Methoden im Cognitive Industrial Internet of Things für die Cybersicherheit

Inhaltsverzeichnis

Abstract

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 Forschungsfrage
1.3 Cognitive Internet of Things
1.3.1 Cognitive Computing
1.3.2 Internet of Things
1.4 Cybersicherheit
1.5 Forschungsumfang
1.6 Aufbau der Arbeit

2. Status Quo: Methoden im Cognitive IIoT für die Cybersicherheit
2.1 Planung der Literaturrecherche
2.2 Vorauswahl und Selektion der Literatur
2.2.1 Suchstrategie
2.2.2 Auswahl der Datenbanken
2.3 Qualitätsbeurteilung und Datenextraktion
2.4 Qualitative Synthese der extrahierten Daten
2.4.1 Anwendungsorientierte Methoden
2.4.2 Konzeptorientierte Methoden
2.5 Zusammenfassung und Überblick

3. Diskussion, Zusammenfassung und Ausblick
3.1 Diskussion der Ergebnisse
3.2 Zusammenfassung und Ausblick

4. Anhang

5. Literaturverzeichnis

Abbildungsverzeichnis

Abb. 1 Einsatzgebiete von Industrial IoT und Consumer IoT [Car19]

Abb. A 1 Detaillierte Ansicht Literaturrecherche angelehnt an PRISMA [RKW+21]

Tabellenverzeichnis

Tab. 1 Ergebnis der mit dem Suchvokabular ausgewählten Datenbanken

Tab. 2 Ergebnis Literaturrecherche Methoden im Cognitive IIoT für die Cybersicherheit

Tab. 3 Konzeptmatrix [WW02] bestehend aus aktuellen Methoden im Cognitive IIoT

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abstract

Im industriellen Bereich entstehen durch die immer stärker wachsende Digitalisierung und Vernetzung von Systemen, wie dem Industrial Internet of Things (IIoT) hochkomplexer cyberphysischer Systeme. Dadurch wird die mögliche Angriffsfläche und damit das Risiko erfolgreicher Cyber-Angriffe vergrößert. Die Cybersicherheitsforschung steht somit vor der großen Herausforderung das Industrial Internet of Things gegen Cyberangriffe zu schützen. Durch das „Cognitive Internet of Things“ können IoT-Systeme kontinuierlich und selbständig von den gesammelten Daten und der Interaktion mit ihrer Umwelt lernen und sich dabei ständig verbessern. Diese Lernfähigkeit könnte zur Verbesserung der Cybersicherheit in der Industrie genutzt werden. Die vorliegende Arbeit ist eine systematische Literaturrecherche, die Methoden im Cognitive Industrial Internet of Things für die Cybersicherheit untersucht. Dabei werden zunächst die beiden Begrifflichkeiten Cognitive Internet of Things sowie Cybersicherheit definiert und näher erläutert. Im Anschluss daran erfolgt die Planung der Literaturrecherche bei dem das Programm Citavi zur Literaturverwaltung eingesetzt und eine iterative Vorgehensweise verwendet wird. Danach wird die Suchstrategie mit Ein- und Ausschlusskriterien sowie den Schlüsselwörtern festgelegt. Weiterhin erfolgt die Auswahl der Datenbanken sowie die Selektion geeigneter Literatur und die Aufbereitung der gefundenen Quellen zur weiteren Verfeinerung. Die gefundenen Quellen werden qualitativ beurteilt und extrahiert. Zusammenfassend kann die Literatur in anwendungsorientierte und konzeptorientierte Methoden unterschieden werden. Die anwendungsorientierten Quellen untersuchen anhand wissenschaftlicher Experimente unterschiedliche maschinelle Lernverfahren. Dabei wird beschrieben wie Cyberangriffe und Anomalien in IIoT-Systemen durch Cognitive Computing erkannt werden können. Die konzeptorientierte Literatur hingegen zeigt vor allem Methoden und Ansätze auf, wie aus theoretischer Sicht maschinelle Lernverfahren für den Einsatz von Cognitve IIoT für die Cybersicherheit implementiert werden könnten.

Wissenschaftliche Schlagwörter:

Literaturrecherche, Methoden, Cognitive Industrial Internet of Things, Cybersicherheit

Kapitel 1

1. Einleitung

In diesem Kapitel wird das zugrunde liegende Problem von Cybersicherheitsvorfällen im Industrial Internet of Things aufgezeigt.

