Nach über einem Jahr Laufzeit des Forschungsprojektes SecDER zur Entwicklung eines Störfallinformationssystems für virtuelle Kraftwerke fand das erste Präsenztreffen beim Konsortialführer Fraunhofer IEE in Kassel statt. Im SecDER-Projekt werden speziell angepasste Verfahren zur Erkennung und Vermeidung von Cyber-Angriffen auf die betrachteten Systeme entwickelt und diese in Kombination mit Ansätzen zur Erkennung von technischen Störungen in ein Gesamtsystem integriert. Auf der Tagesordnung stand die Vorstellung des derzeitigen Status der Arbeitspakete und zwei Workshops zur Diskussion von „Adversarial Attacks“ (gegnerischen Angriffen) und relevanten Logfiles in virtuellen Kraftwerken. Zusätzlich gab es eine kurze Besichtigung des neuen Fraunhofer-Gebäudes, welches zur Pandemiezeit fertiggestellt worden war. Die DECOIT^® GmbH stellte ihre Arbeitsergebnisse zum Störfallinformationssystem vor und nahm aktiv an der Definition relevanter Logfiles teil.

Das Projekt startete im April 2021 und hat seitdem einige Fortschritte gemacht. So wurde inzwischen seitens Fraunhofer IEE der Aufbau eines VirtualLab begonnen und die Analyse möglicher gegnerischer Angriffe gegen Windkraftwerke analysiert. Trainingsdaten wurden ebenfalls erzeugt und dem BigDataStore zur Verfügung gestellt. Die Hochschule Hannover evaluierte hingegen den Stand der Technik von IDS-, IPS- und SIEM-Systemen. Auch wurde eine typische CPS-Infrastruktur definiert und die Kombination von IT-/OT-Netzen als Schwachstelle ausgemacht. Die Möglichkeit einer Advanced Persistent Threat (APT) – also einer Attacke, die nicht sofort erkennbar ist und sich über viele Wochen und Monate hinziehen kann – wurde ebenfalls untersucht. Zur Erkennung sind allerdings viele Daten über einen längeren Zeitraum vorzuhalten, was in der Umgebung von Energieversorgern problematisch sein kann. Als nächste Aufgabe steht ein Anomalie-Erkennungsverfahren auf dem Entwicklungsprogramm, um APTs dennoch erkennbar zu machen.

Währenddessen evaluiert Fraunhofer SIT die Möglichkeit zur Erkennung von Fehlern und technischen Anomalien. Methoden für unterschiedliche Datensätze auf Basis Neuronaler Netze (NN) werden gerade analysiert. Auch Wetterdaten sollen bei Windkraftanlagen mitberücksichtigt werden. Eine erste Auswertung der vorhandenen Daten zeigte bereits Auffälligkeiten, die noch genauer betrachtet werden müssen. Trendanalysen sind bisher nur bedingt möglich.

Die DECOIT^® GmbH hat indessen an dem Störfallinformationssystem weitergearbeitet und die im Projekt entwickelte SIEM-Architektur noch einmal verbessert. So wurden Datenanalyse, Cyber Threat Intelligence (CTI) und Playbook-Datenbank eingeführt. Die Datenanalyse beinhaltet Korrelationsregeln, die in Echtzeit Daten auswerten. Zusätzlich können fortschrittliche Analysemethoden zur Modellierung des Normalverhaltens und Datenmustern zum Einsatz kommen. CTI überwacht hingegen dynamische Informationen über bösartige IP-Adressen, Botnets etc., so dass ein aktueller oder bevorstehender Angriff erkannt werden kann. Die Playbook-Datenbank unterhält eine Reihe von realistischen Cyber-Aktionen, die auf vorhergesagten und erwarteten Problemen basieren. Im Anschluss wurde das aktuelle Dashboard des Störfallinformationssystems vorgestellt.

Im Workshop Logfiles wurden abschließend die wichtigsten Logdaten festgelegt, die es zu analysieren gilt. Ziel des Workshops war es, eine priorisierte Liste an konkreten Datenpunkten zur Umsetzung der Angriffserkennung im VirtualLab sowie im Feldtest zu erhalten und mögliche Optionen für den Zugriff auf Netzdaten der ENERTRAG zu identifizieren sowie bestenfalls eine Option auswählen.

Das Konsortialtreffen war sehr produktiv, wodurch der Grundstein für die kommenden Monate gelegt werden konnte. Weitere Informationen über das Projekt sind zu finden unter: secder-project.de