Projektpartner

  • Technische Universität Braunschweig
  • BTU Cottbus-Senftenberg
  • Lausitz Energie AG
  • Genua mbH

Kalender

Kontaktdaten

Prof. Dr. Konrad Rieck
Technische Universität Braunschweig
Rebenring 56, 38106 Braunschweig
0531 391-55120
info@indi-project.org

Relevanz des Projekts und Grundlagen

Die Sicherheit von kritischen Infrastrukturen in Deutschland wird zunehmend durch Cyberangriffe gefährdet. Insbesondere gezielte Angriffe und so genannte Advanced Persistent Threats stellen eine enorme Bedrohung für IT-Systeme in kritischen Infrastrukturen dar. Hinter diesen Angriffen stehen meist größere Organisationen bis hin zu Regierungen, die über umfangreiche Ressourcen für die Entwicklung von Schadcode verfügen. Ein zuverlässiger Schutz der entsprechenden IT-Systeme ist äußerst aufwändig. Kritische Infrastrukturen zeichnen sich durch eine hochgradig heterogene IT aus, die sich sowohl aus standardisierten Komponenten als auch aus proprietären Speziallösungen zusammensetzt. Die Erkennung von Verwundbarkeiten und Angriffen in einer solchen Umgebung stellt die Betreiber vor eine Reihe von Herausforderungen, die sich nicht mit klassischen Konzepten der IT-Sicherheit lösen lassen.

Forschungsfragen

Exploration von Netztopologien
Methoden zur Schwachstellenanalyse für Industrienetze
Protokollspezifische Anomalieerkennung
Protokollunabhängige Anomalieerkennung
L4 Kernel Separierung

Ziele

Im Rahmen des Projekts sollen Sicherheitstechniken entwickelt werden, die erstmals eine robuste Erkennung von Angriffen in komplexen Industrienetzen mit zum Teil unbekannten Protokollen ermöglichen. Hierzu wird die angestrebte Sicherheitslösung in die Industrienetze des Betreibers eingebracht und analysiert in einer Phase der Selbstjustierung den dortigen Netzverkehr mit Techniken des maschinellen Lernens. Ziel dieser automatischen Analyse ist es, zum einen Regeln und Modelle für den Normalbetrieb abzuleiten und zum anderen unbekannte Protokolle zu beobachten und nachzubilden. Eine Verfeinerung der Regel- und Modellableitung wird zusätzlich durch eine automatische Schwachstellenanalyse ermöglicht.

Vorgehen

Für die Umsetzung der Ziele des Vorhabens soll ein systemischer Ansatz verfolgt werden, der eine ganzheitliche Betrachtung aller relevanten Faktoren berücksichtigt:

1. Universalität: Die Entwicklung der Sicherheitslösung erfolgt anhand der Gegebenheiten von zwei Kraftwerken der Vattenfall AG, die sich sowohl strukturell als auch in Hinblick auf die eingesetzten Technologien stark unterscheiden. Auf diese Weise sind spezifische Netzeigenschaften als Voraussetzung für die Nutzbarkeit der Lösung ausgeschlossen.

2. Alltagstauglichkeit: Der Einsatz selbstlernender Algorithmen zur Schwachstellensuche und Selbstjustierung des Systems führt dazu, dass die anschließende Überwachung hochgradig auf den im Überwachungsbereich befindlichen Netzverkehr zugeschnitten wird, ohne dass eine aufwendige Konfiguration durch den Betreiber notwendig ist. Das unterstützt die Praktikabilität der Sicherheitslösung im täglichen Betrieb.

3. Skalierbarkeit: Die Algorithmen sind in Bausteinen strukturiert, sodass die vom jeweiligen Betreiber gewünschten Analysetechniken einzeln auswählbar und kombinierbar sind. So kann beispielsweise die Überwachung bestimmter Protokolle veranlasst werden oder die Sicherheitslösung ohne Überwachung ausschließlich zur robusten Separation zwischen Netzsegmenten dienen. Auf diese Weise kann auf die Belange von großen und kleinen Betreibern gleichermaßen eingegangen werden.

4. Anomalieerkennung: Die der Überwachung vorrangig zugrundeliegende Analysetechnik ist die Anomalieerkennung. Sie erlaubt neben der Identifikation von Cyberangriffen auch die Erkennung von durch Mitarbeiter versehentlich verursachten Fehlsteuerungen, die sich in Abweichungen von normalem Netzverkehr äußern.

5. Flexibilität: Bei der Überwachung werden neben bekannten Industrieprotokollen auch unbekannte Protokolle analysiert, sodass die Sicherheitslösung unabhängig von den im Netz gesprochenen Protokollen und den zugrundeliegenden industriellen Prozessen einsetzbar ist. Es können so auch proprietäre und zukünftige IT-Systeme in kritischen Infrastrukturen vor Angriffen geschützt werden.

6. Konformität: Die Entwicklung der Sicherheitslösung wird durch Ausarbeitung eines passenden Integrationsprozesses ergänzt, der in Einklang mit allen organisatorischen und technischen Richtlinien auf Betreiber- und Kraftwerksebene ist und am Beispiel von zwei Kraftwerken durchgeführt wird.