Mitte Juli trafen sich nach längerer Corona-Abstinenz die Partner des SEC-I4.0-Projekts zum ersten Mal persönlich wieder, um sich über den Projektfortschritt auszutauschen. Die Zielsetzung und Arbeitspakete des Projektes konnten dadurch geschärft werden. Das Treffen fand bei einem assoziierten Partner von SEC-I4.0 statt, der ebenfalls Interesse an den Ergebnissen besitzt. Im Zeichen von Corona natürlich mit Abstand und Mundschutz. So wurden die ersten AP-Arbeiten reflektiert und die abgeschlossenen Aufgaben präsentiert. Das Projekt liegt trotz Corona dabei komplett im Zeitplan, da man sich mit Telefon- und Videokonferenzen über die fehlenden Präsenztreffen hinwegtrösten konnte.

Zielsetzung des SEC-I4.0-Projekts ist es in Industrienetzen eine intelligente Anomalie-Erkennung zu integrieren, um dadurch schneller und vor allem kontinuierlich auf IT-Sicherheitslücken aufmerksam gemacht zu werden. Zusätzlich wurde die Simulation von Industrie-Umgebungen eingeplant, die die Implementierung neuer Systeme und Leistungsmerkmale ohne Verfügbarkeitsverlust ermöglichen soll. Hinzu kommt, dass der SIEM-Ansatz auf Industrie-Umgebungen heruntergebrochen werden soll, um Schwachstellen aufzunehmen, zu analysieren und zu alarmieren. In dem Arbeitspaket AP1 wurde daher u.a. eine Bedrohungsanalyse durchgeführt, die als schlimmsten Angriff das Einschleusen von Schadsoftware aufführte. Insgesamt kam man zu dem Schluss, dass immer mehr automatisierte Software-Prozesse für Angriffe verwendet werden. Und ebenfalls nicht unwichtig: Industrienetze bleiben bei solchen Angriffen nicht mehr außen vor.

Ein wichtiges AP2-Ergebnis war hingegen die Entwicklung der ersten High-Level-Architektur für die angestrebte SIEM-Plattform, welches federführend durch die DECOIT® GmbH vorgenommen wurde. Darin kommt das IRMA-Monitoringsystem von Achtwerk als Sensor zum Einsatz, indem es mittels REST-API-Schnittstelle an die SIEM-Plattform angebunden werden soll. In der übergeordneten SIEM-Plattform sollen zukünftig die Daten gesammelt, korreliert, angereichert und auf Anomalien untersucht werden. Die REST-API soll hingegen das Abrufen von Alarmen, Assets und Verbindungen ermöglichen. Hier befindet man sich gerade in der Entwicklungsphase.

Zur Simulation der Industrieumgebung baut die Hochschule Bremen gerade eine Referenzarchitektur auf Basis von KVM und GNS3 auf. Angriffe auf die Virtualisierungsumgebung sind zukünftig geplant, um das Sicherheitsniveau vorab testen zu können. Dazu wird man verschiedene Open-Source-Tools verwenden, die aktuell gerade evaluiert werden. In die Virtualisierungsplattform sind verschiedene Szenarien implementiert worden, so dass sich unterschiedliche Industrieumgebungen abbilden lassen.

Insgesamt liegt das Projekt gut im Zeitplan, da auch echte Vorgaben eines KRITIS-Betreibers mit einbezogen werden konnten und die Entwicklung Unterstützung durch ein weiteres Forschungsvorhaben erhält. Auch die Corona-Zeit konnte dem Projekt nichts anhaben, da weiterhin kontinuierlich Absprachen mittels Telefonkonferenzen oder Videokonferenzen durchgeführt wurden. Ein Feldtest ist für Anfang des kommenden Jahres geplant, um erste Testergebnisse zu erhalten und diese in die Entwicklung einfließen zu lassen. Das Konsortium befindet sich daher auf einem guten Wege alle Vorgaben des Projektträgers zu erfüllen, weshalb man dem geplanten Zwischenbericht im September gelassen entgegensieht.