1.1 Problemstellung

Am 11. März 2020 stufte die Weltgesundheitsorganisation (WHO), die durch das Coronavirus SARS-CoV-2 verursachte Krankheit, COVID-19 als Pandemie ein. Der durch die Pandemie verursachte Digitalisierungsschub hat die mögliche Angriffsfläche und damit das Risiko erfolgreicher Cyber-Angriffe vergrößert [Bun20]. Folglich erleichtert dieser negative Trend die Ausnutzung von Sicherheitslücken für Cyber-Kriminelle [Fed20]. Gleichzeitig führt die Zunahme der Anzahl und Vielfalt intelligenter und vernetzter Objekte zu Komplexität von Cyber-Angriffen und somit zu erheblichen Herausforderungen für die Cybersicherheit [AC18]. Dadurch entstehen, allen voran im industriellen Bereich, vernetzte hochkomplexe Cyber-Physische-Systeme, wie das Industrial Internet of Things (IIoT), in denen die Grenze zwischen digitaler und physikalischer Welt verschwinden [Neu17]. Diese vernetzten Geräte sind in der Regel auf eine effiziente Kommunikation untereinander ausgelegt und können aufgrund niedriger Sicherheitsstandards nicht das gleiche Sicherheitsniveau wie normale Computer erfüllen [THC+20]. Dadurch werden die potenziellen Auswirkungen von erfolgreichen Cyber-Angriffen vergrößert [Neu17]. Die Cybersicherheitsforschung steht somit vor der großen Herausforderung das Industrial Internet of Things gegen Cyberangriffe zu schützen. In den vergangenen Jahrzehnten waren traditionelle Ansätze zur Erkennung von Cyber-Angriffen auf Basis maschineller Lernverfahren bereits sehr erfolgreich [AC18]. Vor diesem Hintergrund kann folgende Frage gestellt werden: Welche Methoden können im Cognitive Internet of Things für die Cybersicherheit in der Industrie eingesetzt werden?

1.2 Forschungsfrage

Die größten Herausforderungen für das Industrial Internet of Things sind Cybersicherheits- und Datenschutzprobleme [TS17]. Durch den Einsatz von Cognitive Internet of Things (CIoT) können IoT-Systeme kontinuierlich und selbständig von gesammelten Daten und der Interaktion mit ihrer Umwelt lernen und sich dabei ständig verbessern [PBB18]. Diese Lernfähigkeit könnte zur Verbesserung der Cybersicherheit im industriellen Bereich genutzt werden. Demnach lässt sich folgende zentrale Forschungsfrage stellen:

· Welche Methoden werden in der wissenschaftlichen Literatur für den Einsatz
im Cognitive Industrial Internet of Things für die Cybersicherheit vorgeschlagen?

Insbesondere werden maschinelle Lernverfahren und Ansätze von CIoT für die Cybersicherheit im industriellen Bereich analysiert. Anhand dieser Forschungfrage kann aufgezeigt werden, welche Methoden im Cognitive Industrial Internet of Things für die Sicherheit gegen potenzielle Cyber-Angriffe eingesetzt werden können.

1.3 Cognitive Internet of Things

Das heutige Internet of Things (IoT) konzentriert sich im Allgemeinen darauf, seine Umgebung zu erfassen, entsprechend zu reagieren und über das Internet vernetzt zu sein [PSP18]. Die Entscheidungen der an IoT angeschlossenen Geräte basieren häufig auf vorprogrammierten Modellen und führen zu keiner echten Zusammenarbeit [Sat16]. Erst die Erweiterung des IoT durch Cognitive Computing, ermöglicht es eine dynamische Interaktion verbundener Objekte, die sich durch kontinuierliches Lernen aus der Umgebung an den aktuellen Kontext anpassen können [PBB18]. Die Forscher Pramanik et al. beschreiben den Begriff Cognitive Internet of Things (CIoT) wie folgt:

“In short, CIoT will augment the current IoT with the added cognitive ability very
much similar to human cognition.” [PSP18]

Ziel von CIoT ist es, IoT-basierte Systeme um Cognitive Computing zu erweitern und somit die Zusammenarbeit und Interaktion zwischen IoT und Menschen zu ermöglichen [MED17]. Um ein tiefergehendes Verständnis für den Begriff Cognitive Internet of Things zu entwickeln, werden die beiden Begriffsbestandteile Cognitive Computing und Internet of Things im Folgenden näher erläutert.

