Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

KI-Security für ICS & Co. : Wie künstliche Intelligenz für mehr Sicherheit in der Operational Technology sorgen kann

Aktuelle Bedrohungen der Cybersecurity sowie der Mangel an geeigneten Fachkräften trifft nicht zuletzt Systeme zur Steuerung industrieller Anlagen (ICS) und anderer physischer Geräte. Auf künstlicher Intelligenz (KI) basierende Sicherheitstechnologie verspricht auch an dieser Stelle, ein einfach zu nutzendes Hilfsmittel zu werden: Spezielle lokal lernende und agierende KI-Lösungen können als Bindeglied zwischen Systemen und Teams fungieren, proaktiv Schwachstellen erkennen, die IT-Abteilung entlasten und diese sensiblen Umgebungen besser schützen, erläutert unser Autor.

Von Max Heinemeyer, Amsterdam (NL)

Es ist ein scheinbar unauflösbares Dilemma: Auf der einen Seite herrscht ein massiver Mangel an IT-Security- Experten – auf der anderen Seite gibt es immer häufiger Cyberattacken, die zudem ausgeklügelter werden und enorme Auswirkungen zeigen. Im Bereich der Operational Technology (OT) wird die ohnehin prekäre IT-Sicherheitslage verschärft durch das spezielle Gefüge in der Betriebstechnologie – klassischerweise industrielle Anlagen, aber auch Infrastruktur-Segmente wie Energieversorgung oder Verkehrssteuerung und Logistik: Meist handelt es sich um ursprünglich isolierte Systeme, die nicht mit der zentralen IT verbunden waren – und auf organisatorischer Ebene fehlt häufig immer noch der Austausch zwischen den IT- und OT-Teams. Dass Unternehmen, vor allem kleine und mittlere (KMU), bei der heutigen Vernetzung von IT und OT sowie der entsprechenden Absicherung an ihre Grenzen geraten, ist in diesem Umfeld wenig verwunderlich.

Spezifische Bedrohungslage

Da OT schon länger zunehmend mit IT-Systemen verschmilzt, ist sie von außen viel leichter angreifbar als früher. Angesichts der wachsenden Zahl und zunehmenden Automatisierung von Attacken ist es unerlässlich, sowohl die Reaktionszeit zu beschleunigen als auch den Umfang der Verteidigungsmaßnahmen zu erhöhen. Cyberangriffe erfolgen heute in der Regel gezielt: Angreifer setzen etwa Phishing-E‑Mails ein, um Zugangsdaten für OT-Systeme zu entwenden. Entsprechend sind diese anfällig für Ransomware-Taktiken, Techniken und -Verfahren (TTPs). Trifft Ransomware auf OT-Systeme, kann es zum kompletten Systemausfall kommen.

OT-Systeme als Ziel verschiedener Angriffsarten

Im Mai 2021 etwa attackierten Cyberkriminelle den Betreiber der größten US-Benzin-Pipeline Colonial Pipeline mit Erpressungssoftware: Das ganze Rohrleitungsnetz war vorübergehend nicht funktionstüchtig – dies führte zu Engpässen bei der Treibstoffversorgung in den gesamten USA. Die Erpresser erbeuteten mehr als 4 Mio. US-$.

Hinzu kommen neue Angriffsformen: Künstliche Intelligenz, allem voran auf der Basis großer Sprachmodelle (Large Language-Models, LLMs), vereinfacht die Durchführung komplexer Cyberangriffe und steigert gleichzeitig Reichweite, Skalierung und Geschwindigkeit schädlicher Aktivitäten. Bereits heute gibt es von KI generierte Schadsoftware (vgl. etwa [1]), Voice- und Video-Deepfakes sowie andere hoch entwickelte KI-gestützte Cyberwaffen, die in der Lage sind, erheblichen Schaden anzurichten.

Herrschaftswissen und isolierte Teams

Durch diese neuen Entwicklungen beziehen sich die Risiken in der OT auf weit mehr als die klassischen Schutzziele der IT-Security Vertraulichkeit, Integrität und Verfügbarkeit. Bei OT-Umgebungen in Bereichen wie Militär, Sicherheit oder Energie stehen, wenn diese empfindlich getroffen werden, im Zweifel auch die Daseinsvorsorge oder Menschenleben auf dem Spiel.

