IT-Sicherheitscluster: Erkennung von Cyber-Angriffen auf Feld Ebene
Möchte man sich gegen Cyber-Angriffe schützen, so ist es meist sinnvoll eine „Defense in depth“-Strategie zu fahren. Dies bedeutet, dass man auf möglichst allen Ebenen Sicherheitsmechanismen installiert. Die IT-Sicherheits-Forschungsgruppe der Hochschule Augsburg (HSASec), hat einen ersten Schritt getan, um klassische Sicherheitsprinzipien auch für den Schutz der industriellen Ebene verwenden zu können.
Industrieanlagen gegen Cyber-Angriffe zu Schützen ist eine große Herausforderung. Klassische Sicherheitsprinzipien wie z.B. „Defense in depth“ sind häufig nicht verwendbar, da Technologien und Mechanismen fehlen. Für die Betreiber von PROFINET-Netzwerken ist dies dennoch bald möglich, denn die HSASec hat eine Erweiterung für Snort entwickelt.
Snort ist ein Open-Source Intrusion Detection System (IDS), also ein System welches den Netzwerkverkehr analysiert und dadurch Angriffe erkennen kann. Dies geschieht, indem es Traffic auf Angriffe durchsucht. Beispielsweise kann Snort genutzt werden, um einen Pufferüberlauf oder Port Scan zu erkennen.
PROFINET ist ein in Europa sehr weit verbreitetes, auf Ethernet basierendes, Layer 2 Protokoll, das häufig innerhalb von Industrieanlagen zum Einsatz kommt. Es dient zur Kommunikation zwischen den einzelnen Anlagenbereichen, ist echtzeitfähig und ermöglicht die Integration von Feldbus-Systemen.
Durch das Projekt ist Snort in der Lage, die PROFINET-Protokolle/Kommunikation zu erkennen und bei einem Angriff, wie z.B. durch ein manipuliertes PROFINET-Paket, welches ein Angreifer nutzt um eine Schwachstelle im Kommunikationsteilnehmer auszunutzen, einen Alarm zu melden. Somit ist dieses Projekt für den sicheren Betrieb von Industrieanlagen von großer Bedeutung. Die entwickelten Resultate werden als Open Source veröffentlicht.
