Braunschweig. Wissenschaftler der TU Braunschweig haben mit Partnern ein intelligentes Erkennungssystem entwickelt. Es soll digitale Angriffe verhindern.

Die Erzeugung und Übertragung von elektrischer Energie vom Kraftwerk bis zur Steckdose wird heute nahezu komplett mit vernetzter Informationstechnik gesteuert. Wenn ein Kraftwerk ausfällt, kann das gravierende Folgen haben. Zwar sind die Netze der Energieversorger als kritische Infrastrukturen mit besonders hohem Schutzbedarf eingestuft und stark von anderen Datenetzen abgeschottet. Doch es gibt es einige kritische Schnittstellen: So erhalten Dienstleister Onlinezugänge, um per Fernzugriff via Internet Systeme zu betreuen. Zudem wächst mit der Digitalisierung der Bedarf, auch Daten mit abgeschotteten Netzen auszutauschen. Diese Schnittstellen sind potenzielle Einfallstore für Angreifer. Sind sie in das Netzwerk eingedrungen, müssen sie möglichst zügig aufgespürt werden, um Manipulationen und Schäden zu vermeiden.

Forscher der Technischen Universität Braunschweig haben jetzt zusammen mit Partnern ein intelligentes Erkennungssystem entwickelt. Abweichungen, die starke Indizien für Angriffe sind, lassen sich so aufdecken. Die sogenannte Intrusion-Detection-Technologie basiere auf dem Konzept der Anomalieerkennung. „Dazu wird im Industrienetz zunächst in einer Trainingsphase der gesamte Datenverkehr analysiert“, heißt es in der Pressemitteilung. „Mittels maschinellem Lernen werden Modelle für den Normalbetrieb berechnet.“

Dabei kämen zwei unterschiedliche Verfahren zum Einsatz: Das von der Brandenburgische Technische Universität Cottbus-Senftenberg entwickelte Verfahren verstehe häufig verwendete Protokolle – darunter auch industriespezifische Protokolle, die gängige Intrusion-Detection-Systeme nicht erfassen. Dagegen analysiere das von der TU Braunschweig entwickelte Verfahren den Datenstrom direkt auf Ebene der Netzpakete. Es könne so Muster in bekannten aber auch unbekannten Kommunikationsprotokollen erlernen. „Diese Protokollanalyse ergänzt eine Topologie-Erkennung, die die Struktur und den Aufbau des Industrienetzes charakterisiert“, erläutert die TU. „Die erstellten Modelle erfassen somit gemeinsam zahlreiche Merkmale, die den Normalbetrieb in einer Industrieanlage eindeutig kennzeichnen.“

Wenn der reale Datenverkehr im Netz mit den Modellen abgeglichen werden, fielen Angriffe als Abweichungen von der Normalität auf: Denn schädliche Aktivitäten hinterlassen ungewöhnliche Spuren in den Datenströmen der Netze, die als Anomalien von den verschiedenen Modellen aufgespürt werden. Der Netzbetreiber könne so eingedrungene Angreifer schnell erkennen und zeitnah Abwehrmaßnahmen ergreifen, um die Auswirkungen zu minimieren.

Gefördert wurde das Projekt vom Bundesministerium für Bildung und Forschung von November 2014 bis Juni 2018 mit 1,69 Millionen Euro. Weitere Partner waren die Lausitz Energie Kraftwerke AG und die genua GmbH. Weitere Informationen:

www.indi-project.org