Hackerangriffe

Kontrollinstanz

Schutz für kritische Infrastrukturen: Forscher entwickeln Intrusion Detection System für Netze der Energieversorger.

01. Februar 2019
The bottles on the conveyor belt at the plant for bottling of alcoholic beverages, Russian vodka.
(Bild: gammi@ya.ru)

Fällt der Strom aus, hat dies schnell gravierende Folgen. Deshalb sind die Datennetze der Energieversorger als kritische Infrastrukturen mit besonders hohem Schutzbedarf eingestuft. Um hier Angriffe frühzeitig zu erkennen, haben Forscher in dem Projekt INDI ein intelligentes Intrusion Detection System speziell für industrielle Datennetze entwickelt. Mittels maschinellem Lernen wird der Datenverkehr analysiert und Abweichungen, die starke Indizien für Angriffe sind, aufgedeckt. Damit werden sowohl bekannte als auch neue Angriffsverfahren aufgespürt.

Die Erzeugung und Übertragung elektrischer Energie vom Kraftwerk bis zur Steckdose wird heute nahezu komplett mit vernetzter Leit-, Automatisierungs- und Informationstechnik gesteuert. Auch wenn diese Industrienetze als kritische Infrastrukturen stark von anderen allgemeinen Datennetzen abgeschottet werden, gibt es einige Schnittstellen dorthin. Häufig erhalten beispielsweise Dienstleister Zugänge, um per Fernzugriff Systeme zu betreuen.

Zudem wird im Zuge der Digitalisierung in der Industrie immer häufiger die Forderung gestellt, Daten mit Systemen in abgeschotteten Netzen auszutauschen. Diese Schnittstellen sind potenzielle Einfallswege für Angreifer in kritische Industrienetze.

Sind Angreifer ins Netzwerk eingedrungen, müssen sie möglichst schnell aufgespürt werden, um Manipulationen und Schäden zu vermeiden. Hier setzt die im Projekt INDI entwickelte Intrusion-Detection-Technologie an.

Netzwerk-Verkehr: Normalbetrieb wird in Trainingsphase erfasst

Die Intrusion Detection basiert auf dem Konzept der Anomalieerkennung. Dazu wird im Industrienetz zunächst in einer Trainingsphase der Datenverkehr analysiert, um mittels maschinellem Lernen Modelle für den Normalbetrieb zu berechnen.

Dabei kommen zwei unterschiedliche Verfahren zum Einsatz: Das von der BTU Cottbus-Senftenberg entwickelte Verfahren versteht häufig verwendete Protokolle – darunter auch industriespezifische Protokolle, die gängige Intrusion-Detection-Systeme nicht erfassen können.

Dagegen analysiert das von der TU Braunschweig entwickelte Verfahren den Datenstrom auf TCP-Ebene und erkennt Muster in unbekannten Kommunikations-Protokollen.

Diese Protokollanalysen ergänzt eine Topologie-Erkennung der BTU Cottbus-Senftenberg: Welche Systeme sind im Netzwerk installiert, wer kommuniziert mit wem? Die Verfahren ergänzen sich und liefern umfangreiche Daten. Die erstellten Modelle basieren somit auf zahlreichen Merkmalen, die den Normalbetrieb eindeutig kennzeichnen.

Checkliste

Microkernel-Technologie

Garantiert passive Anbindung

Ermöglicht die Einrichtung von getrennten Bereichen auf einer kompakten Hardware

Diodenfunktion erlaubt nur Datenverkehr in Empfangsrichtung

Auch bei Fehlfunktion der Analyse-Software Rückwirkungen auf das Steuerungsnetz ausgeschlossen

Traffic-Anomalien verraten Angreifer

Wird der reale Datenverkehr im Netz mit den Modellen abgeglichen, fallen Angriffe durch Anomalien im Traffic sofort auf: Jegliche Angriffsaktivitäten hinterlassen vom Normalbetrieb abweichende Spuren, dies gilt sowohl für bekannte wie auch neue Cyber-Attacken. Der Netzbetreiber kann so eingedrungene Angreifer schnell erkennen und Abwehrmaßnahmen ergreifen, um die Auswirkungen zu minimieren.

System darf nur passiv arbeiten

Bei Industrieanlagen steht absolute Zuverlässigkeit und Verfügbarkeit an erster Stelle. Jede Betriebsstörung kostet Geld und kann die Versorgungssicherheit der Bevölkerung gefährden. Das gilt umso mehr bei kritischer Infrastruktur wie einem Großkraftwerk.

»Wird Datenverkehr im Netz mit den Modellen abgeglichen, fallen Anomalien im Traffic sofort auf.«

— Genua GmbH

Entsprechend war eine zentrale Anforderung im Projekt INDI die absolute Rückwirkungsfreiheit des Intrusion Detection Systems. Denn zusätzlicher Datenverkehr zu ungünstigen Zeiten könnte den Nutzdatenverkehr behindern; aktive Sicherheitssysteme würden somit nicht den Schutz verbessern, sondern im Gegenteil zu Störungen und kostspieligen Ausfällen führen. Deshalb darf das System nur passiv lauschen, keinesfalls aber selbst Daten im Industrienetz versenden.

Erschienen in Ausgabe: 01/2019