Am 29. September 2021 fand bei der Hochschule Hannover das Abschlusstreffen des GLACIER-Projekts statt, welches nach zweieinhalb Jahren zu Ende ging. Alle Partner stellten ihre Endergebnisse vor und diskutierten die mögliche Verwertung. Zusätzlich standen die Ergebnisse des ersten Feldtests bei dem assoziierten Partner hanseWasser Bremen GmbH im Vordergrund, bei dem der Prototyp über drei Wochen lang in der Praxis zum Einsatz kam. Alle Partner empfanden den gegenseitigen Austausch bei einem Präsenztreffen nach längerer Corona-Pause als sehr wohltuend und kamen bei der Bewertung der erreichten Projektergebnisse zu einem positiven Gesamteindruck. Einzig der Bremer Wasserversorger hanseWasser war aus Pandemiegründen remote per Videokonferenz zugeschaltet.

Anfangs wurde der übliche Projektüberblick vom Konsortialführer DECOIT^® GmbH gegeben, in dem der Arbeitspaketstatus mit den noch offenen Aufgaben präsentiert wurde. Dabei konnte recht schnell ein positives Fazit geschlossen werden, da es nicht mehr viele offene Punkte zu bemängeln gab. Das sprach auch für die gute partnerschaftliche Zusammenarbeit, die sich während der Projektlaufzeit ergeben hat. Neben den normalen Projektpartnern ist hierbei insbesondere der assoziierte Partner hanseWasser Bremen GmbH positiv herauszuheben, da er die Entwicklungsarbeiten durch eigene Anforderungen vorbildlich unterstützt hat und dadurch reale Daten ausgewertet werden konnten. Bei den abschließenden Feldtests konnte so der GLACIER-Prototyp innerhalb von fünf Wochen (zwei Wochen Aufnahme des Ist-Zustands und drei Wochen Test der Anomalie-Erkennung) quasi auf Herz und Nieren ausführlich getestet werden.

Die Projektwebseite (www.glacier-project.de) wird auch nach dem Projektende weitergeführt werden. Dort soll zukünftig ein Demonstrator präsentiert werden, der die Möglichkeit bietet eine Laborumgebung des Partners rt-solutions GmbH als Hacking-Plattform zu nutzen. Dabei handelt es sich um eine Umgebung, die ein reales Produktionsnetz darstellt, in dem sich mögliche Hacker beliebig daran versuchen können. Die dabei entstehenden Anomalien sollen durch die GLACIER-Architektur erkannt und die Vorfälle verständlich beschrieben werden. Der Demonstrator wird auf unbestimmte Zeit online gestellt bleiben, um auch nach Projektende neue Erkenntnisse über Anomalien gewinnen zu können. Ebenfalls werden auf der Webseite alle Veröffentlichungen aufgelistet, die vor und während des Projektes zum Thema IT-Sicherheit von den Partnern entstanden sind. Ein späteres Produkt soll dann aber erst auf einer entsprechenden Produktseite zukünftig beschrieben werden.

Die Feldtest-Ergebnisse wurden bei dem Abschlusstreffen am ausführlichsten diskutiert, da sie Auskunft über die Effektivität der neu entwickelten Anomalie-Erkennung der Hochschule Hannover gaben. Im Testzeitraum konnten so einige tausend Vorfälle registriert und 284 Millionen Logs aufgenommen werden. Die Testziele konnten dabei alle erreicht werden, da die eingesetzte Appliance ausreichend leistungsstark, stabil und skalierbar war. Die von der DECOIT^® GmbH weiterentwickelte SIEM-GUI konnte weiter verbessert werden und wurde innerhalb des Projektes auf eine ganz andere Programmiersprache umgestellt. Nun lassen sich auch Graphen und Statistiken nach Bedarf verändern oder verschieben. Die zusätzlich entwickelte Management-GUI ist zur Installation und Einrichtung ebenfalls von der DECOIT^® GmbH erfolgreich entwickelt worden und basiert auf der neuen Architektur. Das Training der Analyse-Engine der Hochschule Hannover war ebenfalls erfolgreich, dauerte aber aufgrund der Datenmenge noch zu lange. Hier gibt es Verbesserungsbedarf, wie auch beim RAM-Speicherverbrauch. Für eine protypische Realisierung war der Test allerdings bereits sehr effektiv. Nun gilt es im nächsten Schritt nach Projektende die verbesserungswürdigen Punkte zu finalisieren, um eine erfolgreiche Verwertung anzustreben.

Die Hochschule Hannover war daher ebenfalls sehr zufrieden mit ihren erreichten Projektzielen. Scheiterten verschiedene Vorprojekte immer noch an der Entwicklung einer KI-basierten Anomalie-Erkennung, konnte dies durch die Hochschule zum ersten Mal erfolgreich umgesetzt werden. Dabei stellte sie fest, dass gute Trainingsdaten essentiell sind, um Anomalien effektiv erkennen zu können. Der Algorithmus ist dabei weniger entscheidend! Beim Praxistest konnte man feststellen, dass nahezu 100 % der Vorfälle gefunden werden konnten und dabei fast keine „False Positives“ enthalten waren. Denial-of-Service-Attacken ließen sich sehr gut erkennen, während die Sicherheitslücke Heartbleed weniger gut erkannt wurde. Das lag aber nicht nur am Algorithmus, da auch andere Machine-Learning-Verfahren Probleme damit haben. Durch die Feedback-Instanz in der GLACIER-Architektur wird aber der Algorithmus mit der Zeit intelligenter, weil der Benutzer mit seiner Rückmeldung die Anomalie-Erkennung weiter trainiert. Daher müsste man zukünftig den Test auf eine wesentlich längere Zeitspanne ausdehnen. Anomalien konnten von der Hochschule Hannover auch neuerdings visualisiert werden. Dieses Proof-of-Concept wurde allerdings nicht in die SIEM-GUI eingearbeitet, bleibt aber für die Zukunft interessant.

Der Industriepartner rt-solutions GmbH stellte seine abschließende Laborumgebung noch einmal dar, die darauf ausgerichtet ist nach Belieben „zerstört“ zu werden. Der Partner war auch im Projekt für die Entwicklung eines Component-Controllers zuständig, der in die GLACIER-Architektur integriert werden konnte. Er kann über die Management-GUI mit angesprochen werden. Das Hacking-Labor soll zur Generierung von Log-Beispielen und zum Trainieren der SIEM-Lösung verwendet werden. Auch möchte rt-solutions es für echtes Pentesting nutzen – also für Schulung und Training von zukünftigen Pentestern. Produkttests lassen sich damit ebenfalls durchführen, um das Kommunikationsverhalten zu analysieren und Schwachstellen zu erkennen.

Abschließend konnte festgestellt werden, dass fast alle Ziele des Projektes erreicht werden konnten. Während sich die DECOIT^® GmbH darauf konzentrieren wird den Prototyp in die bestehenden SIEM-Produkte zu überführen, wird die rt-solutions GmbH sich auf Trainings und Schulungen konzentrieren. Somit ist auch eine Verwertungsstrategie im letzten Treffen festgelegt worden. Die Hochschule Hannover wird ihre Erkenntnisse in das nächste Forschungsprojekt einbringen, wodurch auch die Weiterentwicklung des Anomalie-Algorithmus sichergestellt ist.