Kasten mit Angel-Ködern

Mit digitalen Ködern können Angreifer auf IT- und OT-Systeme erkannt und ausgebremst werden. (Bild: Adobe Stock / khamkula)

Die fortschreitende Digitalisierung durch die Konzepte der Industrie 4.0 sowie Defizite bei finanziellen Ressourcen und fachlichem Know-how machen kleine und mittlere Unternehmen (KMU) in der Fertigung zum einfachen Ziel für Angreifer. Um KMU dabei zu helfen, sich wirksam gegen Cyberangriffe zu schützen, haben Partner aus Wissenschaft und Wirtschaft im Projekt „IUNO InSec" (Nationales Referenzprojekt zur IT-Sicherheit in Industrie 4.0) einfach einsetzbare Lösungen entwickelt.

Zu diesem Zweck wurde im Rahmen von IUNO InSec, das vom Bundesforschungsministerium gefördert wurde, ein ganzer Baukasten ans Abwehr-Tools gegen Cyberangriffe entwickelt:

  • Einfach anzuwendende Werkzeuge zur Bedrohungsmodellierung und zur automatisierten Anomalie-Erkennung.
  • Lösungen für mehr Sicherheit bei der Nutzung von Industrial-Clouds.
  • Der sichere Fernzugriff auf Maschinen, unter anderem für eine sichere Fernwartung.
  • Ein kontrollierbares, vertrauenswürdiges Nutzungsmanagement in verteilten digitalen Wertschöpfungsnetzen.

Analysten: Industrie 4.0 treibt Ausgaben für Industrial Security

Die Analysten von ABI Research erwarten in den kommenden Jahre einen Boom für Security-Lösungen im Umfeld von Industrie 4.0. “Die Cybersecurity-Industrie ist mittlerweile in der Lage, ihre Produkte schnell an die Bedürfnisse von vernetzten Industriekomponenten anzupassen", so Michela Menting, Research Director at ABI Research. HIntergrund ist ein massiver Anstieg an Cyberattacken auf Industrieunternehmen und -Zulieferer wie jüngst etwa Weidmüller. Laut dem IT-Verband Bitkom haben Cyberkriminelle 2020 bei deutschen Unternehmen Verluste in Höhe von 223 Milliarden Euro verursacht. Das ist mehr als doppelt so viel wie zwei Jahre zuvor.

Täuschen statt tarnen

Der Forschungsbereich Intelligente Netze des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) in Kaiserslautern leitete im Projekt als Konsortialpartner die Entwicklung eines neuen Ansatzes, der Angreifer in die Falle locken und deren Spuren zurückverfolgen kann.

Dabei kommen Methoden des „Cyber Deception“ zum Einsatz. Diese Technologie richtet gleichermaßen gegen Angriffe von Innen durch sogenannte Insider Threats und gegen die anhaltende Bedrohung der lokalen IT-Infrastruktur von Außen durch Spionage und Sabotage (Advanced Persistant Threats). Diese Attacken werden oft erst spät entdeckt - teilweise Monate, nachdem sie das Netzwerk infiziert haben. Doch sie lassen sich durch eine auf Täuschung (engl. Deception) basierende Anomalie-Erkennung frühzeitig aufspüren.

Falsche Log-in-Seite macht Täter selbst zum Ziel

DFKI-Projektleiter Daniel Reti erklärt die Methodik: „Sucht ein Angreifer im Netzwerk nach verwundbaren Servern, wird ihm eine erfundene Log-in-Seite durch den vorgeschalteten Deception Proxy präsentiert. Sobald der Angreifer mit einem solchen Köder interagiert, macht er sich erkenntlich.“ Dadurch kann er gezielt abgewehrt werden.

Die Implementierung mittels Proxy macht es KMU sehr einfach, auf „Deception“ basierende Verteidigung anzuwenden, da die Täuschungselemente - sogenannte „Honeytokens“ - nicht auf den Produktivsystemen abgelegt werden müssen, sondern in den Netzverkehr eingeschleust werden können.

Die Projektpartner trafen sich zur Abschlussveranstaltung von IUNO InSec am Fraunhofer AISEC in Garching b. München.
Die Projektpartner trafen sich zur Abschlussveranstaltung von IUNO InSec am Fraunhofer AISEC in Garching b. München. (Bild: Fraunhofer AISEC)

Das sind die Tools im Sicherheitsbaukasten von IUNO InSec:

Verhalten der Produktionsumgebung simulieren

Testbed zur Evaluation von IIoT-Security (Leitung: Fraunhofer AISEC): Das entwickelte Testbed erlaubt eine dynamische Konfiguration von industriellen Netzwerkkomponenten, die auch Dritte nutzen können. Es kann verwendet werden, um das Verhalten der Produktionsumgebung mit und ohne Sicherheitslösungen im Angriffsfall zu simulieren. Für das Testbed wird nur ein Webserver benötigt, was seinen Einsatz in KMU vereinfacht. Die Bibliothek der unterstützten IIoT-Komponenten ist vorkonfiguriert und dynamisch durch Drag-and-drop nutzbar. Auch eine Konfiguration eigener Geräte durch den Endanwender ist möglich.

