Fällt der Strom aus, hat dies schnell gravierende Folgen. Daher sind die Datennetze der Energieversorger als kritische Infrastrukturen (Kritis) mit besonders hohem Schutzbedarf eingestuft. Um in diesem Umfeld Angriffe frühzeitig zu erkennen, haben Forscher in dem Projekt Indi ein intelligentes Intrusion-Detection-System speziell für industrielle Datennetze entwickelt. Mittels maschinellen Lernens (ML) werde der Datenverkehr analysiert und Abweichungen, die starke Indizien für Angriffe sind, aufgedeckt. Dies spüre sowohl bekannte als auch neue Angriffsverfahren auf. Projektpartner bei Indi waren die Brandenburgische Technische Universität (BTU) Cottbus-Senftenberg, die Technische Universität (TU) Braunschweig, die Lausitz Energie Kraftwerke AG und das deutsche IT-Sicherheitsunternehmen Genua. Das Projekt war gefördert vom Bundesministerium für Bildung und Forschung.

Erzeugung und Übertragung elektrischer Energie vom Kraftwerk bis zur Steckdose sind heute nahezu komplett mit vernetzter Leit-, Automatisierungs- und  Informationstechnik gesteuert. Auch wenn diese Industrienetze als kritische Infrastrukturen stark von anderen allgemeinen Datennetzen abgeschottet sind, gibt es einige Schnittstellen dorthin. Häufig erhalten beispielsweise Dienstleister Zugänge, um per Fernzugriff Systeme zu betreuen.

Die INDI-Forscher entwickelten das Intrusion-Detection-System für die Netze der Energieversorger.

Die INDI-Forscher entwickelten das Intrusion-Detection-System für die Netze der Energieversorger.

Zudem gibt es im Zuge der Digitalisierung in der Industrie immer häufiger die Forderung, Daten mit Systemen in abgeschotteten Netzen auszutauschen. Diese Schnittstellen sind potenzielle Einfallswege für Angreifer in kritische Industrienetze. Sind Angreifer einmal in das Netzwerk eingedrungen, müssen die Schutzsysteme sie möglichst schnell aufspüren, um Manipulationen und Schäden zu vermeiden. An dieser Stelle setzt die im Projekt Indi entwickelte Intrusion-Detection-Technik an.

Erfassen des Normalbetriebs in einer Trainingsphase

Intrusion Detection basiert auf dem Konzept der Anomalieerkennung. Dazu wird im Industrienetz zunächst in einer Trainingsphase der Datenverkehr analysiert, um mittels maschinellem Lernen Modelle für den Normalbetrieb zu berechnen. Dabei kommen zwei unterschiedliche Verfahren zum Einsatz: Das von der BTU Cottbus-Senftenberg entwickelte Verfahren ist für häufig verwendete Protokolle geeignet – darunter auch industriespezifische Protokolle, die gängige Intrusion-Detection-Systeme nicht erfassen können.

Dagegen analysiert das von der TU Braunschweig entwickelte Verfahren den Datenstrom auf TCP-Ebene und erkennt Muster in unbekannten Kommunikationsprotokollen. Diese Protokollanalysen ergänzt eine Topologieerkennung der BTU Cottbus-Senftenberg. Dies beantwortet Fragen wie: Welche Systeme sind im Netzwerk installiert, wer kommuniziert mit wem? Die erstellten Modelle basieren somit auf zahlreichen Merkmalen, die den Normalbetrieb eindeutig kennzeichnen.

Beim Abgleich des realen Datenverkehrs im Netz mit den Modellen fallen Angriffe durch Anomalien im Traffic laut den Forschern sofort auf. Jegliche Angriffsaktivitäten hinterlassen vom Normalbetrieb abweichende Spuren. Dies gelte sowohl für bekannte wie auch neue Cyberangriffe. Der Netzbetreiber kann so eingedrungene Angreifer schnell erkennen und Abwehrmaßnahmen ergreifen, um die Auswirkungen zu minimieren.

Bei Industrieanlagen steht jedoch absolute Zuverlässigkeit und Verfügbarkeit an erster Stelle – jede Betriebsstörung kostet Geld und kann die Versorgungssicherheit der Bevölkerung gefährden. Das gilt umso mehr bei kritischer Infrastruktur wie einem Großkraftwerk. Entsprechend war eine zentrale Anforderung im Projekt Indi die absolute Rückwirkungsfreiheit des Intrusion-Detection-Systems.

Denn zusätzlicher Datenverkehr zu ungünstigen Zeiten könnte den Nutzdatenverkehr behindern – aktive Sicherheitssysteme würden somit nicht den Schutz verbessern, sondern im Gegenteil zu Störungen und kostspieligen Ausfällen führen. Deshalb darf das System nur passiv lauschen, keinesfalls aber selbst Daten im Industrienetz versenden.

Die Aufgabe der Rückwirkungsfreiheit des Intrusion-Detection-Systems löste das IT-Sicherheitsunternehmen Genua mit Microkernel-Technik. Sie ermöglicht die Einrichtung von zwei strikt getrennten Bereichen auf einer kompakten Hardware: einen für den Netzwerkzugriff, einen weiteren für die Analyseanwendungen. Eine dazwischen geschaltete Diodenfunktion erlaubt nur Datenverkehr in Empfangsrichtung.

Damit wären selbst bei einer Fehlfunktion der Analysesoftware Rückwirkungen auf das Steuerungsnetz ausgeschlossen. Die Microkernel-Technik setzt Genua auch beim Industrial Gateway GS.Gate ein, das Industrieunternehmen die sichere Anbindung von Maschinen an die Cloud ermöglichen soll.

Weitere Informationen stehen unter www.genua.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.