Pressemitteilungen Rhebo

News

Wie sinnvoll ist KI im OT-Sicherheitsmonitoring?

Künstliche Intelligenz scheint in der heutigen Zeit als Allheilsbringer gehandelt zu werden – von der morgigen Einkaufsliste bis zum Weltfrieden. Auch Anbieter von Cybersicherheitslösungen proklamieren zunehmend Künstliche Intelligenz (KI) in ihren Lösungen zu verwenden, um fortschrittlich und state-of-the-art zu wirken. Rhebo verzichtet bislang ganz bewusst auf KI in seinen Lösungen. Wir erklären warum.

In der Technologiewelt geht nichts mehr ohne KI, so scheint es. Auch in der OT-Sicherheit existieren längst Angebote und (nicht sehr transparente) Lösungen. Dabei gibt es bislang ausschließlich Werbeversprechen, Hypothesen und oberflächliche Argumente. Beweise gibt es keine.

Um zu klären, ob KI die OT-Sicherheit verbessert, sollten Unternehmen sich (und den Anbietern) drei Fragen stellen:

  • Welche Risiken birgt KI für die Stabilität und Verfügbarkeit meiner industriellen Prozesse sowie den Arbeitsschutz?
  • Ist das überhaupt KI, was da zur Anwendung kommt? Oder wird da ein einfacher Apfel als teure Birne angeboten?
  • Welchen Mehrwert hat KI in der OT-Sicherheit gegenüber anderen Lösungsansätzen?

1. Nicht alles, wo KI draufsteht, ist auch künstliche Intelligenz drin

KI wird häufig für alle Softwarelösungen genannt, die einen gewissen Grad an Automatisierung ermöglichen. Dabei ist zweifelhaft, ob die Lösungen wirklich “intelligent” sind, oder nicht “einfach” mit definierten Algorithmen arbeiten, die auf statistischen und heuristischen Methoden beruhen. Wenn also ein Cybersicherheitssystem verschiedene Anomalien erkennt, diese zusammenfassend als Netzwerkscan deklariert und nachfolgend gegebenenfalls noch eine Erklärung dazu anzeigt, wirkt das – von außen betrachtet – intelligent, kann aber komplett über definierte Algorithmen erzeugt werden.

Fragen Sie Anbieter von KI-getriebenen OT-Cybersicherheitslösungen, was genau das KI in der Lösung ist und wie diese funktioniert.

2. Braucht es KI überhaupt in der OT-Sicherheit?

Die Effektivität und Effizienz von KI in der OT-Sicherheit sind tatsächlich noch nicht abschließend geklärt. Das vom Bundesministerium für Bildung und Forschung unterstützte Forschungsprojekt “Hybrid AI Intrusion Prevention for Industrial Control Systems” (HAIP)1 erforschte zwischen 2020 und 2023 den Mehrwert von KI für die Anomalieerkennung in industriellen Umgebungen. Das Forschungsteam kam in ihrem Abschlussbericht zwar zu dem Ergebnis, dass KI die Anomalieerkennung und –bewertung durchaus unterstützen kann. Jedoch lag die Performance und Genauigkeit gleichauf mit und teilweise unter anderen Methoden wie Heuristik, Statistik und Algorithmen, die durch ein Expert:innenteam definiert wurden. 

Das Ergebnis ist nicht verwunderlich für OT-Netzwerke: Die wichtigsten Anomalien sind bereits über statistische und heuristische Methoden zuverlässig identifizierbar, da die OT-Kommunikation deterministisch und repetitiv ist. Außerdem fehlt OT-Netzen in der Regel das Datenvolumen und die Datenvariabilität, die KI braucht, um trainiert zu werden und um einen Mehrwert durch komplexere Analysen zu bieten. 

Das OT-Monitoring mit integrierter Anomalie- und Angriffserkennung von Rhebo Industrial Protector nutzt deshalb: 

  • Heuristische Methoden 
  • Statistische Methoden 
  • Algorithmen basierend auf den Tactics, Techniques & Procedures (TTPs) des Mitre Att&ck Frameworks für Enterprise und ICS 
  • Algorithmen basierend auf über zehn Jahren Expertise in der Analyse von Cybervorfällen und OT-Netzwerken. 

Wie das SANS Institut in einem aktuellen Beitrag anmerkt: “Es gibt möglicherweise Aufgaben mit höherer Priorität innerhalb der Entwicklung und der ICS-Sicherheit, die eine höhere Investitionsrendite als die Einführung von KI zum jetzigen Zeitpunkt bieten würden”.2 

KI kann jedoch im zweiten Schritt – der Integration von OT-Sicherheit in die IT-Sicherheit über ein Security Information & Event Management (SIEM) System - dabei unterstützen, Anomalien besser einzuordnen. Im SIEM werden die Logs und Eventberichte der einzelnen Cybersicherheitskomponenten (Firewalls, Virenscanner, Autorisierungsmechanismen, Anomalieerkennung) zusammengeführt und automatisiert ausgewertet. Erst an dieser Stelle schaffen komplexe Analysen durch KI einen Mehrwert. 

