Früherkennung von IT-Angriffen im Energiesektor
Der Energiesektor zählt zu den kritischen Infrastrukturen entsprechend muss deren IT besonders gut abgesichert sein. Der Ausfall eines Großkraftwerks zöge enorme Kosten und teure ...




Der Energiesektor zählt zu den kritischen Infrastrukturen – entsprechend muss deren IT besonders gut abgesichert sein. Der Ausfall eines Großkraftwerks zöge enorme Kosten und teure Folgeschäden nach sich. Im Forschungsprojekt Indi wurde vor diesem Hintergrund ein Intrusion Detection System (IDS) entwickelt: Mittels maschinellem Lernen kann es Hineise auf Angriffe und Störungen zuverlässig erkennen. Christoph Moder, Forscher und Microkernel-Entwickler bei Genua, stellt es uns vor.
Bei Industriesteuerungen (ICS, Industrial Control System) handelt es sich um spezialisierte Rechner für eng begrenze Aufgaben, die sie jedoch mit sehr hoher Zuverlässigkeit erfüllen müssen. Da sie in einem vom Internet abgetrennten Netz ohne Nutzerinteraktion betrieben werden, treten viele Probleme der Büro-IT dort nicht auf. Dafür sind die möglichen Schäden umso höher: Der Ausfall eines Großkraftwerks kostet schnell enorme Summen, und dazu können noch teure Folgeschäden in der Außenwelt kommen. So etwas darf einfach nicht vorkommen. Zwar ist bei kritischer Infrastruktur eine solide Grundsicherung der IT vorgeschrieben. Trotzdem können Fehlfunktionen vorkommen und müssen schnell erkannt werden. Klassische IDS-Lösungen sind jedoch wegen der teils proprietären Protokolle im Bereich Industriesteuerungen wenig geeignet.
Indi setzt auf maschinelles Lernen
An diesem Punkt setzt das Forschungsprojekt Intelligente Intrusion Detection-Systeme für Industrienetze (INDI) an. Der Kerngedanke ist, maschinelles Lernen einzusetzen, um Normalbetrieb und Störungen unterscheiden zu können, denn die Wiederholung ähnlicher Datensequenzen ist eine typische Eigenschaft von Industriesteuerungen. Dabei wird der Netzwerkverkehr rein passiv mitgelesen und im Demonstrator an drei Analyse-Module weitergeleitet:
- Protokollspezifische Anomalie-Erkennung: Die eingehenden Datenpakete werden zerlegt und samt ihrer Metadaten (z.B. Sender, Empfänger, Protokolltyp) mittels eines Klassifizierungsalgorithmus analysiert, der die Unterscheidung zwischen Normalzustand und Anomalie durchführt.
- Protokollunabhängige Anomalie-Erkennung: Diese ist vor allem dann interessant, wenn undokumentierte Protokolle zum Einsatz kommen. Sie betrachtet den rohen TCP-Datenstrom und zerlegt ihn in kurze Datensequenzen, mit denen dann ebenfalls eine Klassifizierung in Normalzustand und Anomalie mittels eines Clustering-Algorithmus durchgeführt wird.
- Topologie-Erkennung: Aus dem Netzwerkverkehr werden die Kommunikationspartner extrahiert und daraus eine Baumstruktur aufgebaut. So kann man sehen, welche aktiven Geräte im Netzwerk vorhanden sind, wer mit wem auf welche Weise kommuniziert und – im Falle einer Anomalie – deren Verursacher. So erhält man eine grafische Visualisierung des Netzwerkzustands und gleichzeitig eine Bestandsaufnahme, die man mit dem Netzplan vergleichen kann.
Separationstechnologie
Diese Verfahren laufen auf einer gemeinsamen Hardware-Plattform, auf der ein Microkernel als Separationsschicht dient. Dieses isoliert die Analyse-Software von direktem Hardwarezugriff und stellt so die Rückwirkungsfreiheit auf das Anlagennetz sicher. Die kleine Codebasis und die klar definierten Schnittstellen eines Microkernels minimieren die Angriffsfläche. Dieselbe Technolgie kommt bei Produkten des IT-Sicherheitsherstellers Genua zum Einsatz, die die hohen Anforderungen im staatlichen Geheimschutzbereich erfüllen.
Universitäten und Unternehmen arbeiten zusammen
In dem Projekt haben mehrere Partner zusammengearbeitet: die TU Braunschweig, die BTU Cottbus-Senftenberg, der Energieversorger Leag sowie der IT-Sicherheitshersteller Genua. Gefördert wurde das Projekt vom Bundesministerium für Bildung und Forschung.
Bei Genua sind die Erfahrungen mit dem Indi-Projekt bereits in die Entwicklung des Industrial Gateways GS.Gate eingeflossen, das eine hochsichere Anbindung von Maschinenanlagen an die Außenwelt bietet und die Integration kundenspezifischer Software-Lösungen ermöglicht.
Weitere Informationen zum Projekt Indi: http://indi-project.org/
Business Partner
Genua GmbHDomagkstr. 7
85551 Kirchheim
Deutschland
Meist gelesen

Partner des Fachhandels – Ein Gespräch mit Jürgen Hövelmann von EPS-Vertrieb
Sicherheitslösungen mit Tradition & Innovation: EPS-Vertrieb stellt das Ajax Fire-System vor

VDMA-Einheitsblatt 24994: Erster einheitlicher Prüfstandard für die Zertifizierung von Lager-/Ladeschränken für Lithium-Ionen-Akkus
Mit dem VDMA-Einheitsblatt 24994 gibt es seit August vergangenen Jahres erstmals eine Grundlage für einen einheitlichen Prüfstandard im Bereich von Lager- bzw. Ladeschränken und -einrichtungen für Lithium-Ionen-Akkus.

Globale Sicherheitsstrategien der DHL Group
Frank Ewald von der DHL Group über globale Sicherheitsstrategien und die Herausforderungen der Logistikbranche im Interview

VDMA-Einheitsblatt 24994: Lithium-Ionen-Batterien im Fokus
VDMA 24994 Anforderungen und Prüfverfahren für Lithium-Ionen-Schränke im Interview mit Priorit erläutert

Disruptiv aus Überzeugung - Interview mit Carsten Simons über technologische Unabhängigkeit, mutige Weiterentwicklung und die Zukunft der mobilen Videoüberwachung
LivEye-Chef Carsten Simons über Disruption, technologische Unabhängigkeit und das neue Überwachungssystem NSTR