Das BMBF-Projekt GLACIER (www.glacier-project.de), welches im April dieses Jahrs gestartet ist, hat seine Konzeptionsphase so gut wie abgeschlossen und eine Laborumgebung im Industrie-Design geschaffen, in der die ersten vier Use Cases getestet werden können. Daher traf man sich beim Projektpartner rt-solutions.de GmbH in Köln, um im dritten Konsortialtreffen die bisherigen Arbeiten, den Projektstatus und die zukünftigen Aufgaben abzustimmen.

Am Anfang des Treffens wurde der Projektstatus besprochen, der vom Konsortialführer DECOIT® GmbH vorgelegt wurde. Hierbei wurde festgestellt, dass man nun die konzeptionelle Phase bis Ende des Jahres endgültig abschließen sollte, um sich Anfang kommenden Jahres mit der Entwicklung auseinandersetzen zu können. Ein weiterer Punkt waren die anstehenden Feldtests beim assoziierten Partner hanseWasser, die für Ende November geplant sind. Hier soll in industrieller Umgebung ein erstes Aufnehmen von Daten bzw. Logs vorgenommen werden, um diese dann nach unterschiedlichen Sicherheitsgesichtspunkten auswerten zu können. Diese Tests werden federführend durch die DECOIT® GmbH vorgenommen werden, indem der bestehende Prototyp von CLEARER eingesetzt wird, der auch bereits auf der Sicherheitsmesse it-sa erfolgreich vorgestellt werden konnte. In jedem Fall wird man nun zum ersten Mal echte Daten sammeln und auswerten können, was den Anomalie-Algorithmen der Hochschule Hannover zugutekommen wird.

Die High-Level-Architektur wurde inzwischen zu Ende konzeptioniert, so dass man demnächst mit der Entwicklung starten kann. In dieser wird man verschlüsselt über einen sog. Message Broker mit den diversen Komponenten kommunizieren. Eine SIEM-GUI als Oberfläche ist ebenfalls vorgesehen, um die Vorfälle effizient und nach Wichtigkeit priorisiert anzuzeigen. Eine Duplikatsüberprüfung ist ebenfalls geplant, damit die gleichen Vorfälle nicht mehrfach aufgelistet werden. Diverse Agents sind des Weiteren vorgesehen, um Daten zu sammeln und zentral zur Verfügung stellen zu können. Länger wurde bzgl. der zentralen Datenbank diskutiert, die zukünftig eine sehr große Menge an Informationen verkraften muss. Aus dieser muss dann mittels Volltextsuche auch ein Auffinden von Anomalien ermöglicht werden, was möglichst mit geringer Verzögerung vonstattengehen sollte. Dies will man durch den Einsatz einer SQL-Datenbank erreichen. Wie sich das auf die Performance auswirken wird, muss allerdings noch getestet werden.

Inzwischen sind auch die ersten Use Cases festgelegt worden. So machte rt-solutions.de vier Vorschläge, die allesamt angenommen wurden. Zum einen wird es eine Zugangskontrolle mittels Schlüsselkarte geben. Aber auch eine funkbasierte Raum-/Klimaüberwachung, Absicherung eines industriellen WLANs zur Administration einer Automatisierungslösung und eine Produktionsanlage mit Steuerungssystem ist vorgesehen. Letztere kann durch eine Laborumgebung (siehe Abbildung) entsprechend nachgestellt werden. Das Monitoring in dieser Umgebung wird die Logdaten normalisieren und um fehlende Felder ergänzen. Anschließend werden die Logdaten um bestimmte Kontextinformationen angereichert. Währenddessen wird sich die Hochschule Bremen mit Machine-Learning-Algorithmen auseinandersetzen, die eine intelligente Analyse der gesammelten Daten ermöglich soll. Dazu wurden bisher entsprechende Frameworks analysiert und eine Bedrohungsanalyse vorgenommen, die demnächst in der Laborumgebung getestet werden können.

Insgesamt ist man bei GLACIER daher auf einem guten Weg und immer noch im Zeitplan. Die theoretische Betrachtung muss allerdings jetzt in konkrete Entwicklung umschlagen, wenn man die gesteckten Ziele des Projektes alle erreichen möchte. Dies ist Anfang kommenden Jahres entsprechend geplant.