Gefährliche Cyberangriffe sichtbar machen
Für ihre Bewerbung um den KlarText-Preis für Wissenschaftskommunikation 2023 in der Kategorie Informatik veranschaulichte Anna-Pia Lohfink, was sie für ihre Promotion erforscht hat.
Ungesicherte Computernetzwerke in der Industrie sind eine leichte Beute für Angreifer. Auf Basis von Sensorwerten können künstliche und menschliche Intelligenz gemeinsam Angriffe erkennen. Hierzu ist die Visualisierung der Daten entscheidend, denn ein Bild sagt mehr als tausend Datenpunkte.
Plötzlich bewegt sich der Mauszeiger – von allein. Kein gutes Zeichen. Nach und nach können die Mitarbeiter in dem Verteilzentrum eines ukrainischen Stromversorgers im Jahr 2015 mitverfolgen, wie Angreifer über ihren Computer Umspannwerk für Umspannwerk vom Netz nehmen. Dann sitzen auch sie im Dunkeln. Die Angreifer haben die Notstromversorgung des Verteilzentrums gekappt. Mit ihnen sind knapp eine viertel Million Menschen im tiefsten ukrainischen Winter ohne Strom. Das alles nach einem Angriff mit der Schadsoftware „BlackEnergy”, der zeigt: Cyberangriffe sind nicht nur eine Gefahr für Computernutzer, sondern für unsere Gesellschaft.
Um Angriffe möglichst schnell zu erkennen ist eine automatische Angriffserkennung notwendig. Die angemessene Reaktion auf erkannte Unregelmäßigkeiten kann allerdings meist nicht automatisch, sondern nur von Menschen herbeigeführt werden. Hierfür müssen die Unregelmäßigkeiten effizient und unmissverständlich an Menschen kommuniziert werden: Als Datenvisualisierung.
Einen Angriff zu bemerken ist häufig eine Herausforderung. Tatsächlich war das Netzwerk der ukrainischen Verteilerzentren schon mehrere Monate vor der Attacke infiziert und wurde systematisch ausgespäht. Die mittlere Dauer bis zur Erkennung eines Angriffs auf ein Unternehmen lag 2017 bei 66 Tagen – und hier sind auch Unternehmen mit einer gesicherten IT-Infrastruktur enthalten. Industrielle Netzwerke, also die Infrastruktur zur Steuerung und Überwachung physischer Maschinen, sind traditionell weit schlechter gesichert und überwacht. Solche Netzwerke sind überall zu finden: Sie überwachen und steuern Umspannwerke, die Pumpen in Klärwerken oder die Maschinen an Produktionsstraßen. An diesen Punkten sind die Cybersicherheitsexperten oft dünn gesät, sodass deren Netzwerke leichte Beute sind.
Hat sich eine Schadsoftware in der Steuerung und Überwachung der Maschinen eingenistet, ist sie kaum noch zu entdecken, da solche Komponenten häufig nicht überwacht sind. Zum einen liegt das an den Anforderungen an diese Komponenten: Sie sind ohne Pause im Einsatz und dürfen nicht plötzlich ausfallen. Regelmäßige Aktualisierungen und Selbst-Prüfungen sind also kaum möglich. Zum anderen ist die Notwendigkeit einer Absicherung eine neue Entwicklung: Traditionell waren IT- Netzwerke und industrielle Netzwerke physisch getrennt – eine Wand ist und bleibt der beste Schutz vor Angriffen. Außerdem war ein Angriff auf solche Komponenten kompliziert wegen der individuellen Infrastruktur und besonderen Kommunikationsprotokollen. Wie das Beispiel des ukrainischen Umspannwerkes zeigt, ist dies allerdings nur eine Hürde für Angreifer, keine Garantie für Sicherheit.
Ohnehin ist heutzutage weniger spezifisches Fachwissen nötig und die räumliche Trennung meist nicht mehr gegeben: Um Aufbau, Wartbarkeit und Betrieb industrieller Anlagen zu vereinfachen, werden den industriellen Netzwerken neue Komponenten hinzugefügt, die einfacher zu programmieren sind. Die Trennung der Netzwerke vom Internet wird durchbrochen, um Daten zu sammeln und die Überwachung der Prozesse zu erleichtern. Dies ist einerseits hilfreich: So kann die Anlage in Echtzeit zentral überwacht und gesteuert werden. Andererseits ist es aber auch schädlich da Angreifern aus dem Internet ohne die entsprechenden Gegenmaßnahmen Tür und Tor geöffnet sind.
