Die heterogene Umgebung von Netzwerken in der fertigenden Industrie stellt Sicherheitsexperten vor enorme Herausforderungen. Denn bisher verwendete, signaturbasierte Verfahren erkennen Angriffe nur, wenn deren Signatur bekannt ist. Forscher am Fraunhofer SIT arbeiten daher an Methoden, mit Hilfe des Maschinellen Lernens den »Normalzustand« eines Netzwerks zu ermitteln. Abweichungen lassen sich so leichter erkennen.

Wer Endgeräte in einem Office-Netzwerk miteinander verbindet, hat es heute nicht sonderlich schwer. Die relativ homogene Geräte- und Protokoll-Landschaft kommt Entwicklern ebenso entgegen wie den Usern. Das ist in der fertigenden Industrie anders. Hier stellt aber nicht nur die Vielfältigkeit der Protokolle die IT-Abteilungen vor enorme Herausforderungen. Auch der unterschiedliche Technikstand der einzelnen Maschinen und Computer, die teilweise aus verschiedenen Jahrzehnten stammen, macht den Verantwortlichen zu schaffen. Diese Heterogenität ist nicht nur problematisch für die Integration weiterer Geräte. Sie ist auch ein Einfallstor für Angriffe auf das System. 

Bisher gab es zwei gängige Methoden, um die Sicherheit in industriellen Netzwerken zu gewährleisten. Zum einen signaturbasierte Verfahren für Network Intrusion Detection Systems (IDS), die auch als virtuelle »honeypots« bezeichnet werden. Sie werden ins Netz gestellt werden, um Angreifer anzulocken. Die Charakteristiken eines Angriffs auf diese »Honigtöpfe« nutzen die Experten dann, um dessen Signatur zu erfassen. Die so gewonnenen Daten können schließlich genutzt werden, um den tatsächlichen Netzverkehr eines Unternehmens auf diese Signaturen hin zu untersuchen und entsprechende Aktivitäten zu unterbinden. Das Problem einer umfassenden Absicherung bleibt allerdings bestehen. Denn auf diese Weise lassen sich nur Angriffe entdecken, die bereits einmal in die Falle getappt sind. Neue, noch unbekannte Angriffe bleiben unerkannt.

Die zweite Möglichkeit besteht darin, sicherheitsrelevante Teile komplett vom Netzwerk zu isolieren. Doch auch dieses »air gap« genannte Verfahren erscheint nur auf den ersten Blick sicher, wie Sinisa Dukanovic vom Fraunhofer Institut für Sichere Informationstechnologie SIT weiß: »Das Konzept ist ein theoretisches und bedarf enormer Disziplin von allen Beteiligten. In der Praxis funktioniert air gap nie so umfassend, wie es nötig wäre. Immer wieder wird die nötige ›Luftlücke‹ überbrückt, so dass Informationen auch mit sicherheitsrelevanten Teilen des IT-Systems ausgetauscht werden«. Das bekannteste Beispiel für die falsche Sicherheit, in der das Konzept seine Nutzer wiegt, ist der Cyber-Wurm STUXNET, das trotz air gap in der Lage war, iranische Urananreicherungsanlagen anzugreifen.

Anomalien erkennen

Die Forscher am Fraunhofer SIT arbeiten deshalb mit einem anderen – und auf den ersten Blick auch ungewöhnlichen – Ansatz, um die Unternehmens-IT besser zu schützen. »Die Netzwerklandschaft in der fertigenden Industrie bietet einen Vorteil: Sie arbeitet eher repetitiv. Das bedeutet, zu einer bestimmten Produktionsphase tauschen die Kommunikationspartner stets ähnliche Art von Informationen aus«, erklärt Dukanovic. Das bietet den Fraunhofer Forschern die Möglichkeit, mit Hilfe von Methoden des Machine Learnings »Kenntnisse« über den Normalzustand des Netzwerks anzutrainieren. Alles, was dann darüber hinausgeht, ist zwar nicht zwangsläufig ein Angriff (eine Maschine könnte gewartet worden sein, ein Rechner könnte ein Update erhalten haben) aber: »Das Verfahren liefert einen klaren Hinweis auf eine Anomalie. Es zeigt, dass wir vor einer neuen Situation stehen und unter Umständen eingreifen müssen«, sagt Dukanovic.

Zusatznutzen

Allerdings könne eine Anomalie auch darauf hindeuten, dass eine Maschine einen Defekt hat. Dukanovic betont deshalb, dass es eine übergreifende und alle Probleme umfassende Lösung zur Absicherung eines Netzwerks vermutlich auch künftig nicht geben werde. Mit dem Vergleich zwischen ermitteltem »Normalzustand« und einer Abweichung sei allerdings eine wesentliche Hürde genommen, dem Idealziel ein deutliches Stück näherzukommen.

Die Forschungen zur Anomalieerkennung am Fraunhofer SIT sind Teil des Nationalen Referenzprojekts zur IT-Sicherheit in der Industrie 4.0 IUNO, an deren Weiterentwicklung neben dem Fraunhofer SIT unter anderem auch das Fraunhofer-Institut für Experimentelles Software Engineering IESE und das Fraunhofer Institut für Angewandte und Integrierte Sicherheit AISEC beteiligt sind. (jmu)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Sechs + = 10
Bitte Zahl eintragen!
image description
Experte
Alle anzeigen
Sinisa Dukanovic
  • Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Artikel
Alle anzeigen
Die Suche im digitalen Heuhaufen
Produktion blind vernetzt
Aber sicher!
Stellenangebote
Alle anzeigen