Fällt der Strom aus, hat dies schnell gravierende Folgen – deshalb sind die Datennetze der Energieversorger als kritische Infrastrukturen (KRITIS) mit besonders hohem Schutzbedarf eingestuft. Um hier Angriffe frühzeitig zu erkennen, haben Forscher in dem Projekt INDI ein intelligentes Intrusion Detection System speziell für industrielle Datennetze entwickelt: Mittels maschinellem Lernen wird der Datenverkehr analysiert und Abweichungen, die starke Indizien für Angriffe sind, aufgedeckt. Damit werden sowohl bekannte als auch neue Angriffsverfahren aufgespürt. Projektpartner bei INDI waren die Brandenburgische Technische Universität (BTU) Cottbus-Senftenberg, die Technische Universität (TU) Braunschweig, die Lausitz Energie Kraftwerke und das deutsche IT-Sicherheitsunternehmen genua. Gefördert wurde das Projekt vom Bundesministerium für Bildung und Forschung.

Die Erzeugung und Übertragung elektrischer Energie vom Kraftwerk bis zur Steckdose wird heute nahezu komplett mit vernetzter Leit-, Automatisierungs- und Informationstechnik gesteuert. Auch wenn diese Industrienetze als kritische Infrastrukturen stark von anderen allgemeinen Datennetzen abgeschottet werden, gibt es einige Schnittstellen dorthin. Häufg erhalten beispielsweise Dienstleister Zugänge, um per Fernzugriff Systeme zu betreuen. Zudem wird im Zuge der Digitalisierung in der Industrie immer häufger die Forderung gestellt, Daten mit Systemen in abgeschotteten Netzen auszutauschen. Diese Schnittstellen sind potenzielle Einfallswege für Angreifer in kritische Industrienetze. Sind Angreifer ins Netzwerk eingedrungen, müssen sie möglichst schnell aufgespürt werden, um Manipulationen und Schäden zu vermeiden. Hier setzt die im Projekt INDI entwickelte Intrusion Detection-Technologie an.

Netzwerk-Verkehr: Normalbetrieb wird in Trainingsphase erfasst
Die Intrusion Detection basiert auf dem Konzept der Anomalieerkennung. Dazu wird im Industrienetz zunächst in einer Trainingsphase der Datenverkehr analysiert, um mittels maschinellem Lernen Modelle für den Normalbetrieb zu berechnen. Dabei kommen zwei unterschiedliche Verfahren zum Einsatz: Das von der BTU Cottbus-Senftenberg entwickelte Verfahren versteht häufg verwendete Protokolle – darunter auch industriespezifsche Protokolle, die gängige Intrusion Detection Systeme nicht erfassen können. Dagegen analysiert das von der TU Braunschweig entwickelte Verfahren den Datenstrom auf TCP-Ebene und erkennt Muster in unbekannten Kommunikations-Protokollen. Diese Protokollanalysen ergänzt eine Topologie-Erkennung der BTU Cottbus-Senftenberg: Welche Systeme sind im Netzwerk installiert, wer kommuniziert mit wem? Die Verfahren ergänzen sich und liefern umfangreiche Daten. Die erstellten Modelle basieren somit auf zahlreichen Merkmalen, die den Normalbetrieb eindeutig kennzeichnen.

Traffc-Anomalien verraten Angreifer
Wird der reale Datenverkehr im Netz mit den Modellen abgeglichen, fallen Angriffe durch Anomalien im Traffc sofort auf: Jegliche Angriffsaktivitäten hinterlassen vom Normalbetrieb abweichende Spuren, dies gilt sowohl für bekannte wie auch neue Cyber-Attacken. Der Netzbetreiber kann so eingedrungene Angreifer schnell erkennen und Abwehrmaßnahmen ergreifen, um die Auswirkungen zu minimieren.

Anforderung: Intrusion Detection System darf nur passiv lauschen
Bei Industrieanlagen steht absolute Zuverlässigkeit und Verfügbarkeit an erster Stelle – jede Betriebsstörung kostet Geld und kann die Versorgungssicherheit der Bevölkerung gefährden. Das gilt umso mehr bei kritischer Infrastruktur wie einem Großkraftwerk. Entsprechend war eine zentrale Anforderung im Projekt INDI die absolute Rückwirkungsfreiheit des Intrusion Detection Systems. Denn zusätzlicher Datenverkehr zu ungünstigen Zeiten könnte den Nutzdatenverkehr behindern – aktive Sicherheitssysteme würden somit nicht den Schutz verbessern, sondern im Gegenteil zu Störungen und kostspieligen Ausfällen führen. Deshalb darf das System nur passiv lauschen, keinesfalls aber selbst Daten im Industrienetz versenden.

Microkernel-Technologie garantiert passive Anbindung
Die Aufgabe der Rückwirkungsfreiheit des Intrusion Detection Systems löste das IT-Sicherheitsunternehmen genua mit Microkernel-Technologie. Diese ermöglicht die Einrichtung von zwei strikt getrennten Bereichen auf einer kompakten Hardware: einen für den Netzwerk-Zugriff, einen weiteren für die Analyse-Anwendungen. Eine dazwischen geschaltete Diodenfunktion erlaubt nur Datenverkehr in Empfangsrichtung. Somit wären selbst bei einer Fehlfunktion der Analyse-Software Rückwirkungen auf das Steuerungsnetz ausgeschlossen. Die Microkernel-Technologie setzt genua auch beim Industrial Gateway GS.Gate ein, das Industrieunternehmen die sichere Anbindung von Maschinen an die Cloud ermöglicht.