Erkennung und Zuordnung von Cyberangriffen in industriellen Netzwerken mithilfe Künstlicher Intelligenz
Durch die zunehmende Vernetzung digitaler Systeme nimmt nicht nur die Menge der ausgetauschten Daten zu, sondern auch deren Komplexität. Diese komplexen Datenströme zu überwachen, treibt klassische Lösungen an ihre Grenzen und erfordert es zunehmend, hierfür ausgewiesene Fachexpertise einzusetzen. Große Unternehmen besitzen aufgrund ihrer finanziellen Möglichkeiten oft eigene Sicherheitslösungen oder greifen auf teure Dienstleistungen zurück. Kleinere Unternehmen verfügen häufig nicht über diese Mittel und Möglichkeiten. Sie benötigen kostengünstige, dynamische sowie adaptive Lösungen für die Überwachung und Absicherung ihrer Systeme.
Im Vorhaben „Attribution von Cyberangriffen durch KI-erweiterte Angriffserkennungssysteme mit Alarm-Korrelation in industriellen Netzwerken“ (CAIDAN) haben die Forschenden zum Ziel, ein hybrides Signatur- und Angriffserkennungssystem (engl. Intrusion Detection System – IDS) zu entwickeln. Das System soll mithilfe von Künstlicher Intelligenz (KI) arbeiten und in unterschiedlichen Datenquellen nach Anomalien suchen. Diese Anomalien lösen dann Alarme aus, die wiederum durch ein leichtgewichtiges Netzwerk von Verbindungen in Echtzeit zu Clustern zusammengeführt werden. Dies ermöglicht es dem Forschungsteam, komplexe Cyberangriffe oder angehende Systemausfälle frühzeitig zu erkennen. Alarme, die mit weiteren Daten kombiniert werden, dienen als digitale Spuren, die für schnelle und geeignete Reaktionsmaßnahmen nach einem Vorfall genutzt werden. Dafür wird eine universelle Schnittstelle entworfen, die schnelle und effektive forensische Untersuchungen an Systemen ermöglicht. Somit sollen Lösungen entstehen, die eine innovative, kostengünstige und effektive Mischung aus IT- und Betriebstechnologieüberwachung für KMU schaffen.
Klassische IDS können meist nur für bekannte Angriffe verwendet werden, während KI-basierte Methoden neuartige Angriffe erkennen können, aber eine hohe Falsch-Positiv-Rate aufweisen. Durch moderne Korrelationsverfahren will es das Projektteam schaffen, eine eindeutige, unbestreitbare Zuordnung von neuartigen Cyberangriffen zu ermöglichen, die automatisch in die Bedrohungssignaturdatenbank des IDS übertragen werden. Zusätzlich werden durch die Schaffung einer möglichst breit anwendbaren forensischen Schnittstelle schnelle, geeignete Reaktionsmaßnahmen nach einem Angriff ermöglicht. Damit geht ebenso eine vereinfachte forensische Aufarbeitung des Vorfalls einher. Da zukünftig weitere Behörden und Unternehmen in die Kategorie „Kritische Infrastruktur“ fallen werden und gleichzeitig ein Anstieg von Cyberangriffen zu erwarten ist, ist von einem weiter wachsenden Bedarf an Lösungen, wie sie in diesem Projekt entwickelt werden, auszugehen.