Bei SecDER ist jeder Partner für dein eigenes Arbeitspaket zuständig. Dementsprechend startete die Hochschule Hannover mit dem AP2 (Verfahren zur Angriffserkennung) und stellte fest, dass es bei der Abwehr von APT-Angriffen (Advanced Persistent Threat), die komplexe und gezielte Cyberangriffe darstellen, die sich über Wochen hinziehen können, um unbemerkt in Computersysteme und Netzwerke einzudringen, noch viel zu tun gibt. Zur Erkennung entwickelte die Hochschule Hannover einen Ansatz für grafische Neuronale Netze (NN) und testete verschiedene Algorithmen (Unicorn, ShadeWatcher, ThreaTrace, Kairos). Dabei wurde u.a. festgestellt, dass sich Angriffe und Ausfälle bisher aufgrund der fehlenden Datenlage nicht unterscheiden lassen. Daher ist es noch unklar, ob die untersuchten Methoden in den Feldtests funktionieren werden. Erschwerend kommt hinzu, dass aktuell immer noch keine Daten von den Anwendungspartnern vorliegen. Wissenschaftlich konnten die AP2-Arbeiten trotzdem bereits abgeschlossen werden.

Im Arbeitspaket AP3 (Verfahren zur Ausfallerkennung) präsentierte Fraunhofer IEE ihre Arbeiten zur KPI-Trendanalyse von virtuellen Kraftwerken. KPI steht in diesem Zusammenhang für Key Performance Indicator (Schlüsselkennzahl oder Leistungskennzahl) und ist eine wichtige Komponente im Kontext der Cybersecurity und der Abwehr von APT-Angriffen. KPIs sind quantitative Messgrößen oder Kennzahlen, die verwendet werden, um die Leistung oder Effektivität bestimmter Prozesse, Maßnahmen oder Aktivitäten zu bewerten. Im Bereich der Cybersicherheit und insbesondere bei der Bewältigung von APT-Angriffen dienen KPIs dazu, die Wirksamkeit von Sicherheitsmaßnahmen zu überwachen und den Sicherheitsstatus einer Organisation zu beurteilen. Die Daten des virtuellen Kraftwerks werden im Projekt momentan alle 10 min ausgewertet, so dass sich Trends in Zeitreihen erkennen lassen. Dazu stehen zwei aggregierte Informationsquellen zur Verfügung. Auch echte Daten von dem Anwendungspartner Enertrag wurden analysiert. Eine detaillierte Analyse soll aber noch in den Feldtests erfolgen. Kritisch wurde im Treffen diskutiert, dass die Messzeitbereiche für verschiedene KPIs identisch sein müssen, da sonst keine Datenkorrelation mit anderen Systemen möglich ist.

Im Arbeitspaket AP4 (Aufbau eines Störfallinformationssystems), für das die DECOIT® zuständig ist, wurde in den letzten Wochen ein VirtualLab aufgebaut, um Angriffe und Angriffserkennung in einer abgeschirmten Umgebung testen zu können. Denn reale Angriffe lassen sich schlecht in einem Produktivnetz testen. Da strukturierte Daten der Anwendungspartner bislang fehlen, ist dies eine gute Möglichkeit, um Angriffe und Datenkorrelation testen zu können. Die Correlation Engine wurde inzwischen über die Erarbeitung einer Bachelor-Thesis abgeschlossen, muss aber noch integriert und getestet werden. Ein Test mit den Systemen von Fraunhofer IEE und der Hochschule Hannover muss noch erfolgen.

Fraunhofer SIT stellte hingegen im Arbeitspaket AP5 (Strategien zur resilienten Abwehr) ein Berechnungstool vor, welches ein Health-Dashboard beinhaltet, um den Gesundheitszustand von IT-Systemen darzustellen. Zusätzlich wurde eine Backupstrategie für ein Virtuelles Kraftwerk entwickelt. Ein Docker-Server steht für die kommenden Feldtests bereit. Wann und ob diese stattfinden ist allerdings unklar, da die dafür zuständigen Anwendungspartner Enertrag und ANE nicht anwesend waren. Abschließend wurde vor Ort das Cyber-Range-Labor von Fraunhofer besichtigt, indem Experten für Security Operation Center (SOC) ausgebildet werden, da sich dort Angriffsszenarien gut testen lassen. Ein kleines Windkraftwerk wird dort u.a. simuliert und die Teams müssen in verschiedenen Szenarien herausfinden, wie der Angreifer vorgegangen ist, um den Schaden zu minimieren.

Zusammenfassend konnte das Treffen genutzt werden, um den Projektfortschritt darzulegen und offene Punkte zu diskutieren. Der Hauptknackpunkt stellen aktuell die fehlenden Live-Daten dar, ohne die eine realistische Angriffs- und Ausfallerkennung nicht möglich ist. Daher müssen die Feldtests zeigen, ob die entwickelten Methoden Cyberattacken ausreichend erkennen lassen.