Unerwünschte Zustände erkennen

Datenbasierte Anomalie-Erkennung (Leitung: Fraunhofer AISEC): Mit der Methodik lassen sich Abweichungen in verschiedenen Daten-Szenarien aufdecken, z. B. in Bilddateien, Netzwerkdatenströmen und Finanzdaten. Unerwünschte Zustände, die z. B. durch einen IT-Angriff auf Produktionskomponenten verursacht wurden, können frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Die Methode ist besonders für den Einsatz in heterogenen Produktionslandschaften geeignet und kann ohne Vorwissen über mögliche Anomalien eingerichtet und ausgeführt werden. HIer geht es zum Quellcode auf Github.

Architekturmodelle erstellen und analysieren

Kontinuierliche Bedrohungsmodellierung (Leitung: Fraunhofer SIT): Bedrohungs- und Risikomodellierungen sind dokumentenlastig und komplex. Eine browsergestützte grafische Benutzeroberfläche vereinfacht es, Architekturmodelle als Basis einer Bedrohungsmodellierung zu erstellen. Mithilfe einer Modellierungssprache und einem grafischen Werkzeug zur Erstellung von Bedrohungsmustern lassen sich bereits existierende Architekturmodelle einfach und nutzungsfreundlich kontinuierlich analysieren.

Lokale Infrastruktur im digitalen Zwilling in der Cloud

BAScloud (Leitung: accessec): Die BAScloud (BAS: Building Automation System) bildet Daten der lokalen Infrastruktur in einem digitalen Zwilling in der Cloud ab. Dies erfolgt durch digitale Erfassung, Normierung, Speicherung und Bereitstellung von Messdaten. Auch Sollwerte können sicher in die Infrastruktur zurückgesendet werden. Sie verfügt über eine Schnittstelle (API), um relevante Daten für Drittsysteme und -services verfügbar zu machen. Ein Rollen- und Rechte-System erlaubt ein feingliedriges Berechtigungsmanagement. Das technische Netzwerk ist vom Internet getrennt und bleibt so vor möglichen Cyberangriffen geschützt. Die BAScloud steht als Software-as-a-Service (SaaS) zur Verfügung.

Sicherer Fernzugriff durch VPD und SDN

Sicherer Fernzugriff auf Assets und Maschinen im Unternehmensnetzwerk (Leitung: axxessio): Die Lösung ist speziell für den Einsatz von sicheren Fernwartungsdienstleistungen konzipiert. Durch die Kombination von VPN- (Virtual Private Network) und SDN-Technologien (Software Defined Network) werden sichere Verbindungen von außerhalb zu einem bestimmten Endpunkt innerhalb des Unternehmensnetzwerks hergestellt. Die Verwaltung der notwendigen Kontrollen läuft automatisiert ab. Für eine benutzerfreundliche Prozessgestaltung erfolgt die Planung und Durchführung der Fernwartungseinsätze über eine Cloud-Plattform mit verschlüsselter und authentifizierter Verbindung. Die eingesetzten Technologien sind Open Source verfügbar. Damit sind sie unabhängig von Drittanbietern und werden kontinuierlich von der Community weiterentwickelt.

Vertraulichkeit durch feingranulare Nutzungsregeln

Attributbasiertes Nutzungsmanagement (Leitung: TU Darmstadt): Digitale Wertschöpfungsnetze sind durch die dynamische Anzahl unterschiedlichster Teilnehmender geprägt. Das attributbasierte Nutzungsmanagement ermöglicht es, feingranulare Nutzungsregeln aufzustellen, während auf Basis der SDN-Technologie die Nutzung bzw. Kommunikation überwacht und gesteuert werden kann. Die dynamische, flexible und differenzierte Autorisierung und die Nutzungskontrolle erhöhen die Vertraulichkeit und Integrität der digitalen Kommunikation. Der Betrieb ist auf gängiger Hardware möglich, nur SDN-Switches sind zusätzlich erforderlich.

Simulation überwacht die Realität

Simulationsbasierte Nutzungskontrolle (Leitung: TU Darmstadt): Um die attributbasierte Nutzungskontrolle optimal einzusetzen, werden genaue Kenntnisse über das zu überwachende System benötigt. Auf Grundlage von Verhaltenssimulationen, die der Produktentwicklung entstammen, kann ein digitaler Zwilling diese Informationen bereitstellen. Der Vergleich von simulierten Systemzuständen des digitalen Zwillings und zulässigen Systemzuständen dient insbesondere zur Verfeinerung der Nutzungskontrolle. Der Betrieb des Simulationsmodells ist auf gängiger Hardware möglich.

Über das Projekt IUNO InSec

Das Projekt IUNO InSec lief von Oktober 2018 bis Juni 2022 und hatte ein Volumen von 4,5 Mio. EUR (davon 85% Förderanteil durch das BMBF). Partner von IUNO Insec waren das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC (Verbundkoordinator), die accessec GmbH, die axxessio GmbH, das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI), das Fraunhofer-Institut für Sichere Informationstechnologie SIT und die Technische Universität Darmstadt, Fachgebiet Datenverarbeitung in der Konstruktion (DiK).

Bleiben Sie informiert

Diese Themen interessieren Sie? Mit unserem Newsletter sind Sie immer auf dem Laufenden. Gleich anmelden!

Sie möchten gerne weiterlesen?