Die 13. internationale IEEE-Konferenz der “Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications” (IDAACS) fand unter Beteiligung der DECOIT® in Gliwice (Polen) zwischen dem 4.-6. September an der Universität Silesian statt. Auf der Konferenz wurden die Forschungsergebnisse unseres KISTE-Projekts in mehreren Vorträgen vorgestellt und mit den Teilnehmern diskutiert. Die Konferenz, die vornehmlich durch Anatoliy Sachenko aus der Ukraine mit seinem Team organisiert wurde, konnte trotz des Krieges stattfinden und knüpfte damit an die lange Tradition dieser Konferenz an.

Die Konferenz wurde hybrid durchgeführt, da viele Teilnehmer aus der Ukraine nicht anreisen konnten. Dadurch war die Beteiligung nicht so hoch wie gewöhnlich. In der ersten Keynote des Eröffnungstages referierte Prof. Oleksandr Letychevskyi über digitale Zwillinge, die von Michale Grieves im Jahr 2002 definiert wurden. Ein digitaler Zwilling ist eine dynamische, virtuelle Nachbildung eines realen Objekts, Systems oder Prozesses, die mit Echtzeitdaten aus dem physischen Gegenstück gespeist wird, um Leistung und Verhalten zu überwachen, zu analysieren und zu optimieren. Er dient dazu „Was-wäre-wenn“-Szenarien zu simulieren, Verbesserungen vorzunehmen und Einblicke in die Funktionsweise zu gewinnen, bevor Änderungen in der realen Welt vorgenommen werden. Daher werden sie heute in intelligenten Städten, Kernkraftwerken, IoT-Netzen oder beim Erforschen der Ozeane eingesetzt. Digitale Zwillinge sind dabei eine Kombination von Simulation und KI-Modellen. Daher kommt der Weiterentwicklung der Künstlichen Intelligenz (KI) auch in diesem Bereich eine hohe Bedeutung zu.

Eine Anforderung, die sich wie ein roter Faden durch die gesamte Konferenz zog. Denn auch in den Cyber-Security-Vorträgen wurden KI-Modelle und Deep-Learning-Ansätze eingesetzt und diskutiert. Dies war beispielsweise bei ferngesteuerten Fahrzeugen im Marineumfeld oder bei Solarparks von Energieversorgern der Fall. Auch die Vorträge der DECOIT® handelten davon, die sich mit dem Aufbau eines Testbeds zur Simulation von Cyberattacken und der Definition eines SIEM-Frameworks zur Anomalie-Erkennung in OT-Netzen im Rahmen des KISTE-Projekts auseinandersetzten. Das Testbed bietet dafür IT- und OT-Bereiche an, so dass auch OT-Protokolle (z.B. Modbus, PROFINET) untersucht werden können. Die Simulation wird mit Hilfe von Raspberry Pis über 12 Knoten durchgeführt. Mittels NetFlow wird das Verkehrsverhalten analysiert, durch auditd werden die Hosts beobachtet (Authentifikation, Schreib-/Leseverhalten, Änderung von Rechten) und mit Zeek findet eine Deep-Packet-Inspection statt. Mittels des dort aufgebauten SIEM-Frameworks lassen sich dann Regel- und Anomalie-basierte Erkennung von Attacken testen. Diese werden über das MITRE ATT&CK Framework bereitgestellt, dass eine universell zugängliche, kontinuierlich aktualisierte Wissensbasis zur Modellierung, Erkennung, Verhinderung und Bekämpfung von Cybersicherheitsbedrohungen beinhaltet, die auf bekannten Verhaltensweisen von Cyberkriminellen basiert. MITRE ATT&CK hilft dabei Cyberangriffe genau zu simulieren und Abwehrmaßnahmen einzuleiten. Im Rahmen beider Vorträge wurde auch unsere SIEM-Lösung ScanBox® vorgestellt.

