ML basierte Angriffserkennung für IT-Sicherheit in der Industrie 4.0
Moderne Lösungen zur Cybersicherheit beschäftigen sich überwiegend mit digitalen Aspekten wie etwa kryptographischen Algorithmen, Netzwerkprotokollen und Softwaresicherheit. In der Praxis bieten die physikalischen Übertragungskanäle aber ebenso zahlreiche Schwachstellen, die es Angreifern erlauben einem komplexen, industriellen System zu schaden. Insbesondere können gängige Angriffserkennungssystem (Intrusion Detection System, IDS) nicht alle Aspekte eines Systems absichern, da die Informationsfülle der physikalischen Übertragungskanäle nicht in die Erkennungsroutine einfließt. Durch die zunehmende Vernetzung und dynamische Rekonfiguration von Produktionsanlagen innerhalb von Industrie 4.0-Anwendungen wird eine Angriffserkennung für industrielle Anlagen immer komplexer und wichtiger.
Ziel des Vorhabens ist es, ein präzises Intrusion Detection System zu entwickeln, das trotz der dynamisch veränderlichen Konfigurationen der Industrie 4.0 eine hohe Angriffserkennungsrate und wenige Fehlalarme liefert. Dazu wird im Wesentlichen an zwei Komponenten geforscht: Erstens sollen physikalische Daten erhoben werden, welche aus Gründen der praktischen Verarbeitung komprimiert werden. Gleichzeitig soll ein unternehmensinternes IDS durch Verfahren des maschinellen Lernens (KI-Verfahren) verschiedene Sensordaten zusammenführen und auf dieser Basis Angriffe erkennen. Zweitens werden die erhobenen Daten bereinigt, so werden beispielsweise Schwärzungsverfahren zur datenschutzkonformen Aufbereitung entwickelt. Die bereinigten Daten werden an eine gemeinsame unternehmensübergreifende, kooperative Aggregationsplattform weitergeleitet. So können Informationen über Angriffe in mehreren Unternehmen genutzt werden, was das Training des firmeninternen IDS verbessert.
Das Projekt verbindet die Themenkomplexe maschinelles Lernen und IT-Sicherheit, um eine konkrete und praxisrelevante Lösung im Bereich der Angriffserkennungssysteme zu entwickeln. Die zentrale Innovation ist die Erkennung von industrieller APT-Malware (Advanced Persistent Threat) unter Einbeziehung physikalische Sensordaten. APT-Malware ist in der Regel auf ein Angriffsziel maßgeschneidert und besonders schwer zu erkennen. Für Angreifer relativ schwer zu kontrollierende sind die physikalischen Eigenschaften von eingebetteten Systemen. Durch die präzise Messung dieser physikalischen Eigenschaften und die effiziente Implementierung von KI-Verfahren, also die gezielte Suche nach Anomalien im Betrieb, können auch hochentwickelte Angriffe leichter erkannt werden. Diese Technologie hat das Potenzial gezielte Angriffe auf Industriesysteme, z. B. mit dem Ziel der Industriespionage, zu unterbinden. Davon profitieren besonders Unternehmen des produzierenden Mittelstands, welche ein gleichzeitig besonders attraktives Ziele sind und eine besonders große Angriffsfläche bieten.