Protect
Wie lassen sich wichtige Infrastrukturen schützen?
Das Virus hat gezeigt, wie verletzlich unsere Gesellschaft ist. Doch es gibt viel mehr Verwundbarkeiten: Bei kritischen Basisinfrastrukturen wie Energie- und Trinkwasserversorgung, Informations- und Kommunikationstechnologien oder dem Transport- und Verkehrswesen können selbst kleine Störungen zu einer Kettenreaktion und damit gravierenden Schäden führen. Da es kaum eine Chance gibt, diese Systeme vor allen denkbaren Bedrohungsszenarien zu schützen, plädiert Alexander Stolz für einen Perspektivenwechsel: »Um Resilienz, flexible Prozesse und Improvisationsvermögen zu trainieren, müssen wir ein gewisses Maß an Unsicherheit zulassen.« An die Stelle von Security by Design muss Resilience by Design treten, um auch für unvorhergesehene Situationen gewappnet zu sein.
Die Fähigkeit, sich selbst helfen zu können, macht Systeme widerstandsfähiger. Wie sich biologische Prinzipien der Selbstheilung auf vernetzte technische Systeme in der Industrie übertragen lassen, erforscht das Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM in Paderborn. Nach dem Vorbild der Natur wollen die Forschenden die Autonomie dieser Systeme durch Integration von Resilienz steigern. Dazu verpassen sie ihnen ein künstliches Immunsystem. »Unsere Forschung konzentriert sich auf die Mechanismen des adaptiven Immunsystems«, erklärt Projektleiter Michael Hillebrand. »Konkret nutzen wir sogenannte dendritische Zellen und die Gefahrentheorie für das Monitoring von autonomen Robotern oder Automatisierungsanlagen. Diese Zellen spüren Gefahren in einem System anhand von Signalmustern auf. Da in offenen, autonomen Systemen nicht alle Signale und Reaktionen explizit und a priori programmiert werden können, nutzen wir einen Algorithmus, der gefährliche Muster erkennt. Diese Signale klassifiziert er in bekannt/ungefährlich, unbekannt oder bekannt/gefährlich. Die Signale sind gekoppelt an einen Monitor, der den Gesundheitszustand der Anlage erfasst. So lernt das System quasi selbstständig online, welche Muster dazu geführt haben, dass zum Beispiel seine Leistungsfähigkeit abnimmt, und reagiert entsprechend. Diese ›Immunantwort‹ erfolgt durch sogenannte T-Zellen, die gleichzeitig lernen, welche Recovery-Operation erfolgreich war.« Auf diese Weise ließe sich auch anderen Systemen die Hilfe zur Selbsthilfe beibringen.
Auch wenn die Pandemie die meisten kritischen Infrastrukturen wenig beeinflusste: Allein sporadische Schwankungen in den Datennetzen – weil viele von zu Hause aus arbeiteten – ließen so manchen erahnen, was ein tatsächlicher Ausfall der Informations- und Kommunikationsinfrastruktur bedeuten würde. Der Sicherheit von IT-Systemen und Telekommunikationsnetzen widmen sich zahlreiche Fraunhofer-Institute. Mit Cyber-Angriffen, physischen oder kombinierten cyber-physischen Bedrohungen für aktuelle 4G/LTE-Netze und künftige 5G-Kommunikationsnetze befasst sich etwa das Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut, EMI im EU-Projekt RESISTO. Wichtig ist die Netzresilienz besonders im Hinblick auf das Internet der Dinge, autonome Mobilität und den weiteren Digitalausbau. In einem standardisierten Prozess identifiziert und bewertet das Expertenteam kritische Punkte und potenzielle Gegenmaßnahmen anhand einer Simulation des Kommunikationsnetzes. Zudem stellen sie den Netzbetreibern Anwendungen als Entscheidungshilfe in einer Benutzeroberfläche zusammen.
Resiliente IT-Strukturen
Einen Resilienzcheck für IT-Strukturen bietet das Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS in St. Augustin an: »Dabei geht es um mehr als nur die Sicherheit von IT-Systemen«, betont Kai Pervölz, Geschäftsfeldleiter Präventive Sicherheit. »Mit einer Cyber-Resilienz-Strategie helfen wir Organisationen dabei, vorbereitet zu sein, um im Fall eines Cyberangriffs weiterhin handlungsfähig zu bleiben.« Dazu analysiert Pervölz‘ Team in einem 360-Grad-Check nicht nur die IT-Architektur und getroffene Sicherheitsmaßnahmen, sondern auch Organisationsstrukturen, Prozesse und die Auswirkungen auf die Wertschöpfungskette. Daraufhin entwickelt es sowohl technische als auch organisatorische Maßnahmen, die von Notfallplänen über Sicherheitskonzepte für kritische Informationswerte und Geschäftsprozesse bis hin zu Kommunikationskonzepten für mehr Awareness in der gesamten Organisation reichen. Denn der Faktor Mensch spielt in resilienten Systemen eine wesentliche Rolle.