Hier setzt meine gemeinsame Forschung mit Dr. Duque Anton vom deutschen Forschungszentrum für künstliche Intelligenz in Kaiserslautern an: Wie können Angriffe auf industrielle Netzwerke schnell erkannt werden, ohne die industriellen Netzwerke zu verändern – also nur auf Basis der protokollierten Sensorwerte?
Mit Hilfe von künstlicher Intelligenz durchsuchen wir die Werte aller Sensoren im Netzwerk automatisch nach Auffälligkeiten. Im Normalbetrieb haben diese Werte oft ein periodisches Verhalten – Tanks werden bis zu einem Tiefststand geleert, dann wieder gefüllt und wieder geleert, morgens und abends steigt der Stromverbrauch, während die Stromproduktion durch Sonnenenergie mittags am höchsten ist. Solche Muster in den Werten können erkannt und genutzt werden, um unvorhergesehene Veränderungen zu detektieren. Diese automatische Anomalie-Erkennung ist entscheidend für eine schnelle Erkennung von Angriffen: Einem Menschen ist es niemals möglich, alle Daten schnell genug zu überprüfen. Allerdings weiß die künstliche Intelligenz nicht alles – ist gerade eine Komponente kaputtgegangen oder hat ein Techniker Wartungsarbeiten vorgenommen? Solche Ereignisse können von der künstlichen Intelligenz nicht von einem Angriff unterschieden werden.
Hier kommt der Kernbereich meiner Forschung ins Spiel: die Visualisierung, also die bildliche Veranschaulichung abstrakter Daten und Zusammenhänge. Während künstliche Intelligenz extrem schnell viele Daten verarbeiten und Muster abgleichen kann, so macht sie Menschen bei der Erkennung von Mustern und Zusammenhängen nichts vor. Um dieses enorme Potenzial unserer menschlichen Intelligenz optimal mit den Fähigkeiten der künstlichen Intelligenz zu verbinden, ist die verständliche Darstellung der Daten entscheidend – ein Bild sagt mehr als tausend Datenpunkte.
Ich habe ein Programm geschrieben, das die Ergebnisse der Anomalie-Erkennung auf etwa eine Million Werten von 53 Sensoren innerhalb von Sekunden visualisiert. Durch die Kombination der tatsächlichen Sensorwerte mit Ergebnissen der Anomalie-Erkennung erlaubt es meine Visualisierung, dass Menschen verdächtige Muster in den Daten überprüfen und mit ihrer Intelligenz bewerten: Hat nur jemand vergessen ein Ventil zuzudrehen oder wird die Anlage gerade angegriffen? Anschließend kann dann angemessen reagiert werden.
Indem ich die Werte jedes Sensors entlang eines Zeitstrahls farblich darstelle, der vom Anfang her zu einer Spirale aufgewickelt ist, entsteht eine Visualisierung, die es Menschen ermöglicht, wiederkehrende Muster schnell zu erkennen. Passt die Länge der Spiralwindungen zu dem wiederkehrenden Muster der dargestellten Daten, ist das Muster über alle Windungen hinweg zu sehen. Somit sind auch Veränderungen in diesem Muster deutlich zu erkennen.
Die Dicke der Spirale wird durch die Anomalie-Erkennung bestimmt: Je verdächtiger der künstlichen Intelligenz ein Wert vorkommt, desto dicker wird die Spirale an dieser Stelle, um die entsprechenden Werte zu betonen. Um verdächtige Bereiche noch deutlicher hervorzuheben, verändere ich in der Visualisierung Farbe, Bewegung und Dicke. Diese Eigenschaften der Darstellung wecken die Aufmerksamkeit des Betrachters bereits bevor sie bewusst wahrgenommen werden. So erkennt er eine Gefahr noch schneller und kann angemessen reagieren.
