Dokument wird geladen
-
Impressum/Inhaltsverzeichnis
-
Editorial
-
ISuTest®: Automatisierte Schwachstellensuche gemäß dem Cyber Resilience Act und IEC 62443
Steffen Pfrang -
Assistenzsysteme zur Steigerung der OT-Sicherheit in der Energieversorgung
Dennis Rösch, Nicolai Steffen -
Lernlabor Cybersicherheit: Forschung und Weiterbildung für Cybersicherheit im Kontext von Produktion und kritischen Infrastrukturen
Christian Haas -
»Engineering Security for Production Systems« – das Industrial Cybersecurity Lab innerhalb der KASTEL Security Research Labs
Pascal Birnstill -
Überwachung der Cyber-Resilienz in industriellen Automatisierungs- und Steuerungssystemen
Christian Haas -
Klassifikation von Cyberangriffen auf industrielle Steuerungssysteme in verschlüsseltem Netzwerkverkehr
Felix Specht, Jens Otto
visIT Industrial Cybersecurity Technologien für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme www.iosb.fraunhofer.de www.iosb.fraunhofer.de ISSN 1616-8240 ISSN 1616-8240
Themen Editorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Jürgen Beyerer, Christian Haas ISuTest®: Automatisierte Schwachstellensuche gemäß dem Cyber Resilience Act und IEC 62443 . . . . . . . . . . . . . . . . . . . . . . . . 4 Steffen Pfrang Assistenzsysteme zur Steigerung der OT-Sicherheit in der Energieversorgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Dennis Rösch, Nicolai Steffen Lernlabor Cybersicherheit: Forschung und Weiterbildung für Cybersicherheit im Kontext von Produktion und kritischen Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Christian Haas »Engineering Security for Production Systems« – das Industrial Cybersecurity Lab innerhalb der KASTEL Security Research Labs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Pascal Birnstill Überwachung der Cyber-Resilienz in industriellen Automatisierungs- und Steuerungssystemen . . . . . . . . . . . . . . . . . . . 12 Christian Haas Klassifikation von Cyberangriffen auf industrielle Steuerungssysteme in verschlüsseltem Netzwerkverkehr . . . . . . . . . 14 Felix Specht, Jens Otto Impressum Themen visIT erscheint etwa drei Mal pro Jahr und informiert über ausgewählte Forschungsthemen des Fraunhofer IOSB. Für die Bestellung von Einzelheften, ein kostenloses visIT-Abo sowie für Adressänderungen und Abbe- stellungen schicken Sie bitte eine E-Mail an publikationen @iosb.fraunhofer.de Herausgeber Prof. Dr.-Ing. habil. Jürgen Beyerer Redaktion Dipl.-Phys. Ulrich Pontes Lena Kaul, M.A. Layout Anja Wollfarth, M.A. Druck Ganz GmbH Ooser Bahnhofstraße 36 76532 Baden-Baden Anschrift der Redaktion Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB Fraunhoferstr. 1, 76131 Karlsruhe Telefon +49 721 6091-300 Fax +49 721 6091-413 presse@iosb.fraunhofer.de © Fraunhofer IOSB Karlsruhe 2025 Ein Institut der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e. V. München 26. Jahrgang ISSN 1616-8240 Bildquellen Titelbild: indigo, stock.adobe / Icons-Studio S.6: stock.adobe / Andrii Alle anderen Abbildungen © Fraunhofer IOSB, Ausnahmen sind gekennzeichnet. 2
Editorial Liebe Freunde des Fraunhofer IOSB, Industrielle Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems, IACS) sind entscheidend für das reibungslose Funktionieren verschiedener Branchen wie Energie, Transport, Gesundheitswesen und Produktion. IACS bestehen aus komplexen Netzwerken von Maschinen, Geräten und Softwareanwendungen, die kritische Abläufe steuern, überwachen und automatisieren. Störungen oder Kompromittierungen dieser Systeme können erhebliche wirtschaftliche Verluste, Risiken für die öffentliche Sicherheit und potenzielle Bedrohungen der nationalen Sicherheit zur Folge haben. Der Schutz kritischer Infrastrukturen, Fertigungsprozesse und sensibler Daten hat für Unternehmen daher weltweit höchste Priorität. Industrielle Cyber- sicherheit ist somit ein Forschungsthema, das umfassende Aufmerksamkeit erfordert. Die Cybersicherheit für industrielle Automatisierungs- und Steuerungssysteme muss branchenspe- zifische Anforderungen wie Echtzeitkommunikation, Systemlanglebigkeit und funktionale Sicher- heit berücksichtigen. In diesen Punkten unterscheidet sie sich deutlich von der Cybersicherheit in Büroumgebungen oder beim Betrieb von Internetservern in Rechenzentren. Im industriellen Kon- text können klassische Cybersicherheitsmaßnahmen wie Software-Updates, Antivirenprogramme oder Firewalls daher nicht uneingeschränkt eingesetzt werden. Aus diesem Grund müssen neue Strategien und Methoden entwickelt werden, um industrielle Automatisierungs- und Steuerungs- systeme zu schützen. Das Fraunhofer IOSB nimmt eine führende Rolle in der Forschung zu IACS ein. Zu unseren zentra- len Projekten gehört das Lernlabor Cybersicherheit mit den Konsortien »industrielle Produktion« und »Sicherheit für die Energie- und Wasserwirtschaft«. Hier werden praxisnahe Szenarien und Labore geschaffen, um innovative Ansätze zu testen und praxisnahe Schulungen anzubieten. Im Rahmen des Kompetenzzentrums für angewandte Sicherheitstechnologie (KASTEL) konzentriert sich das Fraunhofer IOSB in Kooperation mit dem Karlsruher Institut für Technologie auf die Forschung an und Entwicklung von Sicherheitslösungen für industrielle Systeme, mit dem Ziel, die Sicherheit und Resilienz von IACS gegen Cyber-Bedrohungen zu stärken. Darüber hinaus fokussiert das eigenfinanzierte Projekt CyReM-ICS (Cyber-Resilienzmonitor für industrielle Steu- erungssysteme) auf die Entwicklung von Methoden und Werkzeugen zur Darstellung und Ver- besserung der Cyberresilienz in industriellen Steuerungssystemen. Hierbei wird ein ganz- heitlicher Ansatz verfolgt, der präventive sowie reaktive Maßnahmen umfasst. Durch diese Initiativen trägt das Fraunhofer IOSB entscheidend zur Weiterentwicklung von Sicherheitsstandards und innovativen Lösungen in der Industrie und der Forschung bei. Fraunhofer IOSB, im März 2025 Prof. Dr.