IDAACS Wireless als virtuelle Konferenz in Dortmund - GLACIER-Projekt vorgestellt

Die IDAACS Wireless fand bereits 2012, 2014, 2016 in Offenburg (Deutschland) und 2018 in Lviv (Ukraine) statt. Die besten Beiträge wurden dabei in IEEE Xplore, Web of Science - Conference Proceedings Citation Index- Science (CPCI-S) und Scopus veröffentlicht. Der neue Veranstaltungsort Dortmund liegt im Ruhrgebiet in Deutschland mit mehreren Forschungs­einrichtungen wie der Technischen Universität Dortmund, der Fachhochschule Dortmund, dem Max-Planck-Institut und dem Fraunhofer-Institut. Im Vorfeld war die DECOIT^® GmbH an den Reviews und am technischen Komitee beteiligt. Das virtuelle Format der Konferenz war ein voller Erfolg: 270 Autoren aus 23 Ländern reichten 90 Beiträge ein, von denen 67 % akzeptiert wurden. An der Konferenz selbst nahmen 76 Teilnehmer aus 17 Ländern teil, auch wenn ein großer Teil aus Deutschland und der Ukraine kam. So konnten 58 Vorträge durch drei verschiedene Präsentationsmöglichkeiten (Live-, Video-, Poster-Session) gehalten werden, die virtuell auch rege besucht wurden. Durch das hervorragende Organisationsteam der FH Dortmund gab es praktisch keine technischen Pannen, so dass die Konferenz pünktlich begann und beendet wurde.

Am ersten Tag stellte Dr. Daniel Mahrenholz von rt-solutions.de GmbH das GLACIER-Projekt in einer Poster-Session vor (siehe Abb. 2). Als Beispiel wurde der Bereich der Industrieautomation verwendet, bei dem momentan ein Paradigmenwechsel von starren Strukturen hin zu dynamisch wachsenden Anlagen vollzogen wird. Traditionell stützt sich die Industrieautomation auf drahtgebundene Kommunikationsverbindungen, die jedoch einen hohen Kostenfaktor darstellen. Hier besteht die Notwendigkeit, eine kostengünstige Kommunikation über drahtlose Verbindungen aufzubauen. Es besteht jedoch ein entscheidender Unterschied zwischen drahtlosen und drahtgebundenen Verbindungen. Drahtlos basierte Kommunikation ist aber als exponierte Schnittstelle nicht nur für autorisierte Kommunikationspartner, sondern auch für böswillige Angreifer verfügbar. Es zeigt sich daher, dass der Sicherheit von Industrieanlagen in den letzten Jahren nicht genügend Beachtung geschenkt wurde. Neuartige Untersuchungen, z.B. durch die Suchmaschine Shodan, verdeutlichen das hohe Risiko, dem Unternehmen ausgesetzt sind, wenn die Sicherheit nicht von Anfang an berücksichtigt wird. Dies zeigt den Bedarf an sicheren Implementierungen drahtloser Kommunikation in industriellen Umgebungen.

Als Beispiel für ein Angriffsszenario auf drahtlose Infrastrukturen in industriellen Umgebungen wurde der Einsatz von Rogue Access Points (AP) angeführt. Hierbei installiert ein Angreifer einen drahtlosen AP, der vorgibt, ein gültiger AP einer bestehenden industriellen Infrastruktur zu sein. Durch das Senden von Deauthentifizierungspaketen kann der Angreifer die drahtlosen Clients der Opfer, wie SPS, HMIs oder SCADA-Systeme, dazu bringen, eine Verbindung zu dem Rogue-AP herzustellen. Die Verwendung eines drahtlosen Angriffsszenarios ermöglicht es dem Angreifer, aus einer viel größeren Entfernung zu operieren, ohne dass er direkt auf die Anlage zugreifen muss. GLACIER will durch sein entwickeltes SIEM-System die Infrastruktur besser absichern, indem durch die implementierten Sensoren solche Rogue-AP herausgefunden werden, bevor sie Schäden anrichten. GLACIER wird daher sowohl für drahtgebundene und drahtlose Netze geeignet sein.

In der zweiten Keynote, mit der Prof. Dr. Kai-Oliver Detken (Geschäftsführer der DECOIT^® GmbH) den zweiten Tag eröffnete, wurde noch einmal das Sicherheitsthema bzw. SIEM und damit GLACIER thematisiert. In den letzten Jahren haben Unternehmen und Organisationen eine Zunahme der IT-Sicherheits­bedrohungen erlebt, die zur Kompromittierung sensibler Informationen, zur Unterbrechung des täglichen Betriebs und letztlich zu finanziellen Schäden geführt haben. Inzwischen sind diese Angriffe vielfältiger und raffinierter geworden, so dass sie immer schwerer zu erkennen sind. Die Eindämmung dieser Bedrohungen erfordert eine Kombination aus hochqualifiziertem Personal und ausgefeilter Intrusion-Detection-Software in Verbindung mit leistungsfähiger Hardware. Beides ist schwer einzusetzen, insbesondere für kleine und mittlere Unternehmen (KMU).

Um diese Probleme zu lösen, wurde das GLACIER-Projekt initiiert. Als Teil des Projekts wurde dabei eine Architektur geschaffen, die als intern betriebenes SIEM-System für KMU realisiert werden kann. Neben SIEM-spezifischen Aufgaben wie der Erfassung, Normalisierung, Anreicherung und Speicherung von Netzwerkdaten besteht der Hauptzweck des Systems in der Bereitstellung von Daten für fortgeschrittene mehrdimensionale Analysealgorithmen. Diese bieten eine neuartige Möglichkeit, sicherheitsrelevante Anomalien zuverlässig zu erkennen. Gefundene Anomalien werden in einer grafischen Benutzeroberfläche (GUI) angezeigt, die es ermöglicht, Feedback zur Abstimmung des Anomalie-Erkennungsalgorithmus zu geben und gleichzeitig Zugang zu den Netzwerkakteuren für schnelle Reaktionen auf das Auftreten von Anomalien zu gewähren. Die Architektur kann unter ausschließlicher Verwendung freier, quelloffener Komponenten (Open Source) implementiert werden und eignet sich sowohl für die Informationstechnologie (IT) als auch für die Betriebstechnik (OT). Dies ist gerade im SIEM-Umfeld bisher einzigartig. Die Ergebnisse von GLACIER sollen zukünftig in verschiedene SIEM-Produkte integriert werden. Der Vortrag wurde positiv aufgenommen und interessante Fragen konnten im Anschluss gestellt und beantwortet werden.

Auch der zweite Tag verlief sehr strukturiert und reibungslos, so dass am Ende, wie gewohnt, die erfolgreichsten Beiträge gekürt werden konnten. Das Online-Format wurde insgesamt sehr gut angenommen. Einziger Kritikpunkt war, dass die Session nicht aufgenommen werden konnten, was aus Datenschutzgründen von der FH Dortmund nicht freigegeben wurde.

Die nächste IDAACS-SWS-Konferenz in zwei Jahren wird wieder in der Ukraine in Lviv stattfinden, wofür eindrucksvoll in einem Vortrag für geworben wurde. Dann können sich hoffentlich alle Teilnehmer auch wieder persönlich begrüßen und direkt austauschen. Es wird aber auch über ein hybrides Format nachgedacht, um weltweite Interessenten, die nicht das notwendige Reise-Budget erübrigen können, mit einzubeziehen. Für die Projektpartner war die Konferenz auf jeden Fall eine gute Gelegenheit, um auf GLACIER aufmerksam zu machen und sich mit anderen Wissenschaftlern auszutauschen – wenn auch nur virtuell.