Klaus Mochalski, CEO bei Rhebo, im Interview „Manipulatoren haben bereits Backdoors installiert“

Klaus Mochalski, CEO bei Rhebo, erklärt im Interview, wie Künstliche Intelligenz bei Cybersecurity unterstützt.

Bild: Rhebo christophbusse.de
16.03.2022

Daten sind das Gold der Neuzeit – soviel wissen wir. Daten sind anfällig für Hacker – auch das wissen wir. Aber wie gehen Unternehmen damit um? Wie können wir diese schützen und wie hilft die künstliche Intelligenz dabei?

Das Thema Daten wird auch in der Energiewelt immer wichtiger. Was denken Sie, wo ist hier noch verborgenes Potenzial?

Entwicklungen wie Advanced Metering Infrastructure, Digitalisierung, Systemintegration, Sektorkopplung und die Umsetzung des Standards IEC 61850 führen zu einer durchgängigen Vernetzung aller Systeme vom industriellen Prozess über die Betriebsführung und Kundenbetreuung bis zum Endkunden. Dadurch kommt es nicht nur zu einer weitreichenden Integration von IT und OT. Es bedeutet auch, dass jedes (I)IoT-Gerät in der Infrastruktur einen potenziellen Zugriffspunkt auf das Gesamtsystem bildet. Aus diesem Grund muss die Digitalisierung des Energiesektors auf einer ebenso ganzheitlichen Cybersicherheitsarchitektur fußen, die kontinuierlich Daten aus der OT und den (I)IoT-Geräten einbezieht. Im Bereich der OT-Cybersicherheit werden in den meisten Energieversorgungsunternehmen bislang jedoch noch so gut wie gar keine Daten erfasst oder genutzt, um Angriffe auf die industriellen Anlagen abzuwehren. Die wenigsten Unternehmen können grundlegende Fragen zu ihrer OT beantworten: Welche Geräte, Systeme und Software sind in welcher Version verbaut? Besitzen sie Schwachstellen? Wie und was kommunizieren sie miteinander? Gibt es fehlerhafte, unerwünschte oder gar bösartige Vorgänge in der OT? Diese Informationen sind jedoch grundlegend für die Versorgungssicherheit. In Bezug auf die OT-Cybersicherheit und allgemeine Versorgungssicherheit sehen wir das größte Potenzial deshalb in Echtzeitdaten und -informationen aus dem Innenleben der OT-Netzwerke. Sie schaffen die notwendige Transparenz und Sichtbarkeit zu den genannten Fragen der OT-Eigenschaften und der Risikoexposition. Und sie liefern Informationen zu Abweichungen vom zu erwartenden, autorisierten Verhalten innerhalb der OT, die auf gezielte, professionelle Cyberangriffe und Manipulationsversuche hinweisen. Im Bereich der Kritischen Infrastrukturen müssen wir immer davon ausgehen, dass die wirklich gefährlichen Akteure - die meist staatlich gestützten Advanced Persistent Threats - ungesehen Firewalls überwinden. Sei dies durch das Kapern von Zugriffsinformationen über Phishing-Kampagnen oder durch die Ausnutzung von Schwachstellen wie die jüngst bekannt gewordene Log4Shell. Gerade letzte macht es sehr wahrscheinlich, dass Akteure längst im Netzwerk sind und Backdoors installiert haben, die auch nach dem Patching weiter genutzt werden können. Solche Aktivitäten können nur erkannt werden, wenn der Istzustand und die Kommunikation der gesamten OT kontinuierlich überwacht sowie Daten zu Abweichungen erfasst und ausgewertet werden.

Welche Daten werden denn bereits genutzt?

Grundsätzlich werden natürlich schon Daten zu Anlagenzuständen genutzt. Dies ist insbesondere zur Fernsteuerung verteilter Anlagen wie Umspannwerke, Erneuerbare Energieanlagen und anderer Schaltanlagen notwendig. Auch Marktdaten, also Preise der Energiebörsen und Verfügbarkeiten, werden herangezogen, um möglichst kostenoptimiert und profitabel Energie zu erzeugen und am Markt anzubieten. Zunehmend wird in Deutschland die Advanced Metering Infrastructure aufgebaut, so dass sehr detailliert lokale Verbrauchsdaten für die Betriebsplanung und Abrechnung herangezogen werden können. Bezüglich OT-Cybersicherheit nutzen unsere Kunden die Informationen aus unserem OT-Sicherheitsmonitoring mit integrierter Threat- und Intrusion Detection, um für ihre Netzleit- und Fernwirktechnik die Risikoexposition und den Sicherheitslevel zu evaluieren. Außerdem erhalten sie im kontinuierlichen Betrieb in Echtzeit Informationen und forensische Daten zu anomalen Vorgängen in der OT, die auf Cyberangriffe, Manipulation, auch durch Innentäter oder über autorisierte Kanäle, oder technische Fehlerzustände hinweisen.

Wie wichtig ist künstliche Intelligenz in diesem Zusammenhang?

