Ausgabe September 2022

Für viele Anwendungsfälle ist es sinnvoll bzw. notwendig, auf Systeme und Anlagen in geschützten Netzwerkbereichen zuzugreifen. Für die Überwachung und Predictive Maintenance werden Datenvon Maschinen, Anlagen und Sensoren benötigt. Weitere Szenarien sind das Ausleiten von Loggingdaten und Backups, der Transfer von Sensordaten und Statusmeldungen, die Replikation von Servern (z. B Historian), das Ausleiten von Video-/Audiostreaming oder Bildschirmanzeigen sowie Informationen zum Systemzustand (z. B. Patchversion). Für genau diese Anwendungsfälle bietet sich eine Datendiode an. Sie ermöglicht die Übertragung von Daten in genau eine Richtung, also aus einem Netzwerkbereich in einen anderen, ohne dass ein umgekehrter Datenfluss oder Zugriff möglich ist. Damit wird verhindert, dass unerlaubt auf den geschützten Netzwerkbereich mit seinen Anlagen und Sensoren zugegriffen werden kann.

Es existieren grundsätzlich zwei verschiedene Arten von Datendioden: physische und logische. Bei der physischen Datendiode wird die Datenübertragung in nur eine Richtung durch ein physisches Medium sichergestellt. Das wird beispielsweise über einen Lichtwellenleiter realisiert, bei dem sich auf der einen Seite eine Leuchtdiode und auf der anderen Seite ein Lichtsensor befinden. Eine Übertragung von Informationen in die Gegenrichtung ist somit physikalisch ausgeschlossen. Aus dem Vorteil dieser physischen Sicherheit ergeben sich aber zwei Probleme. Zum einen kann die erfolgreiche Übertragung der Daten an den Empfänger nicht garantiert werden kann. Zum anderen können keine Protokolle für die Datenübertragung eingesetzt werden, welche für den Verbindungsaufbau oder die Kommunikation zwingend eine Bestätigung der Gegenseite benötigen. An diesem Punkt setzen logische Datendiode an. Bei diesen besteht auf physischer Ebene zwar eine bidirektionale Datenverbindung, aber durch eine geeignete Software-Logik wird geregelt, dass Daten nur in eine Richtung übertragen werden können. Der Vorteil besteht darin, dass in der Logik ein minimaler Rückkanal (1 Bit) für eine Empfangsbestätigung der Daten ermöglicht wird. Somit können auch Protokolle zum Einsatz kommen, die eine Bestätigung der Gegenseite benötigen.

Das Lernlabor Cybersicherheit des Fraunhofer IOSB-AST bietet mit seinen technischen Trainings die Möglichkeit, die verschiedenen Arten von Datendioden anhand realer Anwendungsszenarien in einer Laborumgebung ausführlich kennenzulernen und deren Funktionsweise sowie Vor- und Nachteile zu verstehen. Darüber hinaus beraten wir Unternehmen aus der Energie- und Wasserversorgung beim Einsatz von Datendioden und analysieren anhand konkreter und individueller Anwendungsfälle deren Eignung und Umsetzungsmöglichkeiten.

Das BMBF-geförderte Projekt RESIST unter der Leitung des Fraunhofer EMI ist 2021 als Zusammenarbeit zwischen den Fraunhofer Instituten EMI, ISE, IEE, IEG und dem IOSB-AST gestartet. Mit dem Schwerpunkt der Resilienz unserer Stromnetze erforschen die Projektpartner Methoden zur Bewertung der Verwundbarkeit und Widerherstellungsfähigkeit der Stromnetze. Speziell die Stromversorgung ist in Deutschland derzeit ein noch stark hierarchisch (top-down) strukturiertes und massiv reguliertes System. Wenige lebenswichtige Übertragungsnetze stellen die zuverlässige und stabile Stromversorgung auf regionaler und lokaler Ebene sicher. Kommt es zum Ausfall, sind viele Menschen und Unternehmen betroffen. Wie plant und betreibt man vor diesem Hintergrund eine resiliente Stromversorgung der Zukunft? Die Beantwortung dieser Frage erfordertein hohes Maß an Systemkompetenz, die technologische, ökonomische und regulative Fragestellungen miteinander stimmig verknüpft.

Das übergeordnete Ziel von RESIST ist die Steigerung der Resilienz der Stromversorgung. Resilienz soll dabei in allen Phasen der anstehenden Transformation hin zur Energiewende integriert undmessbar gemacht, in Echtzeit dargestellt werden und Handlungsoptionen zur Optimierung der System-Resilienz über kritische Phasen hinweg aufzeigen.

Als Ergebnis entwickelt RESIST zwei Planungs- und Management-Werkzeuge sowie technische Erweiterungen für Kernkomponenten zur Erhöhung der Resilienz der Stromversorgung. Der Resilienzmonitor ermöglicht eine resiliente Betriebsführung in Echtzeit und kann durch Prognosen von Schadensszenarien technische und finanzielle Schäden minimieren. Das strategische Planungstool erlaubt die Umsetzung eines resilient-by-design-Ansatzes beim langfristigen Umbaudes Stromnetzes.

