Cyberangriffe gehören heute zu den größten Bedrohungen für Unternehmen. Im Durchschnitt werden laut Statista pro Tag 250.000 neue Schadprogramm-Varianten registriert. Besonders beunruhigend ist, dass auch technologisch gut aufgestellte Industrieunternehmen verwundbar sind. Angreifer_innen verschaffen sich beispielsweise Zugang zu sensiblen Daten oder stören gezielt Abläufe von Produktionen, um Unternehmen mit Ransomware zu erpressen. Haben die Cyberkriminellen Erfolg, sind die wirtschaftlichen Folgen mitunter gravierend. In der deutschen Wirtschaft liegt die Schadenssumme durch Cyberangriffe im Jahr 2024 bei einem Rekordwert von über 266 Milliarden Euro*. Daher muss die Verteidigung dagegen schnell, intelligent und anpassungsfähig sein.

SIREN schlägt Alarm

Bernhard Brenner ist TUW-Dissertant am Institute of Telecommunications der Fakultät für Elektrotechnik und Informationstechnik. In seiner Doktorarbeit verbindet er theoretische Informatik mit betrieblicher Praxis. Er hat eine Sicherheitssoftware mit dem sprechenden Namen SIREN im Rahmen des #SafeSecLab von TÜV AUSTRIA und TU Wien entwickelt. SIREN – Search for IRregular Events in your Network – ist eine besondere Software, denn sie erkennt sowohl bekannte Angriffsformen, aber auch bisher unbekannte Bedrohungen in Echtzeit. Worin liegt nun der Unterschied zu herkömmlichen Intrusion-Detection-Systemen? Diese reagieren auf bekannte Muster. Brenners Ansatz setzt hingegen auf KI-basierte Anomalie-Erkennung, bei der ungewöhnliche Verhaltensmuster im Netzwerkverkehr identifiziert werden. So entsteht ein deutlich präziseres Bild der Situation und die Unternehmen können potenzielle Gefahren besser einschätzen und umgehend darauf reagieren. 

„Die größte Herausforderung bestand darin, die Zahl der Fehlalarme (False Positives) möglichst gering zu halten und  die Analysegeschwindigkeit – gemessen in Megabyte pro Sekunde – auf ein praktikables Niveau zu bringen“, berichtet Brenner. „Gemeinsam mit meinen Dissertationsbetreuer_innen und den Kolleg_innen beim TÜV ist es uns erst spät im Projektverlauf gelungen, diese Hürden zu überwinden. Wichtig ist mir dabei zu betonen, dass wir in einigen Teilbereichen auf bewährte Ansätze aus der wissenschaftlichen Literatur zurückgreifen konnten – etwa für das zugrundeliegende neuronale Netz und bei der Charakterisierung von Host-Verhalten im Netzwerk. Hier haben wir bestehende Lösungen anderer Forscher_innen erfolgreich integriert.“ Das Ergebnis von SIREN hat so sehr überzeugt, dass es bereits im Einsatz bei der TÜV Austria Tochter CSOC (Cyber Security Operations Center) ist. Es berichtet, dass Bedrohungen bis zu 90 Prozent schneller erkannt werden und die Reaktionszeit mit ihrer Hilfe um 60 Prozent kürzer ausfällt. Damit gehört Brenners Arbeit zu den Dissertationen, deren Ergebnisse den direkten Weg von der Forschung in die industrielle Anwendung gefunden haben. SIREN ist heute ein fester Bestandteil deren Service-Angebots – ein Erfolg, der die enge Verzahnung von Forschung und Anwendung eindrucksvoll unter Beweis stellt. 

Forschung trifft Praxis: Das #SafeSecLab

Das Projekt entstand im Rahmen des #SafeSecLab, einem interdisziplinären Forschungsprogramm, das 2020 von TU Wien und TÜV AUSTRIA ins Leben gerufen wurde. Ziel ist es, praxisorientierte Lösungen für digitale Sicherheit in industriellen Anwendungen zu entwickeln. Dissertant_innen der TU Wien arbeiten dabei eng mit Fachleuten des TÜV AUSTRIA zusammen und testen ihre Entwicklungen direkt unter realen Bedingungen. Die Kooperation zwischen TU Wien und TÜV Austria ist ein exzellentes Beispiel dafür, was es bedeutet, Forschungsergebnisse mit Partner_innen umgehend praktisch nutzbar zu machen. So verbindet die TU Wien Grundlagen- und angewandte Forschung in Tech und Deep Tech und schafft Lösungen, die direkt in der Industrie wirken und ihr ermöglichen, schnell auf aktuelle Herausforderungen zu reagieren. Projekte wie Bernhard Brenners SIREN zeigen eindrucksvoll, dass dieser Ansatz wirkt.
 

* Daten von Statista, öffnet eine externe URL in einem neuen Fenster