IT-Security im Umfeld der OT bringt eine weitere Besonderheit mit sich: Hier treffen zwei Fachbereiche zusammen, die in der Realität meist in isolierten Strukturen arbeiten. Es findet kaum Austausch von Wissen statt: OTTeams verfügen über tiefgreifende Kenntnisse zur spezifischen Umgebung und den zugrunde liegenden Systemen, die IT-Teams über Expertise in Cybersecurity. Fachleute, die in beiden Bereichen tiefgehendes Know-how besitzen, sind jedoch äußerst selten.

Hinzu kommt: Die internen Abläufe in einer OT-Umgebung beruhen oft auf dem Fachwissen erfahrener OT-Ingenieure, die lange im Unternehmen tätig sind. Verlassen diese Mitarbeiter eine Organisation, geht wertvolles institutionelles Wissen verloren, das sich nur schwer ersetzen lässt.

Technische Herausforderungen

Ein weiteres Problem sind veraltete OT-Systeme, die aufgrund ihrer Komplexität oder mangelnden Transparenz schwer zu handhaben sind. Zusätzlich nutzen sie häufig unzeitgemäße Protokolle und besitzen nur wenig Speicherkapazität – das schränkt die Einsatzmöglichkeiten von Sicherheitstools für Endpunkte (EDR) erheblich ein. Nicht zuletzt erschweren begrenzte Wartungsfenster das Patch-Management für IT- und OT-Teams. Außerdem wird eine durchgehende Verfügbarkeit häufig als wichtiger erachtet als die Sicherheit – so bleiben manche Schwachstellen über Jahre hinweg offen.

Historisch betrachtet wurden IT- und OT-Netzwerke separat betrieben – OT-Systeme liefen isoliert ohne Verbindung zu anderen Netzwerken. Diese Air-Gap-Strategie ist heute jedoch oft nicht mehr umsetzbar, da IT- und OT-Systeme zunehmend integriert zusammenarbeiten. Mitunter existieren auch unbekannte IT-/OT-Konvergenzen. Aber selbst vollständig isolierte Systeme bleiben nicht vor Kompromittierungen durch menschliche Fehler geschützt (Stichwort: Social-Engineering).

Je mehr IT und OT zusammenwachsen, desto wichtiger sind gemeinsame Anstrengungen, mit denen sich Cybersecurity robust gewährleisten lässt. Der Schlüssel liegt darin, Umgebungen transparenter zu gestalten und Konvergenzpunkte zu identifizieren. Erst dann können IT-Teams zuverlässig einordnen, was in OT-Umgebungen geschieht.

KI-Potenzial für die OT-Sicherheit

Künstliche Intelligenz kann hier eine entscheidende Rolle einnehmen: KI-gestützte Lösungen erlernen für die OT-Sicherheit relevante Muster, erkennen und kennzeichnen Anomalien automatisch und in Echtzeit – OT-Abteilung erhalten damit bei ungewöhnlichen Aktivitäten schnell Warnungen, die als Schnittstelle zwischen IT und OT dienen.

Entscheidend ist jedoch, dass beide Teams durch größere Transparenz und das frühzeitige Erkennen von Anomalien durch KI ein klareres Verständnis für aktuelle Angriffe entwickeln. So können sie auch fundiertere Entscheidungen treffen – sei es bei der Reaktion auf Vorfälle oder bei der Implementierung von Sicherheitsrichtlinien und -verfahren.

Drei Kategorien von KI für die IT-Security

Insgesamt gibt es drei übergeordnete Kategorien, wie KI für die Security zum Einsatz kommen kann: Die erste Form ist ein überwachtes maschinelles Lernen, wobei KI mit Daten zu historischen Attacken trainiert wird. Diese Methode kommt aktuell bei der überwiegenden Mehrheit aller KI-basierten Sicherheitslösungen zum Einsatz und bietet höhere Zuverlässigkeit bei der Erkennung und Abwehr als klassische Schutzmechanismen.

