SRAG: Security Retrieval Augmented Generation-basierte KI-Assistenz für den Umgang mit Security Advisories für die Automatisierungstechnik

Der Cyber Resilience Act der Europäischen Union erfordert hohe Sicherheitsanforderungen für kritische Infrastrukturen und Industriezweige wie bspw. die Energie- und Wasserversorgung oder den Maschinen- und Anlagenbau. Diese kritischen Bereiche sind i.d.R. hoch automatisiert und somit auf Automatisierungstechnik angewiesen, deren Schutz vor Cyberangriffen daher von zentraler Bedeutung ist. Komponentenhersteller und Anlagenbetreiber überprüfen daher regelmäßig durch Abgleich mit Schwachstellendatenbanken wie z.B. die des VDE (CERT@VDE) ihre Produkte auf bekannte Schwachstellen, z.B. in den verwendeten Softwarebibliotheken. Bei Entdeckung werden Sicherheitswarnungen (Security Advisories) für die entsprechenden Komponenten erstellt und in einem maschinenlesbaren Format veröffentlicht. Die Schwachstellenidentifikation erfolgt dabei durch das Referenzier-System CVE (cve.mitre.org). Werden Schwachstellen gefunden, müssen Entscheidungen auf Grundlage einer Risikobewertung und den Handlungsempfehlungen des Security Advisories getroffen werden. Dies resultiert in der Planung von Wartungsintervallen für benötigte Updates, was zu Produktionsausfällen führt. 

Aktuelle Probleme im Zusammenspiel von Komponentenhersteller und Anlagenbetreiber liegen u.a. in der unterschiedlichen Anwendung von Standards. In der Praxis verwenden Schwachstellenbeschreibungen trotz Standardisierung nicht durchgehend einheitliche Produktbezeichnungen. Insbesondere ältere Beschreibungen sind nicht durchgehend konform. Security Advisories liegen trotz standardisierten maschinenlesbaren CSAF-Formats häufig noch im HTML-Format oder als PDF-Dateien vor. Zudem sind Handlungsempfehlungen durch Security Advisories oftmals zu unspezifisch und erlauben nur selten eine Zuordnung von Schwachstellen zu konkreten Anwendungen und Funktionen eines Anlagenbetreibers. Dadurch sind individuelle oder Branchen-basierte Handlungsanweisungen nur schwer oder gar nicht ableitbar und werden daher oftmals einfach ignoriert. Auch ein manuelles Asset-Management und der periodische Abgleich von Inventarlisten und Schwachstellendatenbanken stellt insbesondere KMU vor personelle Herausforderungen, was oft zu verspäteten oder ausbleibenden Reaktionen auf die potentielle Bedrohung führt.

KI-Assistenz und LLMs können eine geeignete Lösung für die beschriebenen Probleme liefern. Aus diesem Grund befasst sich das Verbundprojekt SRAG im Rahmen des Programms der Bundesregierung zur IT-Sicherheit „Digital. Sicher. Souverän“ mit Forschungsschwerpunkt IT-Sicherheit durch KI mit der Entwicklung eines domänen-spezifischen Lösungsansatzes für eine KI-Assistenz (Security-RAG) zur Schwachstellenbehandlung und zum Umgang mit Security Advisories im Bereich der Automatisierungstechnik. Der Lösungsansatz definiert dabei folgenden Teilziele: (i) KI-basierte Erkennung von Schwachstellen durch Entwicklung von Ansätzen zur Anreicherung großer Sprachmodelle (LLM) mit neuen Datensätzen (z.B. CVEs, SBOM, Security Advisories) mittels „Finetuning“ und Agenten-basiertem Retrieval Augmented Generation (RAG); (ii) Identifizierung von Schwachstellen in Komponenten mittels Security-RAG. (iii) KI-basierte Unterstützung von Endnutzern durch situationsbezogene und sichere Handlungsempfehlungen generiert auf Basis von Schwachstellenberichten und spezifischen Anwendungsfällen mittels LLMs und Erklärung der KI-Entscheidung mittels Shapley-Interaktionen sowie durch Interventionen im Security-RAG. 

Das Projektkonsortium besteht aus den Forschungspartnern Fraunhofer IOSB-INA sowie der TH OWL/inIT, dem VDE-Verband sowie vier weiteren Unternehmenspartnern. Das inIT ist im Projekt hauptsächlich an der Durchführung einer praxisnahen Anforderungsanalyse mit den beteiligten Industrieunternehmen in Bezug auf (teil)automatische Risikobewertungen und der prototypischen Implementierung einer Software zur Risikobewertung beteiligt.