PROTECT - Sicherer Netzbetrieb durch Einsatz selbstlernender KI-Firewalls in Energieversorgungsunternehmen. Gesamtabschlussbericht

In PROTECT wurde ein Lern- und Testsystem zur Entwicklung einer selbstlernenden KI-Firewall für Energieversorgungsunternehmen (EVU) entwickelt und an der Infrastruktur eines Betreibers kritischer Infrastrukturen erprobt mit dem Fokus der KI-gestützten Anomalieerkennung zur Abwehr von IT-Angriffen in Geschäfts-IT (CIT) und Operative Technologie (OT). Als Trainingsgrundlage wurden Netzwerk- und Prozessdaten mittels einer Echtzeit-Co-Simulation generiert. Mit Hilfe von Explainable AI (XAI) wurden relevante Indikatoren abgeleitet, die die Nachvollziehbarkeit der Angriffserkennung erhöhen. Die selbstlernende KI-Firewall soll die IT-Sicherheit verbessern und als Schulungsplattform für Mitarbeiter und auf verschiedene IT-Infrastrukturen übertragbar sein. Die wesentlichen Ergebnisse des PROTECT Projektes sind die Entwicklung eines Gesamtkonzepts für selbstlernende KI-Firewalls in EVU, eine Plattform zur Modellierung und Simulation des Netzwerkverkehrs in der IT und OT sowie die Integration einer KI-basierten Anomalieerkennung. Durch container-basierte Netzwerksimulationen konnten realistische Bedrohungen abgebildet und Netzwerk- sowie Prozessdaten für das Training der KI-Modelle aufgezeichnet werden. Eine agentenbasierte Netzwerksimulation wurde implementiert, um typische Angriffsmethoden zu simulieren, basierend auf historischen APT-Angriffen und der MITRE ATT&CK-Matrix. Die entwickelten KI-Modelle erreichten eine hohe Genauigkeit, zum Teil mit Erkennungsraten von 99,99 % bei einer Falsch-Positiv-Rate von 0,00 %. Zudem wurde eine unüberwachte Angriffserkennung auf Paket- und Flow-Ebene realisiert, die ein F1-Maß von ca. 99 % erreichte. Ein Experten-Interface wurde auf einer modularen KI-Plattform entwickelt, um Übersichten zu Flows und Angriffswahrscheinlichkeiten bereitzustellen. Die Demonstration der KI-Lösung in einem isolierten Testsystem zeigte, dass der Explainability-Ansatz von Security-Experten als wertvolles Werkzeug für forensische Auswertungen angesehen wird.