Rhebo Industrial Protector bietet hierfür eine Schnittstelle, um OT-Events an SIEM-Systeme zu übertragen: 

  • per verschlüsseltem Syslog, 
  • im Industriestandard-Format CEF, 
  • als algorithmisch vorqualifizierte Sicherheitsevents (u.a. direkt als TTPs nach den Mitre Att&ck Frameworks). 

3.1 Die Risiken von KI in der OT berücksichtigen

Die sichtbarste Form von KI sind derzeit Produkte wie ChatGPT, Gemma und Mistral. Sie sind aufgrund ihrer öffentlichen Nutzbarkeit auch die (einzigen) KI-Produkte, die bislang am besten unabhängig evaluiert werden können. Deshalb sollten die Ergebnisse einer Studie durch ein Apple Forschungsteam bei der Risikoanalyse von KI unbedingt berücksichtigt werden.3 

Das Team untersuchte die Fähigkeiten der KI-Systeme, tatsächlich logisch zu denken und Ableitungen zu erstellen. Das sogenannte Reasoning funktionierte bei den meisten der getesteten Systeme noch sehr gut, solange die Aufgabenstellungen sich stark mit den Trainingsdaten deckten. Als die Forschenden begannen, die Aufgabenstellungen um Informationen zu erweitern, die keinerlei Einfluss auf das Ergebnis haben, stiegen die falschen Ergebnisse rasch an.4 Die KI-Systeme konnten also leicht abgelenkt und auf falsche Fährten gesetzt werden – von den vielen Anekdoten, in denen ChatGPT und Co. halluzinierten bzw. schlichtweg Falschaussagen getätigt haben, ganz abgesehen.  

In der OT-Sicherheit können diese Schwächen dazu führen, dass die Zahl der falsch-positiven Meldungen in der Angriffserkennung steigt, während echte Angriffe durch Verschleierung und Ablenkung nicht erkannt werden. Das kann nicht nur die Prozesse gefährden, sondern auch die Menschen, die an den Anlagen arbeiten. 

3.1. KI fehlt die Transparenz 

Hinzu kommt, dass gewerbliche KI-Produkte in der Regel unter dem Deckmantel des Geschäftsgeheimnisses nicht nachvollziehbar sind. Wenn die KI etwas entscheidet, wissen die Nutzenden nicht, wie die KI zu diesem Ergebnis gekommen ist. Im Bereich der Cybersicherheit und erst recht im Bereich der OT-Sicherheit, wo Arbeitsschutz, Stabilität und Verfügbarkeit im Vordergrund stehen, ist eine Blackbox-KI tatsächlich ein No-Go. Ohne Transparenz der KI-Funktionsweise – ohne explainable AI - erhalten die Unternehmen verschleierte Cybersicherheit in einer ohnehin als Black Box geführten OT. 

Rhebo Industrial Protector ist dagegen als völlig transparentes Werkzeug konzipiert, bei dem die Verantwortlichen im jeweiligen Unternehmen die Oberhand behalten: 

  • Jede Anomalie wird mit allen Details inklusive der pcaps für die Bewertung geloggt. Dadurch liegen alle Informationen für eine forensische Analyse und das Reporting an die Behörden vor. 
  • Jede Anomalie wird durch einen Risiko-Score vorbewertet. Die Scores können bei Bedarf durch die Verantwortlichen angepasst werden. 
  • Jede unklare Anomalie kann auf einer separaten Monitoring-Liste gespeichert werden. Taucht diese Anomalie noch einmal auf, wird das erneute Auftreten im Kontext der früheren Meldungen präsentiert. Dadurch können die Verantwortlichen Zusammenhänge nachvollziehen und besser Entscheidungen treffen. 
  • Jede Anomalie kann vom Verantwortlichen selbstständig und per Knopfdruck als legitime Kommunikation deklariert und zur Baseline hinzugefügt werden. Das System zur Angriffserkennung lernt dadurch nachvollziehbar mit, ohne dass Unklarheiten bei der Entscheidungsfindung entstehen. 

Schließlich geht es bei OT-Sicherheit vor allen Dingen um OT-Sichtbarkeit und Transparenz. Eine weitere Blackbox schafft da nur mehr Unklarheit, als alles andere.