Sie sind hier: HomeSteuerungsebeneSafety & Security

Machine Learning: Wie KI die Informationssicherheit verbessern kann

Die in der klassischen IT eingesetzten Schutzmaßnahmen in ­puncto Informationssicherheit sind für OT-Umgebungen in der Regel nicht geeignet. Abhilfe schaffen auf Machine Learning (ML) basierte Intrusion-Detection-Systeme (IDS).

Künstliche Intelligenz und Industrial Security Bildquelle: © Fotolia, Elnur

Zunehmende Vernetzung und intelligente Systeme sind die treibenden Kräfte hinter Industrial Internet of Things (IIoT) und Industrie 4.0. Die hochgradige Vernetzung von IIoT-Geräten ermöglicht es, immer mehr Daten zu erfassen, zu verarbeiten und auszuwerten. Diese Daten sind die Basis für IIoT-Anwendungen wie Smart Manufacturing. Bei der Planung entsprechender Neuanlagen oder der Modernisierung bestehender Anlagen hin zu einer intelligenten Produktion wird die IT-Sicherheit nach wie vor sträflich vernachlässigt, was eine stetig wachsende Angriffsfläche zur Folge hat.

Aktuelle Beispiele untermauern die Brisanz der daraus resultierenden Vorfälle. So wurden in jüngster Vergangenheit auch namhafte Industrieunternehmen wie etwa der Maschinenbauer Krauss Maffei, der Aluminiumproduzent Norsk Hydro und  der Baukonzern Porr Opfer von Cyber-Angriffen. Oft dienen mit dem Internet verbundene, aber nicht ausreichend gesicherte, Steuerungskomponenten als Einstiegspunkt in das Unternehmen. Oder ein Fernwartungszugang eines Mitarbeiters wird für den initialen Zugriff ins Netzwerk missbraucht. Dies sind nur zwei mögliche Angriffstypen, mit denen ein Hacker ein Firmennetz infiltrieren und dadurch weitere Systeme im Netzwerk gefährden kann. Wichtig zu wissen ist dabei: Härtungsmaßnahmen, wie sie aus der klassischen IT bekannt sind, lassen sich nicht ohne weiteres auf OT-Systeme übertragen.

Um sicherheitsrelevante Vorfälle möglichst schnell zu erkennen, sind Maßnahmen nötig, die über rein signaturbasierte Verfahren hinausgehen. Eine Detektion von Sicherheitsvorfällen ist bei regelbasierten Systemen zur ‚Intrusion Detection‘ nur bei bereits bekannten Angriffsvektoren möglich. Außerdem müssen dazu die Netzwerk-Struktur und der darin vorkommende Netzwerk-Verkehr bekannt sein. Auch die Aktualität der Regelwerke muss ständig gewährleistet sein. Dies gestaltet sich gerade im OT-Bereich sehr schwierig, da hier meist nur knappe Wartungsfenster existieren und keine festen Zeiten für Updates und Patches vorgesehen sind.

Hierarchische IDS-Architektur Bildquelle: © TH Deggendorf

Hierarchische IDS-Architektur: Durch dezentrale Sensoren können Daten prozessnah erfasst und ausgewertet werden, was einerseits die Bandbreite schont und andererseits schnellere Reaktionen ermöglicht.

Viele aktuellen Publikationen untersuchen die Nutzung von Machine-Learning-Algorithmen zur Anomalie-Erkennung mit mehrstufigen komplexen Verfahren, die üblicherweise zentral ausgeführt werden. Hierbei werden mehrere Algorithmen miteinander verkettet, um bessere Ergebnisse zu erzielen. Die Nachteile dabei: Die Rechenkomplexität dieser Methodik ist durch die Anwendung mehrerer Algorithmen höher als bei einstufigen Verfahren, und es müssen sämtliche relevanten Daten zu der zentralen Instanz gesendet werden. Deshalb sind solche Ansätze für eine umfassende Erkennung von Sicherheitsvorfällen in Domänen mit ressourcenschwachen Systemen, wie sie in industriellen Netzwerken vorherrschen, ungeeignet.

Eine bessere Lösung ist eine verteilte Intrusion-Detection-System-Architektur (IDS), mit der sich Angriffe auf industrielle Netzwerke schnell erkennen und entsprechende Warnungen generieren lassen. Ein solches IDS wurde etwa am Institut Pro-tectIT der Technische Hochschule Deggendorf entwickelt. Das Kernkonzept dahinter ist, dass Sensoren – realisiert entweder als  (kostengünstige) eingebettete Systeme oder als Agent auf den industriellen Komponenten selbst – dezentral Daten sammeln und diese Daten geeignet verarbeiten. Ein besonderes Augenmerk liegt dabei auf einer effizienten Feature-Vorverarbeitung. Komprimiert werden die gesammelten Features dann zu leistungsfähigeren Knoten gesendet, die entsprechende Kapazitäten besitzen, um aus den Daten Modelle zur Anomalie-Erkennung zu berechnen. Diese Modelle werden anschließend wieder an die Sensoren verteilt, die dadurch Vorfälle effizient prozessnah vor Ort erkennen und geeignete Alarme generieren können. Im Folgenden werden die Hauptmerkmale der IDS-Architektur näher erläutert.