In Häfen sind heute alle Transportprozesse auf die Unterstützung von IT angewiesen. Physische Infrastrukturen sind untrennbar mit dem Funktionieren von IT-Systemen verbunden, die für interne und externe Cyber-Bedrohungen anfällig sind. Angriffe führen dazu, dass diese Systeme nicht mehr verfügbar sind oder nicht mehr funktionieren, was direkten Einfluss auf die Funktion der Geschäftsprozesse hat. Heutzutage benötigen Unternehmen nicht nur Cybersicherheitsprogramme, um sich vor Cyberbedrohungen zu schützen, sondern sie benötigen auch eine Resilienzstrategie, um die Geschäftskontinuität auch bei Cybervorfällen zu gewährleisten. Unter Cyber-Resilienz versteht man die Fähigkeit eines Unternehmens, sich effektiv auf Cyber-Vorfälle vorzubereiten, diese zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen.

Im Resilienz-Arbeitspaket des Projekts SecProPort modellieren wir ein neuartiges Resilienz-Framework, indem wir ein Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) zur Erkennung von Cyberangriffen mit Ontologien und einem Inferenzsystem kombinieren, das die Auswahl von Maßnahmen bei Cybervorfällen und Ausfällen der IT-Infrastruktur auf automatische Weise unterstützt.

Das hier vorgeschlagene Resilienz-Framework besteht aus drei Hauptteilen: Sicherheitstools, Ontologien und einem Inferenzsystem. Die Sicherheitstools des Resilienz-Frameworks sind für die Erkennung bekannter Angriffe auf der Grundlage von Angriffssignaturen zuständig. Darüber hinaus überwachen sie die IT-Systeme kontinuierlich mit verschiedenen Arten von Sensoren, um spezifische und detaillierte Informationen darüber zu sammeln, was im Netz einer Organisation passiert. Die gesammelten Daten werden dann an das SIEM gesendet, um interne oder externe Cyber-Bedrohungen zu identifizieren sowie Cyber-Angriffe und verdächtige Aktivitäten zu melden. Das eingesetzte SIEM besitzt ein Modul zur Erkennung von Angriffen, das nicht nur aus einfachen Korrelationsregeln (Korrelation von Ereignissen aus verschiedenen Ressourcen) besteht, sondern auch fortschrittlichere Techniken wie statistische Analyse, ML, DL oder Anomalieerkennung einsetzt. SIEMs mit fortschrittlichen Analyse-Engines können auch unbekannte Anomalien erkennen, wie z. B. unerwartetes Verhalten von Benutzern und IT-Komponenten.

Ontologien dienen der formalen Modellierung der Struktur von IT-Systemen und der gemeinsamen Nutzung damit verbundener Informationen und Kenntnisse unter Verwendung eines gemeinsamen Vokabulars. Die Sprache Web Ontology Language (OWL) wird verwendet, um IT-Infrastrukturen und Wissen über Cybersicherheit und Organisationsstruktur in Form von Klassen, Eigenschaften und Individuen zu beschreiben. Ein Reasoner leitet die logischen Konsequenzen (gewünschtes Wissen) aus den beschreibenden Logiken ab. Ein solcher Reasoner leitet aus gegebenen Aussagen neue Aussagen ab und erweitert so die Ontologie um diese neuen Aussagen. Für den vorgeschlagenen Rahmen sollte ein OWL-Reasoner als Inferenzmaschine verwendet werden; z. B. HermiT (2013). Die Einbindung der Ontologien und des Reasoners sind hier lediglich auf theoretischer Basis in Form von Konzepten realisiert worden.

Abbildung 1 zeigt das Resilienz-Framework eines Hafenterminals in vereinfachter Form. Alle IT-Infrastrukturen senden ihre Protokolldaten zur Speicherung und Analyse an das SIEM. Wenn das SIEM ein abnormales Ereignis oder einen spezifischen Angriff entdeckt, sendet es einen Alarm an das Inferenzsystem. Das SIEM muss dem Inferenzsystem nur zwei Informationen zur Verfügung stellen: die kompromittierte/beschädigte IT-Infrastruktur (z. B. welcher PC, Router usw.) und die Art des Angriffs/der Anomalie (z. B. Ausfall, Malware, DDoS). Anschließend sollte das Inferenzsystem 6 Schritte durchführen: (1) Der Angriff wird in die Ontologie übertragen, indem Fakten über kompromittierte oder beschädigte Infrastrukturkomponenten hinzugefügt werden. (2) Das Inferenzsystem startet einen Schlussfolgerungsprozess und leitet daraus die vollständigen Auswirkungen eines Ausfalls ab, einschließlich weiterer potenzieller Bedrohungen und betroffener Geschäftsprozesse. (3) Das Inferenzsystem liefert Vorschläge für mögliche Maßnahmen zur Behebung des Ausfalls, da Bedrohungen und Maßnahmen durch die Sicherheitsontologie miteinander verbunden sind. (4) Um die Wirksamkeit einer Maßnahme zu bewerten, wird die Maßnahme vorübergehend als Fakt zur Ontologie hinzugefügt. (5) Das Inferenzsystem führt einen weiteren Folgerungsschritt durch, um zu prüfen, ob sich die Situation verbessert hat; in diesem Fall wird die Maßnahme als Tatsache beibehalten und an das SIEM übermittelt. (6) Die Schritte 4 bis 5 werden so lange wiederholt, wie sich die Situation verbessert und keine weiteren Risiken die Geschäftsprozesse bedrohen. Das Inferenzsystem liefert Antworten auf der Grundlage seines Wissens über verfügbare Maßnahmen, IT-Infrastrukturen und Sicherheitsziele.

Das beschriebene Cyber-Resilience-Framework wird im Rahmen dieses Projekts nur theoretisch modelliert. Für eine empirische Untersuchung dieses Frameworks sind weitere Anstrengungen erforderlich, wie z. B. die genaue Kenntnis der aktuellen IT- und Sicherheitsinfrastrukturen eines Terminals oder Hafens, die Sammlung von Daten aus diesen Infrastrukturen und der Einsatz eines internen SIEM.