Da diese KI-Funktionsweise aber auf historischen Daten basiert, beschränkt sie den Blick auf bereits erfolgte Angriffe und bezieht keine individuellen Aspekte der jeweiligen Umgebung mit ein. Zusätzlich können solche Lösungen neuartige Angriffe nur schwer erkennen. Die zweite große Kategorie umfasst KI-Chatbots, die für die nachträgliche Analyse und Forensik zusammenfassen, was eigentlich passiert oder wie der aktuelle Stand ist – gerade OT-Teams können hierbei von der Ausgabe in natürlicher Sprache profitieren.

Die dritte Kategorie hingegen, das unüberwachte maschinelle Lernen, verspricht entscheidende Vorteile: Da derartige KI nicht mit historischen Daten oder menschlicher Sprache trainiert wird, sondern auf den Betriebsund OT- Daten eines konkreten Unternehmens basiert, reagiert die Lösung individuell entsprechend den Spezifika der jeweiligen Systeme.

Eine solche selbstlernende Lösung wirkt dabei als Spiegel des tatsächlichen Zustands der OT: Sie analysiert nicht nur die vorhandenen Assets, sondern auch das sie umgebende Verhalten. Dazu gehört etwa, wie Systeme miteinander kommunizieren, welche Konten verwendet werden, wann es Wartungsfenster gibt und was in den Purdue-Segmenten geschieht (gem. Purdue Enterprise-Reference Architecture, PERA, vgl. [2,3,4]). Sicherheitsrelevantes Wissen wird damit einfacher und unabhängig von spezifischen Personen zugänglich. So können KI-gestützte Lösungen die individuellen Muster eines Systems erlernen und Anomalien leicht identifizieren und kennzeichnen.

Sicherheitsrelevantes OT-Wissen sichtbar machen

Insgesamt gilt es für die Sicherung der OT, drei große Bereiche technisch abzudecken: Asset- und Inventory-Management, Schwachstellen- und Konfigurationsmanagement sowie Erkennung und Reaktion auf Angriffe. Eine selbstlernende KI-Lösung macht sicherheitsrelevantes Wissen transparent, das für alle drei Bereiche nutzbar ist, und vereinfacht dadurch auch den Informationsaustausch zwischen den IT- und OT-Teams. Im Idealfall erfordert eine solche Lösung nur wenig Deployment- und Wartungsaufwand, um die Hürden für alle Beteiligten möglichst gering zu halten.

OT-Umgebungen arbeiten oft mit Legacy-Systemen, für die keine Wartungsverträge mehr existieren und die sogar unbekannte Systeme enthalten können. Daher sollte eine KI-Lösung hierfür eine Bestandsaufnahme selbstständig und unabhängig von Schnittstellen und Protokollen erstellen können. Dies leisten bereits einige aktuelle Lösungen, die man einfach nur an einer geeigneten Stelle mit dem OT-Netz verbindet: Dafür bieten sich Netzwerküberwachungssysteme an, die an den für den Traffic neuralgischen Punkten wie Core-Switches, der Werksebene oder an Firewalls passiv andocken. Auf diese Weise lassen sich mit nur wenigen Deployments gemanagte, aber auch nicht-gemanagte Systeme überwachen. So entsteht schnell und unkompliziert Sichtbarkeit – das KI-System findet Anomalien und gibt eine Warnung an das IT-Team aus.

Basierend auf diesen Informationen kann das IT-Team auf übergeordneter Ebene einen Sicherheitsvorfall erkennen, ohne über tiefgehende OT-Kenntnisse zu verfügen. Im nächsten Schritt kann das OT-Team mit seiner Expertise dabei unterstützen, den Vorfall zu lösen. Idealerweise sollte eine hierbei eingesetzte KI sehr schnell Lösungen liefern – möglichst bereits nach wenigen Tagen, was mit selbstlernenden Systemen am besten funktioniert.

Trainingsdaten im Blick behalten

Wenn es um die Wahl der KI-Lösung geht, sollte das Ziel immer sein, die Anforderungsschwelle zu minimieren und das menschliche Team bei der Erkennung und Abwehr von Angriffen zu unterstützen. Im Vorfeld von Entscheidungen müssen Unternehmen jedoch den großen Themenbereich „Trainingsdaten“ prüfen: Dazu zählt, welche Daten das System erhebt, ob die gewählte Lösung passiv oder aktiv agiert, ob Daten mit Informationen anderer Kunden „cross-trainiert“ werden und wo das Training der KI stattfindet.