Das Potenzial für künstliche Intelligenz sehe ich vor allem in zwei Anwendungsbereichen: zum einen bei betriebswirtschaftlich geprägten Prozessen wie der Versorgungsoptimierung, den Energieeinkauf an den Energiebörsen und dem Kundenservice. Zum anderen in der automatisierten Netzsteuerung von immer komplexeren Netzen. In beiden Bereichen liefern insbesondere Advanced Metering Infrastructures eine Vielzahl an Datenpunkten und -kategorien, die per KI ausgewertet und zur automatisierten Entscheidungsfindung herangezogen werden können. In der OT-Cybersicherheit hat sich KI bisher noch nicht bewährt. Zum einen sind Vorgänge in der Netzleit- und Fernwirktechnik äußerst deterministisch, planbar und sich wiederholend. KI findet ihren Mehrwert vielmehr in chaotischen Systemen mit hohen Unsicherheitsgraden und einer Vielzahl sich dynamisch ändernden Datenpunkten. Eine KI entspricht im OT-Umfeld gewissermaßen, mit Kanonen auf Spatzen zu schießen. Zum anderen benötigen KI eine große Menge an Trainingsdaten und aktuellen Daten, um den Algorithmus korrekt und effizient zu entwickeln. Das Datenvolumen ist in der OT jedoch verhältnismäßig gering, so dass sich die Entwicklung einer 100 Prozent korrekt entscheidenden KI in diesem Bereich als schwierig gestaltet. Beide Aspekte wurden bereits in Forschungsprojekten, an denen Rhebo in Zusammenarbeit mit unter anderem dem Fraunhofer Institut mitgewirkt hat, untersucht und bestätigt. Die Forschung geht allerdings weiter und verspricht durchaus sinnvolle Anwendungen in der Zukunft.

Cybersecurity wird durch die Flut an Daten hier natürlich auch ein brisantes Thema. Was können KRITIS tun, um sich zu schützen?

Grundsätzlich sollten die organisatorischen und technischen Sicherheitsmaßnahmen Beachtung finden, wie sie in Leitlinien und Standards wie ISO 27000, NIST, dem BDEW-Whitepaper oder dem B3S Wasser / Abwasser umfassend beschrieben sind. Darüber hinaus sollten KRITIS-Unternehmen jedoch ein klares Leitbild etablieren und verfolgen: Defense-in-Depth. Wie bereits erläutert, ist gerade in KRITIS-Unternehmen das Risiko groß, dass Angreifende unbekannte beziehungsweise neuartige Angriffstechniken wählen - und sich vor allem Zeit lassen, bis die eigentliche Störung hervorgerufen wird. Das bedeutet, dass die Sicherung der Netzwerkgrenzen nicht ausreicht. Es gibt keine 100-prozentige Sicherheit, sondern vielmehr eine sehr hohe Wahrscheinlichkeit, dass die Angreifenden eher früher als später Zugang zur OT erlangen. Und sind sie einmal im System, kann sie keine Firewall mehr aufhalten. Defense-in-Depth ist darauf ausgelegt, auch reaktionsfähig zu sein, wenn die Grenzsicherung durchbrochen wurde. Hier kommt das OT-Monitoring mit Threat und Intrusion Detection ins Spiel, das eine Echtzeitüberwachung innerhalb der Netzwerkgrenzen ermöglicht.

Wie können Sie durch Anomalie-Erkennung unterstützen?

Um das Bild einer Festung zu nutzen: Firewalls, Authentifizierungsmaßnahmen, Sicherheitsrichtlinien und Datendioden bilden die Stadtmauer und das Wachpersonal am Tor. Sie verhindern das Eindringen offensichtlicher, gut zu identifizierender Feinde. In jeder Festung sind jedoch Durchbrüche möglich, sei es durch geschickte Verschleierung, wie Identitätsfälschung über Phishing-Kampagnen, gewaltsames Überwinden, Bestechung durch Innentäter oder Geheimgänge, also Backdoors und Software-Schwachstellen. Ein OT-Monitoring mit Threat und Intrusion Detection bildet die Innere Sicherheit. Es behält den Innenbereich der Festung im Blick und untersucht das Verhalten der Akteure innerhalb der Festungsmauern kontinuierlich auf unregelmäßiges beziehungsweise verdächtiges Verhalten. Es erkennt also Anomalien innerhalb der OT, dokumentiert diese im Detail und meldet sie in Echtzeit der Exekutive. Dabei spielt es keine Rolle, ob dieses anomale Verhalten von einem “Fremden”, sprich neuem Netzwerkteilnehmer, ausgeht oder von einem Würdenträger der Festung, sprich Administrator. Versteckte Angriffe, neue Angriffstechniken und die komplexen Winkelzüge, die bei professionellen Angriffen zum Einsatz kommen, werden somit frühzeitig erkannt und können umgehend lokalisiert und abgewehrt werden.

Wohin geht die Reise mit Big Data, künstlicher Intelligenz und Co. in der Energiewelt?

Insbesondere die Advanced Metering Infrastructure (AMI) wird eine massive Optimierung der ureigenen industriellen Prozesse, der Bepreisung, des Geschäftserfolgs und des Kundenservices ermöglichen. Das US Energy Department ist bereits 2016 zu dem Ergebnis gekommen, dass Energieunternehmen durch AMI unter anderem die Korrektheit der Abrechnungen erhöhen konnten, so dass es zu weniger Reklamationen kam und weniger Vorort-Ablesungen notwendig waren. Aber auch die Versorgungssicherheit konnte erhöht werden, da Versorgungsstörungen schneller erkannt, lokalisiert und deren Ursachen besser identifiziert werden konnten. Vorteile zeigten sich auch in Bezug auf die Instandhaltungsplanung und das Peak-Demand-Management.

Firmen zu diesem Artikel
Verwandte Artikel