1.3.1 Cognitive Computing

Der Begriff „kognitiv“ stammt vom lateinischen Wort „cognito“, was so viel bedeutet wie „zu denken“ [PSP18]. Osifeko et al. beschreiben den Begriff Kognition als die mentalen Aktivitäten des Denkens, Sammelns von Informationen, Beurteilen, Ziehen von Schlussfolgerungen und Lösen von Problemen, die für den Erwerb von Wissen und Verständnis erforderlich sind [OHA20]. Cognitive Computing unterscheidet sich grundlegend von frühreren Formen des Rechnens [PSP18]. Es werden Daten aus sehr unterschiedlichen Quellen unter der Verwendung von maschinellen Lernverfahren automatisiert ausgewertet und darauf aufbauend Handlungsempfehlungen und Prognosen abgeleitet [Neu17]. Unter anderem wird eine Mischung aus Verfahren von maschinellen Lernverfahren, kognitivem Sehen, Denken sowie Lernen und weiteren angewendet [DEH11]. Dabei lernen kognitiv arbeitende Systeme kontinuierlich und selbständig durch gemachte Erfahrungen, den gesammelten Daten und der Interaktion mit Menschen [PSP18]. Mit diesen dauerhaften Lernprozessen wird erreicht, dass kognitive Systeme niemals veraltet sind. Somit wird die Fehlerquote verringert und die Qualität der Analyse wie auch Vorhersage verbessert [PSP18]. Zusammenfassend geht es bei Cognitive Computing darum, Computersysteme wie ein menschliches Gehirn agieren zu lassen, welches kontinuierlich durch die Interaktion mit der Umwelt dazulernt.

1.3.2 Internet of Things

Das Internet of Things, zu deutsch „Internet der Dinge“, beschreibt eine Technologie, welche auf einem Netzwerk basiert, dass aus ressourcenbeschränkten cyberphysischen Systemen besteht [OHA20]. Im Allgemeinen wird zwischen IoT der Verbraucher und der Industrie unterschieden [Car19]. Das industrielle Internet der Dinge (IIoT) vereint Sensoren, Maschinen, industrielle Anwendungen, Datenbanken und Menschen bei der Arbeit. Obwohl das IIoT mehrere Merkmale mit dem IoT der Verbraucher teilt, verfolgen beide Netzwerke unterschiedliche Einsatzzwecke. Im Gegensatz zu Consumer-IoT-Lösungen, die von einem einzelnen Benutzer für einen einzigen Zweck verwendet werden, werden IIoT-Lösungen in der Regel in größere Betriebssysteme integriert. [LZI+20] In Abbildung 1 werden unterschiedliche Einsatzgebiete von Industrial IoT und Consumer IoT dargestellt.

Anmerkung der Redaktion: Diese Abbildung wurde aus urheberrechtlichen Gründen entfernt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 Einsatzgebiete von Industrial IoT und Consumer IoT [Car19]

Eine allgemein gültige Definition für IoT findet sich in der wissenschaftlichen Literatur nicht. Demnach wird im Folgenden eine Begriffsdefinition auf Basis verschiedener wissenschaftlichen Quellen vorgenommen. Patel & Doshi definieren IoT als eine selbstkonfigurierende Infrastruktur, die auf entsprechenden Standards und Protokollen basiert, damit „Internet“ und „Things“ zu „Interconnected Things“ zusammengefasst werden kann [PD19]. Dabei umfasst der Begriff “Things” eine Gerätevielfalt von Kühlschränken, Mikrowellen und Autos bis hin zu Smartphones, Laptos sowie Serveranlagen [SPS+15]. Diese IoT-Geräte unterscheiden sich von herkömmlichen Geräten insofern, als dass diese mit der physischen Welt interagieren und nicht mit herkömmlichen Mitteln aufgerufen, überwacht und verwaltet werden können [GQ20]. Shreyas & Kumar verstehen unter IoT ein Netzwerk von Netzwerken, die verschiedene Geräte umfassen und miteinander verbunden sind, um Informationen zu erstellen, zu sammeln und auszutauschen [SK20]. Die unterschiedlichen Geräte können dabei ohne menschliches Eingreifen miteinander kommunizieren, Informationen austauschen oder Entscheidungen untereinander koordinieren [MM20].

