Das fünfte SecDER-Konsortialtreffen fand in kompletter Präsenz am 28.03.2023 in Bremen bei der DECOIT^® statt. Dabei stand auf der Tagesordnung, dass die Projektleitung den Status des Projektes präsentiert, die jeweiligen AP-Leiter über ihre aktuellen und zukünftigen Arbeiten berichten und erste Abstimmungen für die geplanten Feldtests erfolgen. Nachmittags wurde dann noch über den aktuellen Stand der Bedrohungslage sowie NIST SP 800-160v2- und TCG CyRes-Spezifikation informiert, die weitere Sicherheitsanforderungen für Betreiber und Unternehmen zukünftig vorsehen. Die Projektpartner arbeiten an einem Störfallinformationssystem für virtuelle Kraftwerke.

Beim Start des Projektmeetings ging Fraunhofer IEE der Frage nach, ob die Themenstellung von SecDER momentan noch relevant ist. Beispiele verschiedener Hackerangriffe auf prominente Unternehmen wurden präsentiert, die eine hohe Relevanz erkennen lassen. Das Thema ist daher aktueller denn je. Zudem wurde das Sicherheitsgesetz 2.0 (SiG2.0) verabschiedet und ist ab Mai dieses Jahres gültig. Diverse EU-Richtlinien werden darin zur Anwendung gebracht und müssen von Betreibern kritischer Infrastrukturen eingehalten werden. Für viele Energienetzbetreiber ist dies eine Mammutaufgabe, der sie sich früh genug stellen mussten, um alle BSI-Empfehlungen erreichen zu können.

Die Partner Hochschule Hannover, Fraunhofer IEE, Fraunhofer SIT und Enertrag stellten im nächsten Abschnitt ihre bisherigen Arbeiten vor. In SecDER wurden inzwischen verschiedene Erkennungsmethoden zur Klassifizierung von Anomalien untersucht. Dies beinhaltete auch die Möglichkeit zur Anpassung von Anomalie-Erkennungsmethoden, die für virtuelle Kraftwerke in Frage kommen. Bei den Untersuchungsergebnissen kam u. a. heraus, dass APT-Bedrohungen (Advanced Persistent Threat – APT), also Angriffe über einen längeren Zeitraum über verschiedene IT-Systeme, noch kaum von SIEM-Systemen erkannt werden und dementsprechend wenig umgesetzt ist. Auch Feedback-Schleifen, um die Analysen anzupassen, fehlen. Hier will die Hochschule Hannover Verbesserungen bewirken, indem grafische neurale Netzwerke verwendet werden, die Netzwerkstrukturen und -kommunikation in Graphen abbilden, um so Anomalien gezielter erkennen zu können. Die Entwicklung der Anomalie-Erkennungsmethoden zur Erkennung von Attacken, die dafür notwendige Aggregation von Daten sowie der Transfer der Daten in ein definiertes Datenformat ist allerdings noch nicht abgeschlossen. In jedem Fall nimmt die Datenmenge stark zu, wenn APTs erkannt werden sollen, was durch den Graphen-Ansatz stark reduziert werden könnte, ohne die Erkennungsrate von Attacken zu verschlechtern. Daher soll dieser Ansatz weiterverfolgt werden.

Die DECOIT^® GmbH & Co. KG präsentierte die Ergebnisse ihrer XDR-Untersuchung (eXtended Detection and Response). XDR ist der neuste Hersteller-Versuch, die Erkennung von Bedrohungen und die Reaktionszeiten zu verbessern. Der XDR-Ansatz wurde 2018 entwickelt und hat 2020 an Bedeutung gewonnen. XDR zentralisiert und normalisiert Daten aus allen verbundenen Quellen, einschließlich den Anwendern, dem Netzwerk und dem Ort, an dem sich die Daten und Anwendungen befinden. Das Ziel von XDR ist es, alle Sicherheitsdaten und -warnungen zu korrelieren und eine zentralisierte Erkennungs- und Reaktionsfunktion für Vorfälle mit umfassender Überwachung der gesamten Angriffsfläche bereitzustellen. Im Open-Source-Umfeld hat sich Wazuh diesen Ansatz zu Nutze gemacht. Diese Lösung wurde in echter Umgebung analysiert und die Ergebnisse dargestellt. So werden auch durch Wazuh noch zu viele Alarme und vor allem False Positives generiert, die ohne ein ausreichendes Finetuning nicht in den Griff zu bekommen sind. Außerdem sind noch zu geringe Korrelationen verschiedener Alarme möglich und das fehlende Common-Format ist schwierig zu normalisieren. Die DECOIT^® wird hier aber weiter dranbleiben und ggf. einige positive Aspekte davon in das Störfallinformationssystem (SIS) integrieren.

Das SecDER-Projekt geht in sein letztes Jahr und dementsprechend müssen nun die Feldtests bei den beteiligten Energieversorgern Enertrag und ANE geplant und durchgeführt werden. Bei beiden Partnern laufen dementsprechend die Vorbereitungen an. Hierbei sind insbesondere die DECOIT^® und Fraunhofer IEE gefordert. Letzterer Partner ist dabei ein sog. Health Dashboard zu entwickeln, um Fehlerzustände auf einen Blick erkennbar zu machen. KPI-Monitoring und Detailsichten sollen ebenfalls ermöglicht werden. Die Anforderungen werden stark mit ANE abgestimmt, um die Anforderungen von virtuellen Kraftwerken ausreichend berücksichtigen zu können. Unabhängig davon beschäftigt sich Enertrag gerade mit entsprechenden Use Cases um ein SIEM-System einführen zu können. Dabei spielt die daraus resultierende Datenmenge eine wichtige Rolle. Daher wurden die Randbedingungen für die zukünftigen Feldtests intensiv diskutiert.

Abschließend wurden die neuen NIS 2 Cyber-Security-Richtlinien von Fraunhofer SIT präsentiert. Ziel dieser Richtlinien ist es, die Sicherheit von Netz-/Informationssystemen zu erhöhen. Eine Meldepflicht für KRITIS-Betreiber wird es ab Mai 2023 geben. Zusätzlich wird aber bereits an dem Sicherheitsgesetz 3.0 (SiG3.0) gearbeitet, dass die Anforderungen weiter hochschraubt. So sind dann auch Unternehmen ab 50 Mitarbeiter und einem Mindestumsatz von 10 Mio. Euro in der Pflicht SIEM-Systeme o. ä. einzuführen. Lieferketten müssen zudem transparenter aufgeschlüsselt werden.

Aktuell haben KRITIS-Betreiber noch alle Hände damit zu tun die Anforderungen an SiG2.0 umzusetzen, bei dem der physische Schutz von KRITIS-Infrastrukturen im Vordergrund steht. KRITIS-Betreiber müssen dafür alle vier Jahre eine Risikobewertung durchführen. Die Einführung eines zentralen Störungsmonitorings für einen Gesamtüberblick wird Vorgabe. Und genau dafür wurde das SecDER-Projekt vor zwei Jahren ins Leben gerufen – man ist daher an den aktuellen Fragestellungen dran. Weitere Informationen über das Projekt sind zu finden unter: secder-project.de