrag des ZISC für einen attraktiven Wirtschaftsstandort Zürich“, sagt Basin. Mit Seminaren, die während des Semesters zweiwöchentlich stattfinden, will Basin das ZISC auch für eine breitere Öffentlichkeit zugänglich machen. „Wir müssen das Bewusstsein für die Relevanz der Sicherung von Informationssystemen so breit wie möglich in der Gesellschaft verankern sowie einen Wissenstransfer von Experten in die Öffentlichkeit ermöglichen. Deshalb freuen wir uns auch über das Interesse von Nichtexperten an unseren Tätigkeiten“, erklärt Basin.

Für die Zukunft schwebt ihm vor allem die Einbindung von weiteren internationalen Unternehmen vor: „Unsere Forschung und Lehre ist schon heute auf internationalem Top-Niveau, nun geht es darum, das ZISC mit konkreten Projekten noch stärker zu vernetzen. Dabei sind wir offen für Partner aus Wirtschaft und Verwaltung, die mit uns an Projekten für die Informationssicherheit forschen möchten.“

ZISC-Workshop „Advanced Concepts of Access and Usage Control”

Zum fünfjährigen Bestehen des ZISC findet an der ETH Zürich vom 4. bis 5. September 2008 ein Workshop zum Thema Informationssicherheit statt. Während zwei Tagen werden Experten aus aller Welt die aktuelle Thematik „Advanced Concepts of Access and Usage Control” aus verschiedenen Perspektiven beleuchten. Bei „Access Control“ geht es vor allem um die Kontrolle darüber, wem welche Daten verfügbar gemacht werden, während die „Usage Control“ definiert, wie und wozu der Empfänger die Daten verwenden darf. Die Thematik ist laut Basin gerade rund um Themen wie „Digital Rights Management“, „Data Protection“ und „Compliance“ von grossem Belang. Die Anmeldefrist für den Workshop läuft noch bis am 29. August 2008. Programm und Anmeldung sind zu finden unter http://www.zisc.ethz.ch/events/workshop2008