Forschungsprojekt INDI zum Schutz vor Cyber-Angriffen

Um Unternehmen und kritische Infrastrukturen vor Angriffen schützen zu können, werden jetzt im Forschungsprojekt „Intelligente Intrusion-Detection-Systeme für Industrienetze“ (INDI) neue Sicherheitstechnologien entwickelt. Steffen Ullrich, Software-Entwickler bei genua, begleitet das Projekt und beleuchtet hier die Hintergründe.

Computer durchziehen unser Leben mehr, als wir es wahrnehmen. Über PCs, Notebooks und Smartphones können wir schnell Informationen recherchieren, neue Daten erfassen, uns mit Gleichgesinnten in aller Welt austauschen, die Urlaubsfotos verwalten und vieles mehr. Und auch wenn diese persönlichen Computer für uns unentbehrlich scheinen, so führt ein Ausfall oder Verlust im Allgemeinen nicht zu wirklichen Notsituationen.

Nur am Rande wahrgenommen wird jedoch der Einsatz von Computertechnik in Bereichen, die uns scheinbar weniger betreffen: Dazu gehören die Verwendung zur Überwachung und Steuerung von Industrieanlagen, die Optimierung von Warenströmen in Transport und Logistik oder die Steuerung von Geldströmen im Finanzwesen. Aber spätestens beim Einsatz von Computern in der Telekommunikation, Wasser- und Energieversorgung wird klar, dass Ausfälle oder Fehlfunktionen dieser Systeme eine deutliche stärkere Auswirkung auf unser Leben haben können als Probleme mit unseren privaten Computern.

Entsprechend interessant sind diese Infrastrukturen auch in politischer oder militärischer Hinsicht. Wurde bisher mit militärischer Macht oder gar Atomwaffen gedroht, so kann durch eine Infiltration kritischer Computersysteme eine neuartige Bedrohung aufgebaut werden: Ein erfolgreiches Eindringen in diese Systeme zu Friedenszeiten kann im Konfliktfall zur deutlichen Schwächung des Gegners benutzt werden, z. B. durch die Auslösung von Unruhen oder die Gefährdung des militärischen Nachschubs mit Störungen der Energie- und Wasserversorgung, des Transportwesens oder wichtiger Industrieanlagen.

Cyber-Angriffe sind eine konkrete Gefahr

Dass derartige Gefahren nicht nur theoretisch sind, zeigen die Sabotage des iranischen Atomprogramms durch Kompromittierung essenzieller Steuerungssysteme (Stuxnet, Flame und Duqu) sowie die vielfältigen gezielten Angriffe gegen Lieferanten von entsprechenden Computersystemen. Und im Gegensatz zur Drohung mit militärischer Stärke ist diese Form der Bedrohung deutlich billiger und damit auch für wirtschaftlich schwächere Staaten durchzuführen.

Im Forschungsprojekt INDI befasst sich genua zusammen mit Wissenschaftlern und Experten der Universität Göttingen, der BTU Cottbus-Senftenberg und des Energieunternehmens Vattenfall mit der Entwicklung neuer Verfahren zur Absicherung derart kritischer Computersysteme. Klassische Sicherheitstechniken wie häufige Software-Updates, Viren-Scanner oder Firewalls sind in diesem Umfeld nicht tauglich, da im Gegensatz zu privat eingesetzter Computertechnik bei diesen kritischen System alles der korrekten Funktionalität untergeordnet werden muss. Damit ist nicht nur eine umfangreiche Überprüfung der Zuverlässigkeit des Systems beim Ersteinsatz zwingend, sondern jegliche Änderung am System erfordert erneut gründliche Tests. Das würde also auch jegliche Software Patches und selbst Updates der Signaturen des Viren-Scanners betreffen, da dadurch eventuell kritische Programme in der Ausführung verhindert oder bei ihren oft zeitkritischen Abläufen gestört werden.

Da aber ein Großteil der ICS/SCADA-Systeme (ICS: Industrial Control System, SCADA: Supervisory Control and Data Acquisition) auf Standard-Betriebssystemen wie Windows basiert, stellt sich für den Betreiber das große Problem: Entweder setzt er ein bekannt unsicheres System ein oder er benutzt die häufigen und oft kritischen Software-Updates ohne ausreichende Zuverlässigkeitskontrolle.

Herausforderung Anomalie-Erkennung

Eine der Anforderungen an unser Forschungsprojekt ist es daher, eine zuverlässige Entkopplung der Analyse von dem existierenden System sicherzustellen, damit das Abgreifen für die Analyse nötiger Informationen garantiert ohne Rückwirkungen auf das zu analysierende System bleibt. Das hauptsächliche Problem stellen dann aber die Daten selber dar: Im Industrieumfeld wird eine Vielfalt verschiedenster Anwendungsprotokolle eingesetzt, die teilweise proprietär, teilweise standardisiert und teilweise proprietär modifizierte Standards sind. Und selbst beim Einsatz von Standards kann man nicht zwingend von einer korrekten Implementation ausgehen.

Doch auch wenn das exakte Protokoll bekannt ist, so werden in einem spezifischen Betriebsumfeld im Normalbetrieb nur Informationen innerhalb bestimmter Wertebereiche übertragen und alles andere kann auf eine Fehlfunktion hindeuten, welche wiederum durch Hardware-, Software- oder Bedienfehler, aber auch durch einen Eindringling ausgelöst sein kann. Alles in allem gibt es hier viele Herausforderungen bei der Entwicklung von protokollabhängigen und -unabhängigen Anomalie-Erkennungen. So werden wir sicherlich eine spannende Forschung mit interessanten Ergebnissen innerhalb der drei Jahre Projektlaufzeit haben.

Das Forschungsprojekt „Intelligente Intrusion-Detection-Systeme für Industrienetze“ wird vom Bundesministerium für Bildung und Forschung bis Oktober 2017 mit 1,69 Millionen Euro gefördert.

Zur Projektseite: www.indi-project.org

Bildquellen: © fotohansel - Fotolia.com