-Ing. habil. Jürgen Beyerer Dr. Ing. Christian Haas Editorial Prof. Dr.-Ing. habil. Jürgen Beyerer Dr.-Ing. Christian Haas 3
visIT ISuTest® Automatisierte Schwachstellensuche gemäß dem Cyber Resilience Act und IEC 62443 Industrielle Komponenten sind häufig im Ver- borgenen im Einsatz: Moderne Ampelsteuer- ungen an Kreuzungen, Züge, Kraftwerke und Krankenhäuser funktionieren nicht ohne sie. Daneben steuern und kontrollieren sie ganze Fabrikhallen, lesen Sensordaten aus und ver- arbeiten sie teils mit Echtzeit-Anforderungen. Doch was haben alle industriellen Komponen- ten gemein? Einen Netzwerkanschluss, also ein »digitales Element«, wie es im Cyber Resilience Act (CRA) der Europäischen Union (EU) heißt. Über diesen Anschluss sind sie per Netz erreich- bar – und damit auch prinzipiell angreifbar. Was passiert im Fall eines Angriffs? Mal fallen Anzeigetafeln der Bahn aus, mal stellen Kran- kenhäuser den Betrieb ein oder ein Werkstück in der Fertigung erhält nicht die geforderte Qualität. Vor diesem Hintergrund hat die EU den CRA erlassen. Die Verordnung verpflichtet Hersteller von Komponenten mit digitalen Elementen, diese sicher zu entwickeln und zu testen. An- dernfalls dürfen sie ab Dezember 2027 nicht mehr innerhalb der EU auf den Markt gebracht werden. Der IEC-Standard 62443 zum Schutz industrieller Kommunikationsnetze beschreibt solch einen sicheren Entwicklungslebenszyklus für Hersteller industrieller Komponenten. Die automatisierte Schwachstellensuche über die Netzwerkschnittstelle ist dabei ein wesentlicher Bestandteil. Das heißt, alle Protokolle, die die Robustheit der Komponenten beeinträchtigen können, müssen ausführlich auf Schwachstellen getestet werden. Testen wie ein Angreifer Das Industrial Security Testing Framework ISu- Test® ist ein Werkzeug, um Schwachstellen in den Implementierungen der Automatisierungs- komponenten zu finden. Es wird seit 2016 am Dipl.-Inform. Steffen Pfrang Informationsmanagement und Leittechnik (ILT) Tel. +49 721 6091 357 steffen.pfrang @iosb.fraunhofer.de 4 Abb. 1: Die flexible, verteilte Architektur von ISuTest®.
Industrial Cybersecurity Abb. 2: Testaufbau von ISuTest® im Fraunhofer-IOSB-Labor in Karlsruhe. Fraunhofer IOSB in Karlsruhe in der Gruppe Industrielle Cybersi- cherheit entwickelt. ISuTest® ist als offenes, erweiterbares Frame- work entworfen. Es unterstützt seine Nutzer von der Einrichtung eines Tests über die Durchführung bis hin zur Isolation von Schwachstellen zum Nachstellen des Fehlers beim Entwickler. Ein beispielhafter Testaufbau von ISuTest®, wie er im Fraunhofer- IOSB-Labor zum Einsatz kommt, ist in Abbildung 2 dargestellt. Der Schwachstellentest durch ISuTest® erfolgt mittels Fuzzing- Techniken. Dabei werden Netzwerkpakete leicht verändert und an die Komponente gesendet, wie dies auch ein Angreifer tun würde. ISuTest® braucht dabei keinerlei Einblick in die Interna der Komponente, es reicht die Spezifikation der Kommunika- tionsprotokolle. Damit kann jedes Gerät mit Netzwerkschnitt- stelle getestet werden. Es handelt sich um einen sogenannten Black-Box-Test. Darüber hinaus können für ISuTest® weitere Protokolle leicht hinzugefügt werden, um die IEC-62443-An- forderung nach dem Test aller angebotenen Protokolle zu erfüllen. Die Architektur von ISuTest® ist in Abbildung 1 dargestellt. Es handelt sich um eine verteilte Client-Server-Infrastruktur. Den eigentlichen Test führt das Environment durch. Mittels der grafischen Benutzeroberfläche ISuGUI konfiguriert der Benutzer zu testende Komponenten, startet Tests und wertet abgeschlossene Tests komfortabel aus. Zentrale Datenbank, Dateiablage und Kommunikator ist das ISuVentory. In der kleins- ten Ausbaustufe werden alle Bestandteile auf einem lokalen PC installiert. In der größten Ausbaustufe arbeiten viele Benutzer mit ISuGUIs über VPN mit einem ISuVentory in einem Kuberne- tes-Cluster und mehreren Environments. Überwachen wie beim Funktionstest Damit ISuTest® erkennen kann, ob eine Komponente während und nach einem Test noch funktioniert wie vorgesehen, setzt es Monitoring ein. Klassisches IT-Monitoring testet beispielsweise, ob sich das Gerät noch anpingen lässt oder der Webserver noch Daten liefert. Darüber hinaus kann ISuTest® beliebige Prozess- parameter überwachen. Im einfachsten Fall sind das digitale Ausgangswerte eines Aktors. Der Prozess eines Switches