Alarmkorrelation auf der Grundlage eines Risikobewertungsprozesses in Energiesystemen
- Ansprechperson:
- Projektgruppe:
- Förderung:
HGF POF IV
- Starttermin:
2021
- Endtermin:
2025
Die Ergebnisse der Risikobewertung sind von entscheidender Bedeutung, da der Prozess das Verständnis für die Quellen und die Art der Risiken verbessert. Dieses Forschungsprojekt wird sich vor allem auf die Schritte der Risikobewertung konzentrieren, d. h. auf die Erstellung des Kontexts, die Risikoidentifizierung, die Risikoanalyse und die Risikobewertung. Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM) ermöglichen die Verwaltung, Sammlung, Analyse und Korrelation einer großen Menge von Sicherheitsereignissen in einem zentralisierten System. Daher wird ein SIEM-System als effizientes und hilfreiches Werkzeug für die Prävention, Erkennung und Reaktion aufwachsende Bedrohungen in SGs bewertet. Allerdings gibt es bei SIEM-Systemen noch offene Forschungsfragen in Bezug auf die Durchführung einer Alarmkorrelation, die auf einem umfassenden Risikobewertungsprozess basiert. Darüber hinaus besteht ein Bedarf an einer weitreichenden Anpassung der Norm IEC 62351-7, die mehrere Netzwerk- und Systemmanagement-Datenobjekte (NSM) definiert, um vor allem den Zustand eines Geräts oder Netzwerks in einer realistischen IEC 61850-Umspannstation zu unterstützen. Während einige Forschungsarbeiten zur Implementierung der Alarmkorrelation mit z. B. Bayes’schen Netzwerken, ähnlichkeitsbasierter Alarmkorrelation oder Methoden, die auf der Korrelation von IP-Adressen basieren, durchgeführt wurden, besteht immer noch Bedarf an weiteren wissenschaftlichen Erkenntnissen zur Implementierung eines effektiven Alarmkorrelationsrahmens, der auf einem Risikobewertungsprozess basiert. Die Entwicklung eines wirksamen Rahmens für die Alarmkorrelation, der auf einem umfassenden Risikobewertungsprozess beruht, wird das Risikobewusstsein stärken, zum Verständnis der Risikoquellen beitragen, Ingenieure/-innen und/oder Betreibende dabei unterstützen, die Anzahl der Alarme zu verringern und die Risiken in den weiteren Schritten zu mindern. Außerdem kann es in ein SIEM-System integriert werden. Die allgemeine Darstellung des vorgeschlagenen Rahmens ist in Abbildung 1 zu sehen.
Im Rahmen dieser Forschung werden realistische Szenarien für den Normalbetrieb und mögliche Angriffsszenarien durchgeführt, um die Risikoanalyse einschließlich der Quantifizierungstechnik zu verbessern. Bei der Umsetzung dieser relevanten Szenarien werden Protokolle und Alarme von verschiedenen Geräten und Ebenen gesammelt. Die Risikobewertung kann qualitativ, quantitativ oder gemischt durchgeführt werden. Um genauere Auswertungen zu erhalten, wird im Rahmen dieses Forschungsprojekts ein hybrider Ansatz entwickelt. Die wichtigsten erwarteten Ergebnisse dieses Forschungsprojekts sind das Aufzeigen von Sicherheitsbedenken, die Untersuchung, welcher Teil des SG auf welcher Ebene gefährdet ist, die Integration von Empfehlungen aus der Norm IEC 62351-7 und schließlich die Unterstützung des Entscheidungsprozesses. Dies soll durch die Beantwortung der oben genannten Fragen und die Bewältigung der untersuchten Herausforderungen erreicht werden.