Bei selbstlernender, unüberwachter KI ergibt sich an dieser Stelle der Vorteil, dass die KI vor Ort lernen kann und keine Daten in die Cloud wandern, diese nicht mit anderen Kundendaten vermengt werden und es keine Verzögerungen gibt. Das funktioniert in allen Umgebungen: vom Energiebereich über die Industrie bis hin zu Kreuzfahrtschiffen – sogar ganz ohne Internetanbindung. Tatsächlich bieten jedoch 95 % der Hersteller am Markt nur überwachte Lösungen an, die eine Übertragung der Trainingsdaten in die Cloud erfordern.

Auch der Bereich Schwachstellen-Management lässt sich durch ein selbstlernendes System stark verbessern: Statt ausschließlich klassische Metriken und Angriffspfade über bekannte Schwachstellen (wie Common Vulnerabilities and Exposures, CVE) in den Blick zu nehmen, kann der Fokus hier – dank der Anomalie-Erkennung – zusätzlich auf den Spezifika der lokalen Umgebung liegen. Eine solche Lösung kann auch individuelle Schwachstellen identifizieren, über die sich beispielsweise ein betriebskritischer Prozess böswillig beeinträchtigen ließe. Bei einer anderen Schwachstelle könnte das System hingegen erkennen, dass diese zwar an sich technisch kritisch ist, aber keinerlei Auswirkungen auf die Betriebsprozesse existieren. Diese Form der Angriffspfad-Modellierung kann im Schwachstellen-Management sehr hilfreich sein.

Implementierung einer KI-basierten Lösung für OT-Security

Bevor Unternehmen sich für eine spezifische KI-Lösung entscheiden, sollten sie diese bei sich vor Ort zur Probe laufen lassen. Demos oder Broschüren geben zwar theoretische Einblicke, aber wirklichen Aufschluss zur Wirksamkeit liefern nur Tests in realen Umgebungen! Zum Start sollte man dazu immer die Punkte definieren, bei denen sich mit möglichst wenig Aufwand eine möglichst große Abdeckung erzielen lässt. Pro Werk bedeutet das einige wenige Deployments an Stellen mit virtuellen oder physischen Konzentrationspunkten von Daten. Ein gangbarer Weg für die Implementierung läuft über das Netzwerk – etwa via Port-Mirroring oder SPAN-Ports, um den Datenverkehr abzugreifen.

Der Aufwand für eine Lösung, die lokal lernt und passiv im Netzwerk agiert, könnte in etwa dem einer Teststellung entsprechen. Die Preise skalieren mit der abgedeckten Landschaft, während sich der lokale Aufwand idealerweise darauf beschränken sollte, die KI-Lösung an einem Netzwerkpunkt anzuschließen und sie in Betrieb zu nehmen. Die meisten Unternehmen verfügen in ihren Netzwerkumgebungen ohnehin über solche Punkte – das kann aber je nach Organisation sehr unterschiedlich aussehen.

In den meisten Fällen dürfte eine KI-Lösung in Form einer physischen Appliance eingesetzt werden: Der Installationsprozess ist dann unkompliziert und kann je nach Umgebung zwischen fünf Minuten und einer Stunde dauern – eine spezifische Schnittstelle ist dafür nicht nötig. Nachdem diese Appliance mit dem Lernen beginnt, entsteht kein weiterer Aufwand für die Einrichtung und den initialen Betrieb, da das System eigenständig arbeitet. Erste Ergebnisse liegen üblicherweise nach fünf bis zehn Werktagen vor. Für eine umfassende Evaluation empfiehlt es sich, über einen Zeitraum von drei Wochen etwa anderthalb Stunden mit den relevanten Stakeholdern zu investieren.

Um eine solche Lösung nutzen zu können, genügen in der Regel generisches IT-Wissen sowie grundlegende Kenntnisse in IT-Sicherheit oder OT. Hinsichtlich der technischen Anforderungen müssen Unternehmen meist weder in eigene Server noch in Storage- oder Cloud-Computing-Einheiten investieren. Zumeist wird das gesamte Lösungspaket als vorgefertigte Appliance bereitgestellt, um das Deployment so einfach wie möglich zu gestalten.