ist hingegen seine Switching-Funktionalität, die evaluiert wird. Grundlegend können hier dieselben Verfahren zum Einsatz kommen, die schon in den Funktionstests genutzt werden. ISuTest® kann nicht nur andere Testtools ansteuern und sie zum Beispiel mit dem Prozess-Monitoring anreichern, sondern kann auch selbst ferngesteuert werden. Die in OpenAPI spezifizierte REST-API erlaubt es, Tests zu gewählten Zeitpunkten zu starten und die Testergebnisse maschinenlesbar zurückzuliefern. Damit können Security-Tests durch bestehende CI/CD-Systeme getrig- gert und im Gegenzug Tickets erstellt werden, wenn ISuTest® eine potenzielle Schwachstelle entdeckt hat. Erfolgreich im täglichen Einsatz Zielgruppe von ISuTest® sind Hersteller und Integratoren von industriellen Komponenten. Dabei kann ISuTest® sowohl in Test- centern als auch entwicklungsbegleitend eingesetzt werden. Bereits seit mehreren Jahren im kommerziellen Einsatz, konnte ISuTest® bereits hunderte Schwachstellen identifizieren. Diese Erfolge zeigen, dass mit ISuTest® die Vision von »Security by Design« keine Vision bleiben muss. 1 Weitere Informationen zu ISuTest® finden sie auf der Produktseite: www.isutest.de 5
visIT Assistenzsysteme zur Steigerung der OT-Sicherheit in der Energieversorgung Neue Anforderungen für Netz- und Anlagenbetreiber Die Dekarbonisierung, Dezentralisierung und Digitalisierung sind wesentliche Treiber für die Transformation des Energiesystems hin zu einer sicheren und nachhaltigen Energieversorgung. Diese Trends eröffnen nicht nur bedeutende Potenziale, sondern bringen auch Heraus- forderungen mit sich, insbesondere für die Betreiber von Anlagen und Netzen. Die Ener- gieversorgung spielt eine entscheidende Rolle in der Gesellschaft und Wirtschaft, weshalb die Versorgungssicherheit von größter Bedeu- tung ist. Neben den herkömmlichen Betriebsführungs- aufgaben müssen Betreiber auch Sicherheits- und Resilienz-Aspekte berücksichtigen. Die de- zentralisierten und digitalisierten Strukturen erfordern eine ständige Überwachung und ein aktives Management. Entsprechend ist es not- wendig, neue organisatorische Strukturen auf- zubauen, die sich mit den spezifischen Heraus- forderungen der prozessnahen Kommunikati- onsinfrastrukturen (engl. Operational Techno- logy, kurz OT) auseinandersetzen. Umfassendes OT-Security-Management erforderlich Industrielle Prozesse hängen direkt von der betrieblichen Kommunikationsinfrastruktur ab. Die Versorgungssicherheit ist also stark von der Verfügbarkeit, Vertraulichkeit und Integri- tät der Kommunikationsgeräte abhängig. Im Gegensatz zu Office-IT sind OT-Infrastruk- turen oft schwerer zugänglich, können nicht kurzfristig für Wartungen oder Updates ab- geschaltet werden und sind für wesentlich längere Lebenszyklen konzipiert. Ein effektives Security Management für OT- Umgebungen ist unerlässlich. Dieses umfasst Netzwerküberwachung, kontinuierliches i i r d n A / e b o d a . k c o t s © Abb. 1: Assistenzsysteme unterstützen Anlagen- und Netzbetreiber beim gesamtheitlichen Management und helfen, die OT-Sicherheit zu erhöhen. Dennis Rösch, M.Sc. Kognitive Energiesysteme (KES) Tel. +49 3677 461 188 dennis.roesch @iosb-ast.fraunhofer.de Dipl.-Ing. Steffen Nicolai Kognitive Energiesysteme (KES) Tel. +49 3677 461 112 steffen.nicolai @iosb-ast.fraunhofer.de 6
Industrial Cybersecurity Abb. 2: Praxisnahe Weiterbildungen im Lernlabor Cybersicherheit: Mobile Schulungsplattformen am Fraunhofer IOSB-AST. Asset- und Schwachstellenmanagement sowie ein tiefes Ver- ständnis der spezifischen Herausforderungen. Betreiber müssen das notwendige Know-how und Technologien entwickeln und bereitstellen, um den gestiegenen Anforderungen gerecht zu werden. Dringender Bedarf an Know-how und Assistenz Um den veränderten Herausforderungen zu begegnen, ergibt sich ein neues Anforderungsprofil für das Personal in Leitstellen und in der Sekundärtechnik bei den Anlagen- und Netzbetrei- bern. Es besteht ein hoher Bedarf an Fachwissen in Netzwerk- technik, Sicherheit und Überwachung der Kommunikations- infrastrukturen, um die Versorgungssicherheit der dezentralen Energienetze gewährleisten zu können. Eine Neuausrichtung der Ausbildung und spezifische Weiterbildungen sind essenziell. Das Personal ist zunehmend mit einer Flut an Informationen konfrontiert, die gesichtet, gedeutet und bewertet werden müssen. Die Aufgaben der Betriebsführung des elektrischen Netzes müssen um die Überwachung der Kommunikations- infrastruktur erweitert werden. Hierbei sind Assistenzsysteme entscheidend, die bei der Deutung und Entscheidungsfindung unterstützen und belastbar aufbereitete Informationen liefern. Aktuelle Arbeiten des Fraunhofer IOSB-AST Das Fraunhofer IOSB-AST engagiert sich in verschiedenen öffen- tlichen und industriellen Forschungsprojekten, um Assistenz- systeme zur Unterstützung der Anlagen- und Netzbetreiber zu entwickeln, insbesondere im Bereich der Verteilnetze. Dabei werden unterschiedliche Aspekte behandelt, darunter die Simu- lierbarkeit der gekoppelten Strukturen, Digitale Zwillinge zur Überwachung und Bewertung von Handlungsoptionen sowie Virtualisierungsansätze für Sekundärtechnik und Methoden zur Überwachung der Energie- und Kommunikationsnetze. Angebote des Fraunhofer IOSB-AST Über das Lernlabor Cybersicherheit für die Energie- und Wasser- versorgung werden Weiterbildungen in Bezug auf Netzwerk- sicherheit, Netzwerküberwachung und sichere Konfiguration (Härtung) nach aktuellen Sicherheitsstandards angeboten. Die Erkenntnisse der Forschungs- und Entwicklungsprojekte liefern wertvolle Inputs für die praxisnahen Weiterbildungen. Das praxisorientierte Schulungs-Setup ist in Abbildung 2 darge- stellt. Darüber hinaus unterstützt das Fraunhofer IOSB-AST gezielt durch Dienstleistungsprojekte Kunden in konkreten Fragestellungen der OT-Sicherheit. 