Auch in anderen Vorträgen wurden Machine-Learning-Ansätze besprochen und diskutiert. Dabei wurden auch die unterschiedlichen Anforderungen für IoT- und OT-Netze thematisiert. Das Monitoring der Verfügbarkeit wird hauptsächlich bei OT angewandt. Zudem sind hier SIEM-Systeme noch kaum verfügbar, da die entsprechenden OT-Protokolle nicht unterstützt werden. Um das Normalverhalten trainieren zu können werden zudem ausreichend gute Datensätze benötigt, die öffentlich nicht verfügbar sind. So wurden in einem Projekt 12 öffentliche Datensätze, basierend auf wissenschaftlichen Veröffentlichungen, untersucht und festgestellt, dass sie eine zu geringe Qualität besitzen und nicht alle geforderten Protokolle enthalten. Das ist wiederum ein Problem für ein effektives KI-Training. Daher ist der KISTE-Ansatz empfehlenswert, indem ein eigenes Testbed aufgesetzt wurde, um eigene Datensätze zu generieren. Die DECOIT® besitzt aus diesem Grund auch ein eigenes VirtualLab, indem Auswirkungen auf ungesicherte Systeme anhand realer Bedrohungen untersucht werden. Es werden heute aber oftmals die Bereiche IT und OT getrennt behandelt, ohne dass man die Vorfälle miteinander korreliert. Dies wird im KISTE-Projekt bereits anders gehandhabt.

Am zweiten Tag berichte in der zweiten Keynote Dr. Angelo Genovese über Anomalie-Erkennung in der Industrie. Dabei stellte er fest, dass ein Bildvergleich für KI-Anwendungen heute relativ einfach durchzuführen ist. Dieser Ansatz wird regelbasiert durchgeführt. Wenn Deep-Learning-Algorithmen angewendet werden sollen, müssen allerdings genügend Daten in ausreichender Qualität vorliegen. Die Sammlung von größeren Datenmengen kann aber Industrieprozesse stören, weshalb auch daran geforscht wird, mit weniger Daten zum Training einer KI auszukommen. Das Fehlen von qualitativ guten Datensätzen ist aber auch ein generelles Problem bei Forschungsprojekten.

In anderen Vorträgen wurden Schwachstellenscanner für OT-Netze in 5G-Umgebung analysiert. Die meisten OT-Sicherheitslösungen sind dabei auf das Monitoring der Verfügbarkeit ausgerichtet. Existierende Lösungen gibt es u.a. von Verve Security Center, Trend Nicro Tenabke OT und Palo Alto Zero Trust OT Security. Alle Lösungen besitzen dabei Nachteile in 5G-Netzen. Passive Schwachstellenscanner mit kontrolliertem Aktiv-Scanning und dynamisches Asset-Scanning wurden mittels der MITRE-ATT@CK-Datenbank getestet. Dabei wurde festgestellt, dass 5G-Protokolle nicht unterstützt werden und es keine sichere Methode gibt, um aktives Scanning durchzuführen.

In einem anderen Beispiel wurde KI zur Erdbeobachtung zur Überwachung unseres Planeten eingesetzt. Dies wird über bestehende Satelliten vorgenommen, die von der NASA und der ESA zur Verfügung gestellt werden. Milliarden von Bildpixeln werden durch die Satelliten täglich aufgenommen, was eine KI-Auswertung unabdingbar macht. Die Group on Earth Observations (GEO) koordiniert die weltweiten Satellitenbeobachtungen und möchte die Daten zur Auswertung verschiedener Themenschwerpunkte (z.B. Naturphänomene und Wettermodelle) allgemein zur Verfügung stellen. Destination Earth (DestinE) ist das Zielprojekt in den nächsten 7-10 Jahren, was auch das Klima- und Ökosystem untersuchen wird. Dadurch soll eine sog. „Earth Intelligence“ ermöglicht werden, um Schnellwarnsysteme nutzen und eine intelligente Klimapolitik umsetzen zu können.

Insgesamt wurden wieder eine Fülle von Projektergebnissen auf der diesjährigen IDAACS vorgestellt, unter denen auch die Ergebnisse des KISTE-Projektes von der DECOIT® waren. Die beiden Beiträge der DECOIT® findet man in unserem Download-Center. Dabei nahm die KI-Thematik einen sehr breiten Raum ein und hatte Einfluss auf unterschiedlichste Technologiebereiche. Die nächste IDAACS ist für das Jahr 2027 in Athen (Griechenland) geplant. Bis dahin wäre zu wünschen, dass der Krieg in der Ukraine aufgehört hat und die Konferenz wieder ohne Online-Beiträge durchgeführt werden kann.