ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
Dossier

Früherkennung ist das A und O

Um Leittechnik in Kraftwerken gezielt abzusichern, entwickeln Spezialisten zurzeit ein sogenanntes Intrusion Detection System. Es setzt auf maschinelles Lernen.

31. Juli 2018

Die Welt der Industriesteuerungen unterscheidet sich deutlich von der Welt der PCs und Büro-IT, obwohl es sich ebenso um vernetzte Rechner handelt. Industriesteuerungen haben relativ eng begrenzte Aufgaben, müssen diese jedoch mit sehr hoher Zuverlässigkeit und meist auch Echtzeitanforderungen erfüllen.

Entsprechend handelt es sich meist nicht um offene Systeme, sondern Hard- und Software stammen aus einer Hand, und die Kommunikation erfolgt oft mit proprietären Protokollen. Früher dienten als Basis proprietäre Feldbusse; diese wurden jedoch aus Kostengründen weitgehend durch PC-Technik wie Ethernet-Netzwerke mit TCP/IP-Datenverkehr ersetzt.

Industriesteuerungen

Durch die Umstellung auf die universelle TCP/IP-Technologie stellt sich, insbesondere im Bereich der kritischen Infrastruktur, zunehmend die Frage nach der IT-Sicherheit.

Im Vergleich zur Büro-IT erscheinen Industriesteuerungen zunächst als unproblematisch: Sie surfen nicht im Internet, sie klicken nicht auf Phishing-Links, sondern erledigen stur ihre Aufgabe. Oder? Nicht ganz. Denn erstens können Fehler auftreten, sei es durch technische Defekte oder durch menschliche Nachlässigkeit – beispielsweise durch ein falsch angeschlossenes Kabel oder einen eingesteckten USB-Stick mit Schadsoftware.

Zweitens gibt es zumeist sehr wohl Anbindungen nach außen: Oft wird Fernwartung von Fremdfirmen durchgeführt, und das geschieht, obwohl selbstverständlich verschlüsselt, über das Internet. Immer mehr Systeme werden zudem via Internet an eine Cloud angebunden, um anhand der gesammelten Daten Predictive Maintenance oder Industrial Analytics zu ermöglichen.

Die Folgen von Angriffen können gravierend sein, selbst wenn es keine Datenmanipulation gab, sondern ›nur‹ eine Betriebsunterbrechung. Bei Energieversorgern führt der Ausfall von einem Großkraftwerk schnell zu erheblichen Einbußen. Zudem sind in der Außenwelt hohe Folgeschäden möglich. Kurz gesagt, das darf einfach nicht passieren.

Bei Anlagen, die zur kritischen Infrastruktur gehören, ist zwar eine solide Grundsicherung der Datennetze nach dem Stand der Technik vorgeschrieben. Dennoch kann es zu einem erfolgreichen Angriff oder einer Fehlfunktion kommen.

Dies dann möglichst früh zu erkennen, ist im industriellen Bereich eine große Herausforderung: Es werden zwar alle Betriebszustände umfangreich in Log-Dateien festgehalten, aber klassische Angriffserkennungen wie IDS sind im Bereich der Industriesteuerungen wenig verbreitet, was auch an den oft proprietären Protokollen liegt. Nicht zuletzt stellt sich die Frage, ob eventuell ein zusätzliches fremdes Gerät im Netz Störungen verursachen kann.

Maschinelles Lernen

An diesem Punkt setzt das Forschungsprojekt Intelligente Intrusion-Detection-Systeme für Industrienetze (INDI) an. Der Kerngedanke ist, maschinelles Lernen einzusetzen, um Normalbetrieb und Störungen unterscheiden zu können, denn die Wiederholung ähnlicher Datensequenzen ist eine typische Eigenschaft von Industriesteuerungen.

Dabei wird der Netzwerkverkehr rein passiv mitgelesen, um störende Einflüsse ausschließen zu können, und an mehrere Analyse-Module weitergeleitet.

In dem Projekt wird ein Demonstrator entwickelt, der aus drei Komponenten besteht. Erstens protokollspezifische Anomalieerkennung: Werden ähnliche Meldungen über das Netz gesendet wie im Normalfall? Zweitens protokollunabhängige Anomalieerkennung: Welche Auffälligkeiten zeigt ein Datenstrom unbekannten Inhalts? Drittens Topologie-Erkennung: Was für Geräte sind vorhanden, wer kommuniziert mit wem?

Diese Verfahren laufen auf einer gemeinsamen Hardware-Plattform, auf der ein Microkernel als Separationsschicht dient. Dieses isoliert die Analyse-Software von direktem Hardwarezugriff und stellt so die Rückwirkungsfreiheit auf das Anlagennetz sicher. Die kleine Codebasis und die klar definierten Schnittstellen eines Microkernels minimieren die Angriffsfläche.

Dieselbe Technologie kommt bei Produkten von Genua zum Einsatz, die die hohen Sicherheitsanforderungen des staatlichen Geheimschutzes erfüllen.

In dem Projekt arbeiten mehrere Partner zusammen: die TU Braunschweig, die BTU Cottbus-Senftenberg, der Energieversorger LEAG sowie der IT-Sicherheitshersteller Genua. Nach gut dreieinhalb Jahren geht es jetzt in die letzte Phase: Der Demonstrator befindet sich derzeit in der Erprobung in einem Braunkohlekraftwerk. Christoph Moder, Genua GmbH

Erschienen in Ausgabe: Nr. 06 /2018