1Weitere Informationen zum Leistungsangebot des Lernlabor Cybersicherheit Energie- und Wasserversorgung und einem virtuellen Laborrundgang durch eines unserer Labore am Standort Ilmenau finden Sie unter folgendem Link: https://www.iosb-ast.fraunhofer.de/llcs-ew 7
visIT Lernlabor Cybersicherheit Forschung und Weiterbildung für Cybersicherheit im Kontext von Produktion und kritischen Infrastrukturen In der heutigen digitalisierten Welt stehen sowohl die industrielle Produktion als auch die Energie- und Wasserversorgung durch die zu- nehmende Automatisierung und Vernetzung vor einer Vielzahl von Bedrohungen. Angriffe auf IT- und OT-Systeme (OT = operational tech- nology, also prozessnahe Kommunikationsinfra- struktur), Netzwerke und OT-Komponenten können erhebliche Auswirkungen auf die Ver- sorgungssicherheit, die Produktionsprozesse und die gesellschaftliche Stabilität haben. Um diesen Bedrohungen effektiv zu begegnen, müssen Unternehmen die regulatorischen An- forderungen des Cyber-Resilience-Acts, der NIS-2-Richtlinie und der Maschinenverordnung kennen und umsetzen. Das Lernlabor setzt an diesen Anforderungen an, indem es Schulun- gen, Forschung und Entwicklung in einem inter- disziplinären Umfeld kombiniert und zugänglich macht. Durch praxisnahe Trainings in modernen Laborumgebungen werden Unternehmen in die Lage versetzt, die neuesten Sicherheitsstandards und -technologien zu implementieren und so die Resilienz gegen Cyberbedrohungen zu stärken. Das Fraunhofer-Fachhochschulverbund »Lern- labor Cybersicherheit« besteht aus Fraunhofer- Instituten, Fachhochschulen und der Fraunhofer Academy. Sie entwickeln hochwertige Weiter- bildungen zu IT-Sicherheit, um damit aktuelles Forschungswissen hands-on in Industrie und Gesellschaft zu transferieren. In den verschie- denen Lernlaboren wird ermöglicht, Wissen nicht nur inhaltlich, sondern auch in einem passenden Umfeld zu vermitteln – sowohl in Präsenz als auch online [1]. Das Fraunhofer IOSB bietet für die Durchführung der Schulungen modernste Laborumgebungen und Schulungs- demonstratoren, um das erlernte Wissen in einem möglichst realen Umfeld praktisch an- wenden zu können. Konsortium »Industrielle Produktion« Immer mehr produzierende Unternehmen setzen in der Fertigung auf Industrie-4.0-Ansätze. Doch so viele Chancen die umfassende Vernetzung von Komponenten, Anlagen und ganzen Pro- duktionsstätten eröffnet, so viele Risiken gilt es im Auge zu behalten, um sensible Daten zu schützen und mögliche Störungen der Produk- tion durch Cyberangriffe zu unterbinden. Unter- nehmen müssen im Zuge der digitalen Trans- formation ihre kritischen Systeme, Anlagen und Werte kennen, um geeignete Schutzmaß- nahmen zu ergreifen. Dazu gehört, typische Schwachstellen in Design und Implemen- tierung eingebetteter Systemen und indus- trieller Komponenten zu kennen und zu iden- tifizieren. Auch neueste Entwicklungen im Bereich von Kommunikationsprotokollen und Sicherheitsfunktionen sowie der Entwicklung sicherer Software müssen in den Produktions- anlagen umgesetzt werden, um sie effektiv schützen zu können. Das Konsortium »Indus- trielle Produktion« des Fraunhofer Lernlabors Cybersicherheit hat sich auf diese Themen spezialisiert und unterstützt produzierende Unternehmen mit Schulungs- und Dienst- leistungsangeboten. Konsortium »Energie- und Wasser- versorgung« Die voranschreitende Digitalisierung aller Be- reiche der Gesellschaft führt auch in der Energie- versorgung sowie der Wasserver- und -entsor- gung zu großen Herausforderungen bei der weiteren Gewährleistung eines sicheren und stabilen Systembetriebs. Durch die zunehmende Einbindung dezentraler Einrichtungen zur Daten- erfassung und -übertragung sowie informa- Dr.-Ing. Christian Haas Informationsmanagement und Leittechnik (ILT) Tel. +49 721 6091 605 christian.haas @iosb.fraunhofer.de 8
Industrial Cybersecurity Abb. 1: Einblick in unser Lernlabor Cybersicherheit am Fraunhofer IOSB. tionstechnisch gekoppelter Anlagen zur Erzeugung, Verteilung, Speicherung und Nutzung von Energie, kommt dem Thema IT- und OT-Sicherheit zukünftig ein wesentlicher Stellenwert bei der Sicherstellung der Versorgungsaufgabe zu. Schwerpunkte der vier Standorte Das Lernlabor Cybersicherheit für die Energie- und Wasser- versorgung am Fraunhofer IOSB-AST in Ilmenau bietet eine ideale Testumgebung, um reale Szenarien nachzustellen und die Auswirkungen von Angriffen auf die IT-Infrastruktur von Versorgungsnetzbetreibern zu untersuchen. Auf der Website findet sich ein virtueller Rundgang durch das Labor [2]. Das Lernlabor Cybersicherheit am Standort Görlitz ist fokus- siert auf das Thema IT-Sicherheit in der Energie- und Wasser- versorgung und ergänzt das Labor in Ilmenau mit seinem Schwerpunkt auf Sicherheit im Bereich der operativen Techno- logien und im Prozessbereich. In Görlitz wird ein virtuelles Versor- gungsunternehmen (Energie und Wasser) mit seiner Netzwerk- infrastruktur abgebildet, das die Grundlage für praxisnahe Trainings bildet. Themen der Trainings sind: Cybersicherheit Monitoring Angriffserkennung Fernwartung/-zugriff Angriffsvektoren und entsprechende Schutzmaßnahmen Das IT-Sicherheitslabor des Fraunhofer IOSB am Standort Karlsruhe verfügt über zahlreiche Demonstratoren und Lern- umgebungen zur Erprobung und Anwendung von industriellen Cybersicherheitstechnologien. Das Fraunhofer IOSB in Karls- ruhe ist Kooperationspartner der ISA Europe und bietet mit seinen zertifizierten Trainern u. a. Schulungen rund um das Thema IEC 62443 an. Weitere Schwerpunkte sind Security- Tests von Automatisierungskomponenten, sicheres OPC UA sowie Angriffs- und Anomalieerkennung in industriellen Netzen und Anlagen. Im Lernlabor Cybersicherheit des Fraunhofer IOSB-INA in Lemgo befinden sich leistungsfähige Testumgebungen, um die Auswir- kungen von Cyberangriffen zu untersuchen und Gegenmaß- nahmen zu entwickeln. Schwerpunktthemen sind: Quick-Check IEC 62443 Sichere Softwareprodukte Bewertung von Sicherheitsvorfällen AI Intrusion Prevention Mit den beiden Schwerpunkten »Energie und Wasserversor- gung« und »industrielle Produktion« leisten die Lernlabore am Fraunhofer IOSB einen wichtigen Beitrag zur Stärkung der Cybersicherheit in essenziellen Bereichen der Gesellschaft und Industrie. Sie fördern die Vernetzung zwischen Wirtschaft, Wissenschaft und Behörden und setzen neue Maßstäbe in der Vermittlung von Fachwissen und der Entwicklung innovativer Sicherheitskonzepte. 1 Weitere Informationen zum Leistungsangebot des Lernlabor Cybersicherheit finden Sie unter folgendem Link: https://www.cybersicherheit.fraunhofer.de/ 2 Virtueller Rundgang: https://services.iosb-ast.fraunhofer.de/lab/ 9
visIT »Engineering Security for Production Systems« Das Industrial Cybersecurity Lab innerhalb der KASTEL Security Research Labs Die industrielle Produktion ist ein wichtiger Wirtschaftszweig in Deutschland und reicht von vollständig automatisierter Produktion über gemischte Fertigung bis hin zur manu- ellen Montage komplexer oder spezialisierter Komponenten. Gleichzeitig rückt sie zuneh- mend in den Fokus von Cyberangriffen. Im Rahmen des von der Helmholtz-Gemeinschaft geförderten Forschungsthemas »Engineering Secure Systems« betreiben wir gemeinsam mit dem Karlsruher Institut für Technologie (KIT) das Labor »Engineering Security for Production Systems« und sind damit auch Teil der Karlsruher KASTEL Security Research Labs [1]. Mission des Labors Im Labor befassen wir uns mit der Sicherheit von Produktionsinfrastrukturen sowie mit Vertrau- enswürdigkeit, Datenschutz und Transparenz von Montageassistenzsystemen, die Mitarbei- tende beobachten und unterstützen. Die be- sonderen Herausforderungen sind: Industrielle Infrastrukturen müssen ständig verfügbar sein und haben entsprechend sehr lange Sys- temlaufzeiten. Daher sind oft alte und anfällige Komponenten im Einsatz. Gleichzeitig drohen bei Cyberangriffen im industriellen Umfeld Safety-Auswirkungen, die Menschen und Umwelt gefährden. Montageassistenzsysteme werden vom Arbeitgeber betrieben, was das Risiko eines Missbrauchs birgt. So kann z. B. die Leistung von Mitarbeitenden heimlich und ent- gegen abgeschlossenen Betriebsvereinbar- ungen überwacht werden. Demonstratoren spielen eine entscheidende Rolle im Labor, um das Bewusstsein für indus- trielle Cybersicherheit zu schärfen. Mithilfe unserer Demonstratoren schulen wir Fachkräfte zu den Herausforderungen, Bedrohungen und der Bedeutung robuster Sicherheitsmaßnahmen. Cybersicherheit von Produktions- infrastrukturen und -komponenten In unseren Arbeiten zur selbstlernenden Ano- malieerkennung nutzen wir fortschrittliche Al- gorithmen, um ungewöhnliche Muster im Netz- werkverkehr zu erkennen, die auf potenzielle Sicherheitsvorfälle hinweisen. Mithilfe Maschi- nellen Lernens entwickelt sich das System kon- tinuierlich weiter und verbessert seine Erken- nungsfähigkeiten im Laufe der Zeit. Wir haben die selbstlernende Anomalieerkennung erfolg- reich in unserer Laborumgebung (vgl. Abb. 1) evaluiert und konnten sowohl die Erkennungs- rate verbessern als auch die falsch-positiven Ergebnisse reduzieren. Bei Blackbox-Tests werden Schwachstellen eines Systems analysiert, ohne Einblick in dessen interne Funktionsweise zu haben. Dieser Ansatz ermö- glicht eine objektive Analyse potenzieller Sich- erheitslücken und Angriffsvektoren. Wir haben mehrere Verbesserungen für Blackbox-Tests an industriellen Komponenten entwickelt, für die wir vorhandene Informationen über zu testende Systeme genutzt haben. Mit unserem Security-Testing-Framework ISuTest© [2] konn- ten mehrere neue Schwachstellen in Kompo- nenten entdeckt und von den Herstellern behoben werden. Dr.-Ing. Pascal Birnstill Informationsmanagement und Leittechnik (ILT) Tel. +49 721 6091 612 pascal.birnstill @iosb.fraunhofer.de 10
Industrial Cybersecurity Abb. 1: Miniaturisierter Produktionsprozess mit industriellen Infrastrukturkomponenten. Abb. 2: Interaktiver Montagearbeitsplatz in unserem Labor. Beim kontinuierlichen Risiko- und Schwachstellenmanagement identifizieren, bewerten und priorisieren die Anlagenbetreiber kontinuierlich Schwachstellen und Risiken innerhalb ihrer Syste- me. Dieser Prozess ist essenziell, um die Sicherheit der Produk- tionsprozesse zu gewährleisten. Wir entwickeln ein integriertes Risikobewertungs-Framework, das Anlagenbetreiber bei der Durchführung von Risikobewertungen für ihre Anlagen unter- stützt. Es kombiniert automatisiertes Schwachstellenmanage- ment mit KI-basierter Bedrohungserkennung und -abwehr und wird als Werkzeug für das IEC-62443-basierte Risikomanage- ment dienen. Vertrauenswürdige und transparente interaktive Unterstützungssysteme Um vertrauenswürdige interaktive Montageassistenzsysteme (vgl. Abb. 2) zu realisieren, setzen wir auf Trusted-Computing- Technologien und deren Attestierungsfähigkeiten. Dies ermög- licht es uns, für Mitarbeitende und Betriebsräte überprüfbar zu machen, dass die Software und Sicherheitskonfiguration eines Systems sich in einem vereinbarten Zustand befinden (vgl. Abb. 3). Um die mit den verarbeiteten Daten verbundenen Risiken zu mindern, implementierten wir zwei Frameworks, die Daten während der Speicherung (4Crypt) und während der Verar- beitung (DataSov) schützen. 4Crypt erzwingt kryptographisch die Zustimmung mehrerer vertrauenswürdiger Prüfer (Vier-Augen-Prinzip), bevor auf verschlüsselte Daten zugegriffen werden kann. DataSov imple- mentiert die verteilte Nutzungskontrolle auf vertrauenswürdige Weise. Dies geschieht, indem die Integrität verteilter Kompo- nenten durch heterogene Attestierung mit verschiedenen 1 https://kastel-labs.de 2 https://www.iosb.fraunhofer.de/isutest Trusted-Computing-Technologien sichergestellt wird. Die Europäische KI-Verordnung stellt Transparenzanforderun- gen an bestimmte Anwendungsbereiche von KI und verlangt, dass Entscheidungen solcher Systeme verständlich sind. Erklärbare KI ist de facto die einzige technische Umsetzungsmöglichkeit, um die Anforderungen der KI-Verordnung zu erfüllen. Aller- dings konzentrieren sich aktuelle Methoden auf die technischen Bedürfnisse von KI-Experten. Mit RIXA haben wir ein interak- tives, erklärbares KI-Dashboard umgesetzt, das große Sprach- modelle nutzt, um technische Erklärungen für Laien verständ- lich zu machen. Die Forschungsbeiträge des Labors befassen sich mit den lang- fristigen Herausforderungen für die Sicherung industrieller Pro- duktionssysteme, indem sie innovative Proof-of-Concepts sowie Technologiedemonstratoren entwickeln, die den Transfer in die Praxis unterstützen. Abb. 3: Attestierung eines Montageassistenzsystems über NFC- Kommunikation. 11
visIT Überwachung der Cyber-Resilienz in industriellen Automatisierungs- und Steuerungssystemen Cyber-Resilienz ist die nächste Entwicklungs- stufe der IT-Sicherheit und legt den Fokus auf Vorfallsreaktion sowie die Wiederherstellung der Prozessfähigkeit. Das heißt, im Falle eines kritischen Cyber-Vorfalls soll der Betrieb einer Organisation aufrechterhalten bzw. schnellst- möglich wiederhergestellt werden können. Für die technische Umsetzung ist ein effektives Monitoring der Prozessautomatisierung und Infrastruktur essenziell. CyReM-ICS – ein ganzheitliches Monitoring-System Im Projekt CyReM-ICS (Cyber Resilience Moni- toring in Industrial Automation and Control Systems) wurden Methoden zur Angriffserken- nung und zur Asset Discovery in ein ganzheit- liches Monitoring-System integriert [1]. Das System erfasst Eingangsdaten aus Prozessin- frastrukturen und dient als Grundlage für Re- silienz-Metriken. CyReM-ICS wurde für die Domänen Energie und Industrie entwickelt und hat zum Ziel, Resilienz-Eigenschaften zu be- werten und eine verständliche Übersicht über den Zustand der Anlagen zu bieten. Unterschied- liche Resilienz-Metriken werden zusammenge- führt, um eine Prozessbewertung unabhängig von der Domäne zu ermöglichen. Zur Vereinheitlichung beider Domänen werden Prozessstrukturen so zusammengefasst, dass Statusinformationen über Geräte und Netz- werkverkehr durch frei verfügbare Sensoren sowie Network- und Host-Intrusion-Detection- Systeme (NIDS, HIDS) erfasst werden. Spezifische Module, etwa zur Analyse bestimmter Übertra- gungsprotokolle wie Profinet oder IEC 61850, stehen dem Nutzer zur Verfügung. Funktionsweise Das Monitoring-System CyReM-ICS besteht aus unterschiedlichen Modulen, deren Basis ein Dr.-Ing. Christian Haas Informationsmanagement und Leittechnik (ILT) Tel. +49 721 6091 605 christian.haas @iosb.fraunhofer.de 12 Abb. 1: Die Evaluierung von CyReM-ICS erfolgt an praxisnahen Testaufbauten, welche Realbedin- gungen in den Domänen Energie und Industrie nachbilden.
