Wie in vielen anderen Bereichen kommen auch bei der Steuerung und Überwachung von Prozessen in der Produktion, in Fahrzeugen, in Flugzeugen und in Kraftwerken zunehmend Technologien und Komponenten aus der klassischen Informationstechnik zum Einsatz. Dies geht einher mit steigender Vernetzung der Systeme über lokale und Weitverkehrsnetze. Ergebnis sind sensible Netze, die anfälliger sind für Angriffe als das in früheren Systemansätzen der Automatisierungstechnik mit proprietären Kommunikationslösungen der Fall war.

Große Automatisierungsnetze werden hauptsächlich mithilfe von Firewalls in Sicherheitszellen geteilt und so vor unautorisiertem Zugriff angrenzender Netze geschützt. Eine feinere Segmentierung der oft zu großen Sicherheitszellen scheitert an Echtzeit- sowie Verfügbarkeitsanforderungen und dem oftmals monolithischen Charakter der teils über Jahrzehnte gewachsenen Netze. Insbesondere der Schutz von großen Zellen via Abschottung durch klassische Firewall-Technologie als einzige technische Sicherheitsmaßnahme ist nicht mehr zeitgemäß. Firewalls schützen nicht vor Angriffen von innen bzw. vor Angriffen, die aus einem „legalen“ Zugriff heraus initiiert werden. Die Praxis zeigt, dass es viele Möglichkeiten für erfahrene Angreifer gibt, Firewalls zu unterlaufen.

Durch eine innere Überwachung der Sicherheitszelle können solche Angriffe erkannt werden. Dazu adaptiert der Lehrstuhl bewährte Verfahren der Angriffserkennung (Intrusion-Detection) auf die Gegebenheiten in Automatisierungsnetzen. Ein vielversprechender Ansatz ist dabei die Erkennung von Abweichungen (Anomalien) vom für das Netzsegment typischen Netzwerkverkehr. Kernproblem bei der Entwicklung einer praktikablen Anomalieerkennung ist die Bestimmung und Modellierung von normalem, respektive erlaubtem Netzverkehr. Ein Schwerpunkt der Untersuchungen am Lehrstuhl ist daher die Verwendung von Verfahren des maschinellen Lernens zur automatisierten Definition von normalen Netzverkehr durch Beobachtung des Automatisierungsverkehrs. Vorteile der selbstlernenden Anomalieerkennung sind der optimale Zuschnitt der Anomalieerkennung auf den für das überwachte Segment typischen Automatisierungsverkehr sowie minimaler Konfigurationsaufwand des Überwachungssystems.

Partner:

• LEAG Lausitz Energie Kraftwerke AG
• RWE Deutschland AG
• Siemens AG

Offizielle Projekte:

• Verbundprojekt INDI