In einer Nutzerstudie war die Erkennung und Einschätzung von verdächtigen Mustern sehr erfolgreich. Allerdings waren sich die Probanden unsicher, wenn ihre Einschätzung sich von der automatischen Anomalie-Erkennung unterschied, sich künstliche und menschliche Intelligenz also nicht einig waren. Wem man in diesem Rahmen mehr vertraut, ist klar – dem Menschen. Insbesondere der Meinung von Cybersicherheitsexperten. Deshalb habe ich mein System mit einer zusätzlichen Unterstützung ergänzt, die dem Nutzer gespeichertes Expertenwissen zugänglich macht. In einer Datenbank sind vergangene Vorfälle mit deren Werten und Einschätzungen hinterlegt, sodass ein Benutzer aktuelle verdächtige Muster direkt in dem Spiral-Graph mit diesen Vorfällen vergleichen kann. Ergeben sich deutliche Ähnlichkeiten, ist klar: Das offen gelassene Ventil muss zugedreht werden.
Weitere Probanden und Cybersicherheitsexperten sind sich einig: Mit dieser Visualisierung ist die Überwachung industrieller Netzwerke effektiv möglich, auch wenn man kein Experte ist. Ich möchte nun mit Betreibern industrieller Anlagen zusammenarbeiten, um die Visualisierung weiterzuentwickeln. Zum Beispiel könnten die Spiral-Graphen direkt neben den entsprechenden Maschinen und Sensoren erscheinen, wenn man eine entsprechende Brille mit Display trägt.
Zwei Jahre nach dem Angriff auf das ukrainische Stromnetz wurde es erneut angegriffen. Diesmal mit der noch ausgefeilteren Schadsoftware „Industroyer”. Vieles deutet darauf hin, dass der von dem Angriff ausgelöste einstündige Stromausfall bei Kiew nur ein Test war für eine Software mit einer bisher ungekannten Schlagkraft gegen Stromnetze. Eine bessere Absicherung von industriellen Netzwerken ist also dringend notwendig, um unsere Infrastruktur zu schützen. Dies gilt auch über den Bereich der Energieversorgung hinaus. Die schnelle Erkennung von Angriffen ist ein wichtiger Teil dieser Absicherung, der mit meiner Visualisierung gelingt.
Anna-Pia Lohfink studierte Zahlentheorie und Kryptographie an der Technischen Universität Kaiserslautern. Schon im Master machte sie aber Praktika im Bereich Softwareentwicklung und Visualisierung in Pune, Indien und am CERN in der Schweiz. Anschließend promovierte sie im Bereich Visualisierung im Rahmen eines Graduiertenkollegs an der TU Kaiserslautern und am Lawrence Berkeley National Laboratory. Ihre Promotion zum Thema Visualisierung von Unsicherheiten beinhaltet verschiedene Arbeiten aus den Bereichen Cyber Security, Skalarfeld Topologie, wissensunterstützte Visualisierung und Fluss-Visualisierung. Seit Februar 2022 arbeitet Anna-Pia Lohfink als Data Scientist und hält weiterhin Vorlesungen zum Thema Visualisierung an der TU Kaiserslautern.
Richtig interessant. So eine Visualisierung hätte in unserem Unternehmen vermutlich einen Vorfall (technischer Seite , kein Cyber angriff) verhindert
Man muss gar nicht die Ukraine als Beispiel heranziehen.
Bei uns in Deutschland wurden in den Bahnhöfen die Weichen zentral in den Stellwerken gesteuert. Dazu gab es große Hebel, die alle in einer Reihe standen.
Der Wärter eines solchen Stellwerkes (in Österreich Stellwerkswärter) sah mit einem Blick ob die Weichen richtig gestellt sind. Ein Eingriff von außen ist somit nicht möglich.
Mit der Digitalisierung der Technik hat jetzt diese Aufgabe ein Monitor übernommen. Der zeigt an, wie die Weichen gestellt sind. Wenn jetzt ein technischer Defekt den Monitor ausfallen lässt, dann ist der gesamte Bahnverkehr betroffen.
Eigentlich ist die Digitalisierung eines Stellwerkes unverantwortlich.(nur nebenbei)
Das Kontrollsystem, dass einen von außen auf die Weichenstellungen verhindern soll muss also unabhängig von der bestgehenden Netzwerkelektronik sein, denn die Monitor- Ausgabe der Wichenstellungen kann ja auch schon verändert sein.
Also die Visiualisierung ist schon mal ein guter Anfang, aber erst wirklich sicher, wenn sie über ein zweites Netzwerk verfügt, dass nicht mit dem web oder einem anderen Netzwerk verbunden ist.