Fazit

Eine selbstlernende KI-Lösung kann das Verhalten innerhalb von OT-Infrastrukturen analysieren, Anomalien automatisch erkennen und Sicherheitsteams aktiv alarmieren. Das bedeutet: Ein KI-gestützter Plattformansatz hilft Unternehmen dabei, ihre Sicherheitsprozesse von der reaktiven Bedrohungserkennung auf eine proaktive Cyber-Resilienz umzustellen, um auch Angriffen auf die OT-Infrastruktur vorzubeugen.

Eine solche im Unternehmen installierte KI-Plattform vereint Funktionen zur Erkennung von Attacken sowie zur autonomen Reaktion auf Angriffe, Prävention von Sicherheitsverletzungen, Angriffssimulation und zur Wiederherstellung in einer ganzheitlichen Lösung.

Auf diese Weise lassen sich bekannte und neuartige Bedrohungen abwehren, ohne den Betrieb zu unterbrechen – Sicherheitsexperten können Ereignisse in OT-Umgebungen visualisieren und korrelieren. So können Unternehmen mit selbstlernenden KI-Lösungen zur Cybersicherheit ihre Abwehr stärken, ohne erheblich in personelle Ressourcen investieren zu müssen.

Max Heinemeyer ist Chief Product Officer von Darktrace, wo er zudem für strategische Kunden aktuelle Bedrohungen analysiert und Abwehrreaktionen definiert.

Literatur

[1] Olaf Pursche, Maik Morgenstern, Super-Malware oder überschätztes Risiko?, Schadprogramme aus der Feder „künstlicher Intelligenz“, <kes> 2023#3, S. 63

[2] Stephen Mathezer, The Purdue Model and Best Practices for Secure ICS Architectures, in: Introduction to ICS Security Part 2, SANS Blog, Juli 2021, www.sans.org/blog/introduction-to-ics-security-part-2/

[3] US Cybersecurity & Infrastructure Security Agency (CISA), Layering Network Security Through Segmentation, Infografik, Januar 2022, www.cisa.gov/sites/default/files/publications/layering-network-security-segmentation_infographic_508_0.pdf

[4] Greg Murphy, A Reimagined Purdue Model For Industrial Security Is Possible, Forbes Technology Council Post, Januar 2022, www.forbes.com/councils/forbestechcouncil/2022/01/18/a-reimagined-purdue-model-for-industrial-security-is-possible/

[5] Bettina Weßelmann, Johannes Wiele, KI braucht Zuwendung, Über die Arbeit mit regelbasierter und anomaliegestützter Bedrohungserkennung, <kes>2019#3, S. 70, www.kes-informationssicherheit.de/print/titelthema-malware-trends-und-abwehr-2019/ki-braucht-zuwendung/ (<kes>+)

[6] Bettina Weßelmann, Johannes Wiele, Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT – Teil 1: Die Problem-Landkarte, <kes> 2021#2, S. 46, www.kes-informationssicherheit.de/print/titelthema-iot-co/management-komplexer-cyber-sicherheit-in-it-ot-i-iot/ (<kes>+)

[7] Bettina Weßelmann, Johannes Wiele, Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT – Teil 2: Lösungsansätze, <kes> 2021#3, S. 14, www.kes-informationssicherheit.de/print/titelthema-aus-weiterbildung-fuer-die-cyber-security/management-komplexer-cybersicherheit-in-it-ot-iiot/ (<kes>+)

[8] Bettina Weßelmann, Johannes Wiele, Management komplexer Cyber-Sicherheit in IT, OT, (I)IoT – Teil 3: Interviews zur Praxis und zum wissenschaftlichen Hintergrund, <kes> 2021#4, S. 12, www.kes-informationssicherheit.de/print/titelthema-werwie-was-identity-und-access-management/management-komplexer-cybersicherheit-in-it-ot-iiot/ (<kes>+)

[9] Mirko Ross, Bessere Cybersicherheit für KI, <kes> 2022#3, S. 12, www.kes-informationssicherheit.de/print/titelthema-sicherheits-bewusstsein-und-kultur/bessere-cybersicherheit-fuer-ki/ (<kes>+)

Diesen Beitrag teilen: