DECOIT

Letztes Konsortialtreffen des SecDER-Projekts fand bei Enertrag AG statt

Das siebte und damit letzte Konsortialtreffen des SecDER-Projektes fand am 20. Februar in der Zentrale des Anwendungspartners ENERTAG AG in Dauerthal in der Uckermark statt (siehe Abbildung 1). Damit haben nun alle Konsortialteilnehmer mindestens einmal ein solches Projekttreffen ausgerichtet. Ziel des letzten Treffens war es, das Projekt noch einmal abschließend zu bewerten und die letzten offenen Aufgaben zu benennen, da das Projekt Ende März nach drei Jahren beendet wird.

Abbildung 1: Haupt- und Besprechungsgebäude von ENERTRAG in Dauerthal
Abbildung 1: Haupt- und Besprechungsgebäude von ENERTRAG in Dauerthal

Ein Hauptziel des Projekts war die Erhöhung der Angriffs- und Ausfallsicherheit durch KI-basierte, proaktive Erkennung von Cyber-Angriffen oder technischen Störungen umzusetzen. Dieses Ziel konnte erreicht werden, da die Hochschule Hannover (HSH) einen eigenen KI-Algorithmus entwickelt hat, der in der Lage ist Anomalien zu erkennen. Zwei Masterarbeiten haben Klassifikationsmechanismen für Network Intrusion Detection Systeme (NIDS) untersucht. Auch Fraunhofer IEE entwickelte speziell für Windkraftanlagen ein Anomalie-Erkennungssystem. Zusätzlich beschäftigen sie sich mit KPI-Datenmodellen (Key Performance Indicators), um Kennzahlen für Cyberangriffe eindeutig definieren zu können. Für SecDER wurden insgesamt zwei Services entwickelt: kurzfristige Anomalie-Erkennung und langfristige KPI-Verfahren. Ein Framework zur physikalischen Datenplausibilisierung wurde umgesetzt und wird auch in anderen FhG-Projekten verwendet.

Die DECOIT® GmbH & Co. KG konnte durch die Weiterentwicklung ihrer eigenen SIEM-Lösung ScanBox® ebenfalls zur Erkennung von Anomalien beitragen. Mit dieser Lösung lassen sich verschiedene KI-Methoden nutzen und das Normalverhalten ermitteln. Parallel ist aber auch eine regelbasierte Nutzung möglich. Technische Störungen können hingegen durch ein Verfügbarkeitsmonitoring wie Check_MK erkannt und an ein SIEM-System entsprechend weitergegeben werden. Leider konnten die theoretischen Ansätze nicht durch praktische Feldtests bei den Anwendungspartnern überprüft werden. Auch ließen sich bis zum Projektende keine ausreichende Datenqualität erzeugen, um die KI-Algorithmen effizient anlernen zu können, auf Open-Source-Daten zurückgegriffen werden musste. Die erarbeiteten Angriffsszenarien ließen sich daher nicht praktisch evaluieren. Abschließend konnte festgestellt werden, dass Klassifizierungsmechanismen und regelbasierte Systeme für sog. APT-Angriffe (Advanced Persistent Threat) unzureichend sind.

Ein weiteres Ziel des Projektes war es, Methoden zur Aggregation aller Ereignisse zu einem gesamtheitlichen Lagebild der Sicherheit zu entwickeln. Dafür sollte ein zentrales Störfallinformationssystem (SIS) entwickelt werden. Durch das fehlende übergreifende Projektmanagement, da jeder AP-Leiter für sein eigenes Arbeitspaket nur zuständig war, entstanden allerdings Insellösungen bzw. ein dezentrales SIS. Eine Zusammenführung und damit Aggregation der Daten wurde dadurch nicht ermöglicht. Hinzu kam, dass kein zentrales Virtual-Lab (VL) aufgebaut wurde, um Anomalien testen zu können, sondern jeder Partner ein eigenes VL implementierte. Dadurch ließen sich übergreifende Anomalien nicht testen.

Abbildung 2: Konstruktives letztes Meeting in den Räumlichkeiten der ENERTRAG
Abbildung 2: Konstruktives letztes Meeting in den Räumlichkeiten der ENERTRAG

Der Projektpartner und Sicherheitsexperte Fraunhofer SIT beschäftige sich im Projekt mit Strategien zur Verteidigung und zur Resilienz. Der STRIDE-Ansatz von Microsoft wurde zur Sicherheitsanalyse verwendet; ein gängiger Ansatz. Es wurde beschrieben was Resilienz ist und wie es in Windkraftwerken angewendet werden kann. Resilienz konnte auch gemessen und dargestellt werden. Zusätzlich wurde ein Virtuelles Kraftwerk mit einem Help-Dashboard ausgestattet, was auch als Teil des SIS angesehen werden kann. Bei dem Anwendungspartner ANE läuft dieses im Live-Betrieb und kann über eine Rest-API auch KPI-Daten mit aufnehmen. So lassen sich hiermit Anomalien erkennen und darstellen. Aus Sicht von Fraunhofer SIT war das SecDER-Projekt daher durchaus erfolgreich.

Abschließend berichtete ENERTRAG AG von der Umsetzung ihres derzeitigen SIEM-Projektes. Hierfür müssen 3.000 Windkraftanlagen eingebunden werden. Jeder Standort besitzt dabei die gleichen IP-Adressen und muss über NAT-Regeln angebunden werden, was die Umsetzung verkompliziert. 170 Server in der kritischen Infrastruktur wurden inzwischen in das SIEM-System eingebettet. Aktuell werden 10.000 Logeinträge pro Minute geschrieben. Daher entsteht momentan ein Datenvolumen von < 6 TByte, bei einer Speicherzeit von 90 Tagen. Durch das Projekt hat man auf jeden Fall viel gelernt und konnte so die neuen gesetzlichen Sicherheitsanforderungen rechtzeitig umsetzen.

Abschließend ließ sich festhalten, dass leider kein zentrales Störfallinformationssystem (SIS) aufgebaut werden konnte. Dies wurde auch bereits von anderen Herstellern ohne Erfolg versucht. Trotzdem konnte jeder Partner mit seinen Ansätzen und Lösungen neue Ergebnisse erzielen, die eine bessere Absicherung von Virtuellen Kraftwerken ermöglichen. Durch das Projekt machte auch die DECOIT® erhebliche Fortschritte in der Weiterentwicklung der ScanBox®, die nun auch in der Lage ist neben den Netzwerkdaten Logdaten von Client- und Serversystemen zu aggregieren und zu analysieren. Daher kann man sich nun ab April komplett auf den Erfolgskontrollbericht für den Projektträger des BMWi konzentrieren. Zudem sind in dem Projekt relativ viele Bachelor- und Master-Thesis bei verschiedenen Partnern sowie einige Konferenzveröffentlichungen entstanden. Die Absicherung kritischer Infrastrukturen bleibt daher auch zukünftig ein wichtiges und interessantes Thema.

Zurück