Identifizierte Ausfall- und Störungsszenarien der Stromnetze bilden die Basis für die Arbeiten im Projekt und führen auch zu einem starken Fokus der IT-Sicherheit durch mögliche Angriffe auf das Stromnetz. Das Fraunhofer IOSB-AST untersucht dabei die Digitale (Umspann-)Station, als kritischen Teil der aktuellen und künftigen Stromnetze im Detail. Für hochvernetze und digitalisierte Systeme spricht man von der Notwendigkeit von Cyber-Resilienz als nächsten Schritt der IT-Sicherheit. Hierfür werden dezentrale Methoden zur Resilienz- und Sicherheitsbewertung mit der Kombination von KI-basierten Erkennungsverfahren von IT-Angriffen erforscht.

Auch in dieser Ausgabe möchten wir Sie auf unseren aktuellen Blogbeitrag zum Thema "Erprobung einer neuen KI-basierten Generation von Sicherheitssystemen" aufmerksam machen.

"Das Projekt AICAS forscht zur Problemstellung der Erkennung und Behandlung von Sicherheitsvorfällen in Industrieanlagen – eine Problemstellung von hoher wirtschaftlicher und gesellschaftlicher Relevanz. Durch die sich ständig verändernde Umgebung und der Entwicklung neuer Angriffstechnologien zeigen aktuell verfügbare Lösungen nur eine begrenzte Wirksamkeit. Die Innovation des Projekts besteht darin, diese Grenzen durch KI-basierte Lösungen zu überwinden."

Lesen Sie mehr in unserem aktuellen Blogbeitrag:

In dieser Rubrik möchten wir Ihnen unsere Kollegen vorstellen. Heute machen wir Sie mit Adam Bartusiak –unserem Forschungsmitarbeiter bekannt. Adam ist seit den Anfängen im Lernlabor Cybersicherheit (LLCS) für die Energie- und Wasserversorgung tätig. Was seinen Job als Forschungsmitarbeiter im LLCS besonders spannend macht, erklärt er in diesem Interview.

Was genau machst Du im Lernlabor als wissenschaftlicher Mitarbeiter?

Aktuell ist die Durchführung von Sicherheitsbewertungen und Penetrationstests im Rahmen verschiedener Kooperationsprojekte mit unserem Industriepartner eine meiner Schwerpunktaufgaben. Dieses Themengebiet stellt eine Grundlage für meine Doktorarbeit dar, an der ich derzeit arbeite. Darüber hinaus zeige ich gemeinsam mit meinen Teamkollegen verantwortlich für die Erstellung und Durchführung technischer Schulungen im Bereich IT-Sicherheit. Im Rahmen dieser Aufgabe habe ich mehrere Angriffsszenarien für unsere Schulungsumgebung entworfen und umgesetzt.

Was macht Deiner Meinung nach das Lernlabor so einzigartig?

Einerseits ist es der Aufbau unserer Labore an den Standorten in Ilmenau und Görlitz: Sie integrieren eine reale Unternehmensstruktur sowie Prozesse und Technik aus dem Energiesektor. Diese Infrastruktur ermöglicht es uns, aktuelle Sicherheitsfragestellungen praxisnah mit den state-of-the-art Forschungsansätzen und Werkzeugen zu untersuchen. Ein weiteres signifikanteres Merkmal des Lernlabors ist die Entwicklung und der aktive Einsatz von mobilen Schulungsplattformen, wodurch die vielfältigen Aspekte der IT-Sicherheit in praxisnahen Übungen mithilfe der für die Schulungsteilnehmer bekannten OT-Komponenten und –Prozesse hautnah erlebt werden können.

Wo siehst Du die größten Herausforderungen für die Energie- und Wasserversorger im Kontext der Cybersicherheit in der heutigen Zeit?

Eine der größten Herausforderungen ist meines Erachtens die Integration neuer Sicherheitslösungsansätze in die fest gewachsenen, teilweise unflexiblen und manchmal veralteten OT-Infrastrukturen. Als Beispiel möchte ich die Implementierung von Intrusion Detection Systemen (IDS) nennen, die nach dem IT-Sicherheitsgesetz 2.0 für Betreiber kritischer Infrastrukturen verpflichtend ist. Diese an sich sehr positive Anforderung erfordert viel Fachwissen und entsprechendes Personal für die Planung und den Betrieb solcher Systeme. Beide Faktoren sind oft in der KRITIS-Organisation nicht grundsätzlich vorhanden.

Du bist bereits seit den Anfängen im Team des Lernlabors Cybersicherheit. Wie konntest Du Dich weiterentwickeln und welche persönlichen Stärken bringst du mit in das Lernlabor ein?

Die Arbeit im Lernlabor hat es mir ermöglicht, meinen Blickwinkel von der IT- auf die OT-Welt zu verlagern und die dortigen spezifischen Herausforderungen im Hinblick auf die Cybersicherheitbesser zu verstehen. Durch die Zusammenarbeit mit den Kollegen aus Ilmenau konnte ich fachliche Einblicke in energetische Prozesse gewinnen und die in dem Bereich eingesetzte Technik kennenlernen. Darauf aufbauend konnte ich meine Expertise in der Konzeption und Durchführung von Security Assessments und Penetrationstests weiter ausbauen und auf den Kontext der Energie-und Wasserversorgung übertragen. Grundsätzlich haben sich meine sehr strukturierte und detailgenaue Arbeitsweise dabei von Vorteil erwiesen. Ebenso denke ich, dass ich sehr gut in der Lage bin, schwierigen bzw. sich ändernden Rahmenbedingungen mit der notwendigen Ausdauer, Flexibilität und konzentriertem Fokus zu begegnen.

Beschreibe das LLCS für die Energie- und Wasserversorgung am Fraunhofer IOSB-AST mit drei Worten.

Innovativ, flexibel, praxisorientiert.