Das Projekt „KI-gestütztes SIEM-System für hochzuverlässige industrielle IoT-Netze und Feldbusse“ – kurz KISTE – konnte beim letzten Konsortialtreffen am 23. Juni erfolgreich abgeschlossen werden. Das ZIM-Projekt, das eine Laufzeit von zwei Jahren hatte, wurde von der DECOIT® geleitet und hatte zum Ziel ein SIEM-System zu entwickeln, dass auch die OT-Welt mit einbeziehen und KI-Techniken mit nutzen sollte. Das Projekt wurde mit der Hochschule Offenburg durchgeführt, die gerade im OT-Bereich eine große Erfahrung vorweisen können. KISTE endete im Juni und kann sehr gute Ergebnisse vorweisen.

Das vierte und letzte Konsortialtreffen fand in den Räumlichkeiten der DECOIT® statt. Es konnte beim Projektfortschritt eine sehr positive Bilanz gezogen werden, da alle Projektziele erreicht werden konnten. Für die Arbeitspakete konnten ausführliche AP-Berichte erarbeitet werden, so dass eine ausreichende Dokumentation gewährleistet ist, um die Ergebnisse nach Projektende weiterführen zu können. Beide Parteien bauten eine VirtualLab-Umgebung auf, die für IT- und OT-Tests bzw. Angriffssimulationen verwendet werden konnten. Aus den Ergebnissen sind zahlreiche Veröffentlichungen entstanden, die meisten mit internationaler Reichweite. Auf der Projektwebseite www.kiste-project.info ist eine komplette Liste erhältlich. Zuletzt wurden die finalen Testergebnisse im Open Access Journal von Science and Technology of Sensors publiziert.

Die DECOIT® stellte ihre Ergebnisse aus dem VirtualLab vor. Hierin wurden diverse Angriffsszenarien definiert und Angriffsmöglichkeiten im Zusammenspiel mit unserem SIEM-System getestet. Dafür kamen MITRE-Techniken zur Anwendung. MITRE repräsentiert spezifische Methoden und Aktionen, die Angreifer nutzen, um übergeordnete Ziele („Taktiken“) zu erreichen. Die Wissensdatenbank ist für Sicherheitsteams essenziell, um Bedrohungen zu verstehen, zu erkennen und abzuwehren. Zusätzlich kam das Caplon-System von Consistec zum Einsatz, das als Intrusion-Detection-System (IDS) für OT-Protokolle getestet wurde und mit dem SIEM-System über Syslog verbunden war.

Die Hochschule Offenburg zeigte hingegen ihre Testbed-Ergebnisse der KI-SIEM-Architektur. Dabei kam heraus, dass die Architektur skalierte und die Erkennungsrate bei definierten Schwellwerten bei 100% lag. Vier CALDERA-Angriffsketten wurden validiert. Darunter versteht man die automatisierte Emulation von realen Angreifer-Vorgehensweisen (TTPs – Tactics, Techniques, and Procedures) innerhalb der Open-Source-Plattform MITRE Caldera. MITRE Caldera ist eine automatisierte und quelloffene Plattform zur Emulation von Cyber-Angriffen. Sie hilft Sicherheitsteams dabei, die eigene Netzwerksicherheit zu testen und Abwehrmechanismen zu überprüfen. Nach den Angriffen wurde die Robustheit des Systems getestet. Dabei konnte eine True-Positive-Rate von 92,7% erreicht werden. Das heißt, das SIEM-System konnte einen sehr hohen Anteil der eingehenden Vorfälle korrekt identifizieren. Nach einer anschließenden Härtung wurde die Erkennungsrate sogar auf 100% gesteigert.

Als Projektergebnisse hielten beide Parteien fest, dass ein IT/OT-basiertes SIEM-System mit Künstlicher Intelligenz (KI) erfolgreich aufgebaut werden kann. Auch das Zusammenspiel zwischen SIEM- und Caplon-System konnte hergestellt werden. Dadurch stellen OT-Systeme keinen blinden Punkt mehr in einer ganzheitlichen Überwachung dar. Im Juli stehen nun die Arbeiten am Abschlussbericht für den AiF-Projektträger auf dem Programm, bevor das Projekt endgültig abgeschlossen ist.