Effiziente Datenaggregation
Die Aufzeichnung, Übertragung und Speicherung der Netzwerkdaten von verschiedenen Standorten resultiert in einem sehr hohen Datenaufkommen, das bestehende Systeme an ihre Grenzen bringen kann. Wenn die Daten nicht gut geschützt sind, können sie zudem zu einer Schwachstelle werden. Es werden daher Methoden für einen effizienten und sicheren Umgang mit der Datenaggregation benötigt.
Für die Industrie 4.0 ist die steigende Vernetzung von Produktionsanlagen ein Hauptmerkmal. Diese stellt in den neuen Geschäftsmodellen oftmals wesentliche Funktionen zur Verfügung, so dass die Sicherheit dieser Netze von großer Bedeutung ist.
Netzwerkmitschnitte sind für eine Vielzahl von IT-Sicherheitslösungen, wie der Identifikation von schadhaften Mustern oder dem Training von Angriffserkennungssystemen, unabdingbar. Während das Monitoring von Unternehmensnetzwerken bereits weit verbreitet ist, wird eine gleichsam umfassende Überwachung der industriellen Produktionsnetzwerke bislang nur selten umgesetzt. Häufig stehen dieser Bedenken zu geringer Bandbreite, vertraulicher Produktionsdaten und sensibler Legacy-Komponenten gegenüber.
Da für eine sinnvolle Weiterverarbeitung häufig die Daten mehrerer Netzwerke gleichzeitig aufgezeichnet werden müssen, erfordert dies ein sehr zuverlässiges und effizientes Aufzeichnungssystem und -netzwerk. Zudem beinhalten die Netzwerkdaten sämtliche Steuerungsparameter, die in den Produktionssystemen benötigt werden, und bilden damit wesentliche Teile des Unternehmensknowhows ab.
Bei einer Aufzeichnung und Weiterleitung dieser Daten ist daher eine vertrauliche Kommunikation unumgänglich. Nicht zuletzt muss bei der Implementierung eines Aufzeichnungssystems beachtet werden, dass einige beteiligte Komponenten oft nicht über die nötigen technischen Rahmenbedingungen verfügen und nicht einfach ausgetauscht werden können.
Um diese Herausforderungen zu adressieren, wurden im Rahmen des IUNO-Projektes Methoden für eine störungsfreie Aufzeichnung, Komprimierung und Weiterleitung von industriellen Netzwerkpaketen entwickelt.
Für verschiedene Netzwerkarchitekturen stehen mehrere Aufzeichnungsmöglichkeiten zur Verfügung. Im einfachsten Fall werden passive Netzwerk-Zugriffslösungen zwischen die zu überwachenden Netzwerkteilnehmer eingebracht. Während beispielsweise Netzwerk-TAPs (Test Access Points) nahezu überall verwendet werden können, ermöglichen Monitoring-Ports, die an vielen industriellen Routern und Switches vorhanden sind, das Mitschneiden ganzer Netzwerkabschnitte.
Für virtualisierte Komponenten kommen zusätzlich Softwarelösungen auf den Hostsystemen in Frage. In diesem Fall kann über virtuelle Netzwerkschnittstellen oder Hypervisor-Module der Datenverkehr aufgezeichnet werden.
Da ein großer Teil des industriellen Netzwerkverkehrs aus Statusberichten, die sich nur selten ändern, und sich wiederholenden Abläufen besteht, können pro Verbindung wiederholt vorkommende Byte-Sequenzen durch kleinere Platzhalter ersetzt werden. Ohne eine Anlernphase zu benötigen, bilden die beteiligten Geräte hierbei für jede Verbindung ein Nachschlagewerk von kurzen IDs zu den ursprünglichen Byte Sequenzen. Wiederholen sich später die Byte Sequenzen können statt der eigentlichen Nachricht nun nur noch die entsprechenden, kurzen IDs übertragen werden.
Das Nachschlagewerk wächst somit mit der Zeit und erfordert ebenso eine effiziente Speicherung. Hierfür können sich gegenseitig überlappende Sequenzen ausgenutzt werden, um den Speicherbedarf um mehrere Größenordnungen zu reduzieren. Das gesamte Datenaufkommen wird dadurch erheblich reduziert und erlaubt die Aggregation mehrerer ausgelasteter Netzwerke, ohne dabei die Anforderungen an die Aufzeichnungssysteme und das zugehörige Netzwerk zu sprengen.
Gleichzeitig wird durch die Substitution von Teilen der Netzwerkpakete die übertragene Nachricht verschleiert. Ein potentieller Angreifer sieht nur noch die kurzen übertragenen IDs, deren Bedeutung ohne das Nachschlagewerk nicht nachvollziehbar ist. Für einen effektiven Schutz der Unternehmensdaten sollte dennoch eine Übertragung über einen geschützten Kommunikationskanal, wie zum Beispiel TLS, bevorzugt werden.
Da das Nachschlagewerk im laufenden Betrieb gebildet wird, kann ein Angreifer dieses andernfalls ebenso mit erlernen und wäre anschließend im Stande die gesamte Kommunikation zu verstehen.
Experimente mit einer prototypischen Implementierung im Rahmen des Projektes auf selbst-generierten sowie öffentlich frei verfügbaren Datensätzen haben gezeigt, dass die Methode speziell in industriellen Netzen eine Datenreduktion auf nahezu ein Drittel der ursprünglichen Menge erreichen kann.