Hackerangriffe in Kraftwerken schnell erkennen Neues Intrusion-Detection-System für Datennetze der Energieversorger basiert auf maschinellem Lernen
Fällt ein Kraftwerk aus, kann das gravierende Folgen haben. Deshalb sind die Netze der Energieversorger als kritische Infrastrukturen (KRITIS) mit besonders hohem Schutzbedarf eingestuft. Um digitale Angriffe frühzeitig zu erkennen, haben Forscherinnen und Forscher der Technischen Universität Braunschweig zusammen mit Partnern im INDI-Projekt ein intelligentes Erkennungsystem entwickelt. Mittels maschinellen Lernens wird der Datenverkehr analysiert und Abweichungen, die starke Indizien für Angriffe sind, aufgedeckt. Damit werden sowohl bekannte als auch neue Angriffsverfahren aufgespürt.
Die Erzeugung und Übertragung von elektrischer Energie vom Kraftwerk bis zur Steckdose wird heute nahezu komplett mit vernetzter Informationstechnik gesteuert. Auch wenn diese Industrienetze als kritische Infrastrukturen stark von anderen Datenetzen abgeschottet werden, gibt es einige kritische Schnittstellen. So erhalten Dienstleister Onlinezugänge, um per Fernzugriff via Internet Systeme zu betreuen. Zudem wächst mit der Digitalisierung der Bedarf auch Daten mit abgeschotteten Netzen auszutauschen. Diese Schnittstellen sind potenzielle Einfallstore für Angreifer. Sind sie in das Netzwerk eingedrungen, müssen sie möglichst zügig aufgespürt werden, um Manipulationen und Schäden zu vermeiden. Hier setzt die im Projekt INDI entwickelte Angriffserkennung bzw. Intrusion-Detection-Technologie an.
Die Technologie basiert auf dem Konzept der Anomalieerkennung. Dazu wird im Industrienetz zunächst in einer Trainingsphase der gesamte Datenverkehr analysiert. Mittels maschinellen Lernens werden Modelle für den Normalbetrieb berechnet. Dabei kommen zwei unterschiedliche Verfahren zum Einsatz: Das von der BTU Cottbus-Senftenberg entwickelte Verfahren versteht häufg verwendete Protokolle – darunter auch industriespezifsche Protokolle, die gängige Intrusion-Detection-Systeme nicht erfassen. Dagegen analysiert das von der TU Braunschweig entwickelte Verfahren den Datenstrom direkt auf Ebene der Netzpakete. Es kann so Muster in bekannten aber auch unbekannten Kommunikationsprotokollen erlernen. Diese Protokollanalysen ergänzt eine Topologie-Erkennung, die die Struktur und den Aufbau des Industrienetzes charakterisiert. Die erstellten Modelle erfassen somit gemeinsam zahlreiche Merkmale, die den Normalbetrieb in einer Industrieanlage eindeutig kennzeichnen.
Wird der reale Datenverkehr im Netz mit den Modellen abgeglichen, fallen Angriffe als Abweichungen von der Normalität auf: Schädliche Aktivitäten hinterlassen ungewöhnliche Spuren in den Datenströmen der Netze, die als Anomalien von den verschiedenen Modellen aufgespürt werden. Der Netzbetreiber kann so eingedrungene Angreifer schnell erkennen und zeitnah Abwehrmaßnahmen ergreifen, um die Auswirkungen zu minimieren.
Gefördert wurde das Projekt vom Bundesministerium für Bildung und Forschung von November 2014 bis Juni 2018 mit 1,69 Millionen Euro.