Erfolgreicher Abschluss des SEC-I4.0-Projekts bei der DECOIT
Am 25. November 2021 fand in Bremen bei der DECOIT® GmbH das letzte Konsortialtreffen des ZIM-Forschungsprojekts SEC-I4.0 (www.sec-i40-project.de) statt, welches nach zwei Jahren zu Ende ging. Ziel des Projektes war es, eine intelligente Anomalie-Erkennung in Industrienetzen zu ermöglichen und diese vorab in einer Virtualisierungsumgebung zu simulieren. Die Partner stellten beim Abschlusstreffen ihre Ergebnisse vor und die Verwertung wurde diskutiert. Ebenfalls wurden die Ergebnisse des Feldtests besprochen, der zum Projektabschluss in der OT-Laborumgebung der Hochschule Bremen stattfinden konnte. Dabei stand besonders das Zusammenspiel des Monitoring-Systems IRMA® von Achtwerk mit dem entwickelten Prototyp im Vordergrund. Die Partner DECOIT® GmbH, Achtwerk GmbH & Co. KG und die Hochschule Bremen zogen in dem rein Bremer Konsortium am Ende des Projektes ein recht positives Fazit.
Zu Beginn des Treffens gab der Konsortialführer DECOIT® GmbH noch einmal den gesamten Projektstatus bekannt und ging alle bis dahin offene Aufgaben durch. Dabei konnten alle Arbeiten bis einschließlich Arbeitspaket 5 abgehakt werden. Nur im letzten Arbeitspaket 6 gab es noch offene Punkte, da innerhalb der Projektlaufzeit kein Industrieanwender für den entwickelten Prototyp gefunden werden konnte, weshalb die abschließenden Tests nur in Laborumgebung stattfinden konnten. Zudem konnten nach den Tests keine Nachbesserungen mehr implementiert werden, da sie aufgrund von Verzögerungen erst recht spät stattfanden. Dies war der Corona-Pandemie geschuldet, weil über eine längere Zeitdauer die Hochschule Bremen ihre eigenen Laborräume nicht nutzen durfte. Die Pandemie erschwerte ebenfalls einen Test bei den assoziierten Industriepartnern. Dadurch blieb auch das abschließende Anwenderhandbuch auf der Strecke. Diese offenen Punkte werden aber bei der Verwertung der Ergebnisse, die ab dem kommenden Jahr starten werden, nachgeholt. Daher konnten im Grunde genommen alle Ziele des Projekts erreicht werden.
Interessant waren die Testergebnisse des Prototyps, der auf zwei verschiedene Arten untersucht wurde: Erstens sollten die gefahrenen Angriffe in der OT-Umgebung erkannt und zweitens das Zusammenspiel mit der IRMA® als weiterer Sensor getestet werden. Auf die Laborumgebung, die exemplarisch anhand eines genutzten Schaltschranks in Abbildung 1 dargestellt ist, sollten daher gezielte Angriffe gefahren werden, die von dem SEC-I4.0-Prototyp und der IRMA® erkannt und bewertet werden sollten. Die Verkabelung beider Komponenten ist in Abbildung 2 zu erkennen. Der Prototyp war dabei in der Lage über verschiedene Sensoren und über die Analyse-Engine den Datenverkehr auf Auffälligkeiten zu untersuchen. Zusätzlich sammelte das Asset Management alle Information über die OT-Netzumgebung. Die ebenfalls neu entwickelte Managementoberfläche bot eine Edge-Host-Übersicht und ermöglichte die Installation aller notwendigen Software-Komponenten. Die IRMA® lieferte dabei als Agent Daten im Elastic-Common-Schema-Format (ECS) und gab diese über eine REST-API-Schnittstelle, die für das SEC-I4.0-Projekt neu entwickelt wurde, an den Prototyp weiter. Zusätzlich wurde ein Rückkanal implementiert, der die IRMA® über neue Vorfälle (Tickets) informierte. Als Anomalie-Erkennung kam ein neuartiger Algorithmus zum Einsatz, der auf Machine-/Deep-Learning (ML/DL) basierte und unbekannte Vorfälle erkennen sollte. Ob dies funktionierte, sollte der Feldtest beweisen.
Als Ergebnis kam heraus, dass der IRMA®-Agent neue Alarme erzeugen und diese an die SIEM-GUI des Prototyps weiterleiten kann. Auch war die IRMA® in der Lage die Informationen aus dem Rückkanal über die REST-Schnittstelle zu verwerten. Allerdings ließen sich nicht alle Angriffe erkennen bzw. ein Zusammenhang zwischen den aufgetretenen Vorfällen und den Angriffen nicht immer mit Sicherheit ausmachen. Hinzu kam, dass die Anomalie-Erkennung zu viele Falschmeldungen (False Positives) auslöste, die zudem noch unzureichend beschrieben wurden. Hier müssten zukünftig mehr Regeln implementiert werden, um das Normalverhalten besser beschreiben zu können. Ebenfalls auffallend waren zu viele Ticket-Duplikate, die eine Auswertung erschwerten. Trotzdem konnten alle Projektpartner mit den erzielten Ergebnissen zufrieden sein.
Im Projekt konnten daher viele gesetzten Ziele erreicht werden. Die Hochschule Bremen konnte ihre Laborumgebung ausbauen und neue Erkenntnisse im SIEM-Umfeld und beim Fahren eigener Angriffe sammeln. Der Industriepartner Achtwerk GmbH & Co. KG hat sein IRMA®-Produkt um wichtige Leistungsmerkmale (u.a. REST-API, IPv6-Support, Alarmierungsrückkanal) erweitern können und die DECOIT® GmbH konnte ihre SIEM-Entwicklungsarbeiten weiter fortsetzen (u.a. REST-API, IRMA® als neuer Sensor, SIEM-GUI-Weiterentwicklung). Nun werden die neuen Erkenntnisse in die Verwertungsplanung einfließen und die Projektpartner sind zuversichtlich trotz Pandemie-Zeiten bald einen ersten Industriekunden zu gewinnen.