KI-Sicherheit für Industrie 4.0

Das große Problem der Industrie 4.0 ist die mangelnde Sicherheit für vernetzte Produktionssysteme. Gängige Security-Software reicht hier nicht aus. Ein israelisches Unternehmen verfolgt einen radikal anderen Weg.

Der industrielle Sektor verzeichnet eine Zunahme gezielter Angriffe auf Steuerungssysteme in der Produktion, auf sogenannte Scada-Systeme. Doch in vernetzten Produktionsanlagen sei Sicherheit ausschlaggebende Voraussetzung, betont das Bundeswirtschaftsministerium. Solange die IT-Branche keine zuverlässigen Lösungen anbieten kann, die Scada-Systeme und IoT-Komponenten (Internet of Things) im industriellen Umfeld sicher schützen, verläuft die Digitalisierung der Produktion gebremst und kann in sensiblen Bereich ins Stocken geraten.

Ursache dafür ist die im Vergleich zur klassischen IT wesentlich komplexere Systemlandschaft der OT (Operational Technology) genannten Produktionsnetze. Die in der IT gängigen Methoden wie Firewalls oder Malware-Scanner sind in der Produktion zumeist nicht ausreichend.

Zusätzliche Software darf auf diesen Maschinen häufig nicht installiert werden, um die Produktionsabläufe nicht zu gefährden. Updates sind kaum möglich, ein Reboot so gut wie ausgeschlossen, da dadurch die Produktion unterbrochen würde. Die Verfügbarkeitsanforderungen sind also sehr hoch, Downtime nicht akzeptabel.

Außerdem findet man in den Werkhallen häufig veraltete IT-Technik vor. Während Office-PCs in der Regel alle fünf Jahre ausgetauscht werden, sind Produktionsanlagen durchaus 20 Jahre und länger im Einsatz. Sicherheitsprodukte müssen also mehrere Generationen von Systemen abdecken können.

Moderne Industrie-4.0-Anlagen bringen weitere Probleme mit sich, verwenden sie doch häufig spezielle Netzprotokolle, die nicht denen in herkömmlichen IT-Netzen entsprechen. Hinzu kommt: „Die Leute wissen oft gar nicht, welche Maschinen vernetzt sind, und noch weniger, wer mit wem im Netz spricht“, erzählt Yochai Corem, Mitgründer von Cyberbit.

Das israelische Start-up geht einen anderen Weg: Cyberbit analysiert mit Methoden der künstlichen Intelligenz (KI), wie maschinellem Lernen, den Datenverkehr in der OT. Diese Vorgehensweise ist bekannt von KI-basierten Sicherheitsprodukten für klassische IT-Infrastruktur. Sie erkennen auffälliges Verhalten in Netzen, um so Hinweise auf Cyberangriffe abzuleiten.

In einer herkömmlichen IT-Landschaft ist diese Analyse des Datenverkehrs recht langwierig und dauert gewöhnlich etliche Wochen. Denn was im Netz abläuft, kann von verschiedenen Ereignissen oder einfach vom Wochentag, Monatsanfang oder Jahresende abhängen. Etwa wenn die Lohnbuchhaltung Abrechnungen erstellt oder zum Stichtag Daten für die Unternehmensbilanz ausgewertet werden müssen, zeigt der Datenverkehr im Netz jedes Mal andere Auffälligkeiten.

Demgegenüber ist der Datenverkehr in OT-Netzen viel gleichförmiger: „Wir brauchen nur wenige Tage, um ein Bild vom typischen Netz-Traffic zu haben“, sagt Corem. „Maschinenbefehle oder die Abfragen von Sensordaten erfolgen in regelmäßigen Intervallen, große Variationen sind eher selten“, erklärt er. Solange sich also am Maschinenpark nichts ändert, entsteht ziemlich schnell ein zuverlässiges Abbild der normalen Datenkommunikation.

Dafür müssen die Spezialisten aber mit einem anderen Problem kämpfen: „Es existieren jede Menge unterschiedlicher Netzwerkprotokolle für die Maschinensteuerung“, nicht alle seien IP-basiert und viele außerdem noch proprietär, das heißt, Hersteller legen die Protokolle nicht offen. „Deshalb setzen wir Reverse Engineering ein“, beschreibt Corem den ungewöhnlichen Ansatz von Cyberbit. „Wir verstehen also Scada-Protokolle“, ergänzt er. Denn die Netzwerkspezialisten analysieren die einzelnen Datenpakete und rekonstruieren daraus die Protokolle.

Das Unternehmen habe bisher schon rund 50 in der Produktion gebräuchliche Protokolle analysiert, darunter Profibus und Modbus sowie Siemens-Protokolle, sagt er. Corem führt aus: „Wir wissen daher genau, welche Daten ein Datenpaket enthalten sollte, und können Manipulationen sofort erkennen, etwa wenn ein Befehl den Temperaturschwellwert einer Anlage ändert.“

Stuxnet hätte vermieden werden können, ist sich Yochai Corem sicher. Die ausgefeilte Schadsoftware hatte es gezielt auf industrielle Anlagen abgesehen und sorgte dafür, dass falsche Sensordaten angezeigt wurden. Auf diese Weise lässt sich die Software „Scadashield“ von Cyberbit, nicht austricksen: „Wir schauen direkt auf die Sensoren, solche Manipulationen können wir daher erkennen“, erklärt Corem. Soll ein Datenpaket beispielsweise einen vierstelligen Wert enthalten, besitzt aber plötzlich einen sechsstelligen Wert, stimmt etwas nicht.

Die Spezialisten haben auch eine Datenbank mit bekannten Sicherheitslücken und Angriffsformen in Scadashield integriert. Eventuell findet sich darin ein Problem, dass ein sechsstelliger Wert einen Speicherüberlauf auslöst, weil das System nur Platz für einen vierstelligen Wert reserviert hat – eine gängige Angriffsvariante.

Durch die Beobachtung des Netzverkehrs ist auch bekannt, welche Maschine mit welchen Geräten kommuniziert und welche Daten dabei ausgetauscht werden. Wenn plötzlich Systeme miteinander in Verbindung treten, die normalerweise nicht kommunizieren, kann das auf den Versuch hindeuten, dass eine Maschine ohne Netzanbindung über eine andere Maschine mit Internetverbindung Daten ausschleusen will. Corem behauptet: „Unsere Überwachung auf ungewöhnliches oder auffälliges Netzwerkverhalten geht also sehr viel weiter, als es bei klassischen Sicherheitsprodukten der Fall ist.“

Doch bewährt sich dieser Ansatz auch in der Praxis? „Wir wurden im Herbst 2017 vom ENCS in Den Haag getestet und es gab keine Beanstandungen“, berichtet Corem stolz. Im europäischen Netzwerk für Cybersicherheit, ENCS, haben sich europäische Energieversorger zusammengeschlossen, um sich auf die Sicherheit ihrer kritischen Infrastruktur zu spezialisieren. Das Ergebnis scheint zu überzeugen: Inzwischen gehören bereits vier große europäische Energieversorger zu den Kunden von Cyberbit, mit weiteren sei man im Gespräch, verrät Corem.