Industrial Cybersecurity Abb. 2: Unsere umfassende Erfahrung bei der Erkennung von Schwachstellen und der Härtung von industriellen Steuerungs- systemen fließt in einen neuen ganzheitlichen Ansatz zur Überwachung der Ausfallsicherheit ein. Open Source SIEM-System bildet. Dieses SIEM (Security In- formation and Event Management) besteht in der Regel aus einer Log-Datenbank, die für nachgelagerte Auswertungen herangezogen wird, einer definierten Pipeline zum Daten- import der angeschlossenen Sensoren bzw. Systeme und einer Visualisierung der erfassten Daten. Innerhalb von CyReM-ICS werden die erfassten Daten als Grundlage genutzt, um mithilfe eines Inventarisierungssystems (Asset-Inventory) und Ansätzen der Threat Intelligence sowie Ergebnissen aus der Risikoanalyse kontinuierlich Bewertungen bezüglich der Resilienz durchführen zu können. Externe Datenquellen, wie Schwachstellendaten- banken, werden über definierte Schnittstellen als weitere Wis- sensbasis zur Resilienz-Bewertung genutzt. Die Ergebnisse der Resilienz-Metrik-Berechnung werden in- nerhalb der Vorfallsreaktion (Incidence Response) und des Risikomanagements verarbeitet und stellen den Ausblick für eine Erweiterung des passiven Monitors hin zu einem Assis- tenzsystem dar. Was ist der Mehrwert unseres Systems? Das Fraunhofer IOSB kann mit CyReM-ICS Betreiber von indus- triellen Automatisierungs- und Steuerungssystemen sowie Ma- schinen- und Anlagenbauer unterstützen, eine transparente Resilienzbewertung der Systeme und Anlagen durchzuführen und im laufenden Betrieb aufrechtzuerhalten. Maschinenbauer und Betreiber von industriellen Steuerungs- und Automatisierungsanlagen stehen vermehrt vor der Heraus- forderung, Cyberangriffe frühzeitig und zuverlässig zu erkennen und entsprechend darauf zu reagieren. Hierfür gibt es neben der Maschinenrichtlinie auch die kommende NIS-2-Richtlinie der EU als regulatorische Grundlage. Das Bundesamt für Sicher- heit in der Informationstechnik (BSI) hat im Rahmen des Sicher- heitsgesetzes die Aufgabe, auch herstellerunabhängige Lösun- gen zur Detektion und Reaktion auf Angriffe anzubieten. Mit CyReM-ICS besitzt das Fraunhofer IOSB eine funktionierende Demonstrationsumgebung, um Projekte umzusetzen und Ergebnisse demonstrierbar zu machen. Die Betreiber in der Energieversorgung setzen vermehrt Flow- basierte Systeme ein, um Angriffe zu erkennen. Der verpflich- tende Einsatz von Systemen zur Angriffserkennung (SzA) ist ein Hebel vom BSI, um die Vorfallsdetektion in den Unternehmen der kritischen Infrastruktur zu verbessern. Bisherige Umsetzun- gen und kommerziell verfügbare Systeme setzen primär auf die Analyse des Netzwerkverkehrs und die Protokollinformationen der ausgetauschten Nachrichten. Die Protokollierungsinfor- mationen aus den einzelnen Endgeräten werden in der Regel aufgrund der Diversität und der fehlenden Kompetenz zur Deutung der Nachrichten nicht in zentrale Monitoring-Systeme, wie zentral in der IT aufgehängte SIEM-Systeme, eingebunden. Da auch die ICS-Endgeräte einen großen Mehrwert für die Erkennung und Bekämpfung von Angriffen liefern können, wird ein automatisiertes System benötigt, das die dezentralen Informationen einbindet, verarbeitet und eine Schnittstelle zum zentralen SIEM bereitstellt. CyReM-ICS unterstützt Unterneh- men dabei, Angriffe frühzeitig zu erkennen, die Vorfallsreak- tion zu verbessern und dadurch die Einhaltung der EU-Richtli- nien sicherzustellen. 1 https://www.iosb.fraunhofer.de/cyrem-ics 13
visIT Klassifikation von Cyberangriffen auf industrielle Steuerungssysteme in verschlüsseltem Netzwerkverkehr Industrielle Steuerungssysteme (ICS) überwa- chen und steuern cyber-physische Produktions- systeme mithilfe von spezialisierter Hardware und Software, wie speicherprogrammierbaren Steuerungen und Ein-/Ausgabegeräten. Die Kommunikation zwischen diesen Komponen- ten erfolgt über industrielle Netzwerkproto- kolle wie Profinet, Modbus/TCP und OPC UA [1]. Die Überwachung des Netzwerkverkehrs (Security Monitoring) ermöglicht die frühzeiti- ge Erkennung von Cyberangriffen, um recht- zeitig Gegenmaßnahmen zum Schutz der Produktionssysteme einzuleiten. Dies ist auch eine zentrale Anforderung der EU-Richtlinie 2022/2555 »Maßnahmen für ein hohes ge- meinsames Cybersicherheitsniveau in der Union« (NIS-2). neuartige und bisher unbekannte Cyberangriffe zu erkennen, (2) das Erkennen von Angriffen muss auch in verschlüsseltem Netzwerkverkehr möglich sein, (3) die Analyse muss spezialisier- te industrielle Kommunikationsprotokolle wie Profinet oder EtherCAT berücksichtigen und (4) die Lösung muss effizient auf Hardware mit begrenzten Ressourcen arbeiten. Forschende des Fraunhofer IOSB-INA haben mit CyberClas+ einen innovativen Ansatz zur Klas- sifizierung von Cyberangriffen in industriellen Steuerungssystemen entwickelt, der die ge- nannten Anforderungen erfüllt [2]. CyberClas+ kombiniert verschiedene Methoden des Ma- schinellen Lernens, um den Netzwerkverkehr in Echtzeit zu analysieren (Abb. 1). Effektives Security Monitoring in ICS muss verschiedene Herausforderungen bewältigen: (1) Das System sollte in der Lage sein, auch Zunächst wird der Netzwerkverkehr von ICS erfasst und in einzelne Verbindungen auf- geteilt. Jede Verbindung wird dann in eine Encrypted network traffic Analysis Attack Classification IT-Components Adversary with a captured remote access Value-added Service Attack Techniques (1) Program Upload (2) System Discovery (3) Service Stop (4) Brute Force I/O (5) … Switch n o i t c e n n o c r e p e r u t p a c c i f f a T Engineering PLC IO Device Industrial Control System i w o d n W e m T i 1 2 3 4 5 6 7 8 10 11 12 13 … n Header Encrypted Payload Time Series Data Packet Count Inter-Arrival Time … Feature n CyberClas+ approach Normal Behavior File Transfer Program Upload Service Stop Abb. 1: Konzept des CyberClas+-Lösungsansatzes zur Klassifikation von Cyberangriffen auf indus- trielle Steuerungssysteme in verschlüsseltem Netzwerkverkehr. Felix Specht, M.Sc. Digitale Infrastruktur (DIS) Tel. +49 5261 942 90 34 felix.specht @iosb-ina.fraunhofer.de Dr.-Ing. Jens Otto Digitale Infrastruktur (DIS) Tel. +49 5261 942 90 44 jens.otto @iosb-ina.fraunhofer.de 14
Industrial Cybersecurity Zeitreihe umgewandelt, wobei statistische Merkmale berechnet werden, z. B. die Anzahl der Netzwerkpakete pro Sekunde oder die Zwischenankunftszeit der Pakete. Auf Basis dieser Merk- male werden Schwellenwerte berechnet und ein maschinelles Lernmodell trainiert. Die Schwellenwerte ermöglichen eine erste Unterscheidung zwischen normalem und verdächtigem Netzwerkverkehr, während das maschinelle Lernmodell die Klassifizierung verschiedener Cyberangriffe im verdächtigen Verkehr gemäß dem MITRE-ATT&CK-ICS-Klassifikationsschema erlaubt [3]. CyberClas+ ist ein zentraler Baustein eines umfassenden Systems namens CyReM-ICS zur Überwachung der Cyber-Resilienz. Neben der Überwachung des Netzwerkverkehrs ermöglicht das System die Analyse von Syslog-Daten, um Angriffe direkt auf Geräteebene zu identifizieren. Es ermittelt Geräteinformationen wie Artikelnummern und bekannte Schwachstellen, was einen aktuellen Überblick über potenzielle Risiken bietet. Alle relevan- ten Informationen werden gebündelt bereitgestellt, damit Ver- antwortliche die Sicherheitslage effizient bewerten und auf Vorfälle schnell reagieren können. In einer industriellen Testumgebung wurde die Funktionsweise von CyberClas+ unter realen Bedingungen evaluiert (siehe Abb. 2). Dabei konnten 14 unterschiedliche Cyberangriffe erfolgreich erkannt und voneinander unterschieden werden, wobei die Klassifikationsgenauigkeit bei 97 Prozent lag. Zudem konnte durch die initiale Unterscheidung mittels Schwellenwerten die Ausführungsdauer im Vergleich zu klassischen Ansätzen um das bis zu 16-Fache reduziert werden. CyberClas+ ist eine solide Grundlage für automatisierte Gegen- maßnahmen für Cyberangriffe, wie beispielsweise die Netzwerk- segmentierung [4]. Diese Technik teilt das Netzwerk in kleinere, isolierte Segmente auf, was die Ausbreitung von Angriffen unterbindet und somit die Sicherheit der Produktionssysteme erhöht. Für Unternehmen hat der Einsatz von CyberClas+ mehrere Vorteile: 1. Erkennung und Klassifizierung von Cyberangriffen in Echtzeit, was die Reaktionszeit bei Vorfällen reduziert. 2. Effizienter Betrieb auch auf Hardware mit begrenzten Ressourcen, um Kosten einzusparen. 3. Robustheit gegenüber neuen Bedrohungen durch die Fähigkeit, unbekannte Angriffe zu erkennen. 4. Erhöhte Sicherheit schützt vor Produktionsausfällen und finanziellen Verlusten. 5. Unterstützung bei der Einhaltung gesetzlicher Anfor- derungen, wie der NIS-2-Richtlinie. Cyber Detect: Security Monitoring mit CyberClas+ Industrielles Steuerungssystem Abb. 2: Die industriellen Testumgebung zur Evaluierung des CyberClas+-Lösungsansatzes. 1 J. Otto, B. Vogel-Heuser, O. Niggemann. Automatic parameter estimation for reusable software components of modular and reconfigurable cyber-physical production systems in the domain of discrete manufacturing. IEEE Transactions on Industrial Informatics, 14(1), 2018. DOI: 10.1109/TII.2017.2718729. 2 F. Specht, J. Otto. Efficient Machine Learning-based Security Monitoring and Cyberattack Classification of Encrypted Network Traffic in Industrial Control Sys- tems. IEEE 29th International Conference on Emerging Technologies and Factory Automation (ETFA), September 2024. DOI: 10.1109/ETFA61755.2024.10711134. 3 O. Alexander, M. Belisle, J. Steele. Mitre att&ck for industrial control systems: Design and philosophy. The MITRE Corporation: Bedford, MA, USA, vol. 29, 2020. 4 J. Otto, N. Grüttemeier, F. Specht. Security Decisions for Cyber-physical Systems based on Solving Critical Node Problems with Vulnerable Nodes. AAAI-Works- hop on AI Planning for Cyber-Physical Systems (CAIPI’24), Vancouver, Canada, 2024. DOI: 10.48550/arXiv.2406.10287. 15
Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB info@iosb.fraunhofer.de www.iosb.fraunhofer.de Fraunhofer IOSB Karlsruhe Fraunhoferstraße 1 76131 Karlsruhe Telefon +49 721 6091-0 Fraunhofer IOSB Ettlingen Gutleuthausstraße 1 76275 Ettlingen Telefon +49 7243 992-0 Institutsteil für angewandte Systemtechnik IOSB-AST Am Vogelherd 90 98693 Ilmenau Telefon +49 3677 461-0 info@iosb-ast.fraunhofer.de www.iosb-ast.fraunhofer.de Institutsteil für industrielle Automation IOSB-INA Campusallee 1 32657 Lemgo Phone +49 5261 94290-22 juergen.jasperneite@iosb-ina.fraunhofer.de www.iosb-ina.fraunhofer.de Zweigstellen & Kontaktbüro Forschungsgruppe IT-Sicherheit für Kritische Infrastrukturen ENERGIE UND WASSER Wilhelmsplatz 11 02826 Görlitz Fraunhofer-Zentrum für die Sicherheit Sozio-Technischer Systeme SIRIOS c/o Fraunhofer FOKUS Kaiserin-Augusta-Allee 31 10589 Berlin Fraunhofer-Forschungsgruppe Smart Ocean Technologies SOT Alter Hafen Süd 6 18069 Rostock Forschungsgruppe Aktive Laserfasern c/o HENSOLDT Optronics GmbH Carl-Zeiss-Str. 22 73447 Oberkochen Kontaktbüro Beijing Unit 0602G, Tower D1 DRC Liangmaqiao Office Building 19 Dongfangdonglu, Chaoyang District 100600 Beijing, PR China muh@fraunhofer.com.cn Zur ePaper-Ausgabe