1.4 Cybersicherheit

Ende des 20. Jahrhunderts wurde das Konzept der heutigen Cybersicherheit in unserer modernen und vernetzten Gesellschaft geprägt [Wic20]. Hinter dem Begriff Cybersicherheit verbirgt sich ein weit gefasster Begriff, welcher sich auf Maßnahmen bezieht, die im Allgemeinen von öffentlichen und privaten Stellen ergriffen werden, um die Sicherheit der Online-Kommunikation und IT-Ressourchen zu gewährleisten [Kul20]. Dabei stellt die Cybersicherheit mit Cyberangriffen einen neue Art von Bedrohungen in den Mittelpunkt [Wic20]. Cybersicherheitsbedrohungen umfassen computerbasierte Gefahren in Form von Viren, Trojanern sowie gezielten Angriffen von organisierten Gruppen (Hackern) oder Schadsoftware oder Ähnliches [Kul20; Wic20]. Die Angreifer versuchen damit das geplante Funktionieren der Datenverarbeitung von Computern und den Datenaustausch mit anderen Rechnern zu manipulieren [Wic20]. Mithilfe von Sicherheitsmechanismen in herkömmlichen Cybersicherheitsarchitekturen wird versucht die klassischen Schutzziele der IT-Sicherheit Integrität, Vertraulichkeit und Verfügbarkeit zu sichern [TS17]. Um die Integrität zu gewährleisten werden Maßnahmen eingesetzt, um IT-basierte Systeme (Hard- und Software) vor Manipulation zu schützen. Darüber hinaus werden Konzepte und Verfahren angewendet, um die Vertraulichkeit sensibler Informationen und den Schutz der Privatsphäre sowie die Verfügbarkeit von Funktionen und Diensten zu sichern. [Neu17] Zusammenfassend lässt sich feststellen, dass Cybersicherheit größtenteils aus Abwehrmethoden besteht, mit denen potenzielle Eindringlinge entdeckt und drohende Cyberangriffe vereitelt werden sollen [Kem03].

1.5 Forschungsumfang

Die vorliegende Arbeit untersucht die wissenschaftliche Literatur nach Methoden, die zum Einsatz im CIoT für die Cybersicherheit vorgeschlagen werden. Dabei wird der Fokus auf den industriellen Bereich gelegt und somit die Verbraucherseite ausgeschlossen. Weiterhin richtet sich diese Arbeit gleichermaßen an Forscher wie auch an Unternehmen, die den aktuellen Status Quo von Methoden im Cognitive Industrial Internet of Things für die Cybersicherheit bewerten möchten. Zudem gibt es keine weiteren Einschränkungen hinsichtlich der maschinellen Lernverfahren für Cognitive Computing. Die Forschung ist motiviert von der Idee, dass Cognitive Internet of Things die Cybersicherheit in der Industrie verbessern kann. Bei dieser Untersuchung wird nicht bewertet, in welchem Umfang CIoT die Cybersicherheit im industriellen Bereich verbessern kann, sondern welche Methoden die wissenschaftliche Literatur vorschlägt.

1.6 Aufbau der Arbeit

Die vorliegende Arbeit ist in drei Kapitel aufgeteilt. Der Aufbau dieser Arbeit entspricht der methodischen Vorgehensweise der Forschungsarbeit. Bei der Vorgehensweise wird auf eine theoriegeleitete Grundstruktur gesetzt. Damit ist gemeint, dass bereits die Definition des Untersuchungsfeldes auf theoretischem Wissen aufbaut. Im ersten Kapitel (1. Einleitung) wird zunächst die Problemstellung erläutert und darauf aufbauend die Forschungsfrage abgeleitet. Weiterhin werden die thematischen Begrifflichkeiten Cognitive Computing, Internet of Things und Cybersicherheit umfassend beschrieben. Darauffolgend wird der Forschungsumfang sowie der Aufbau der Arbeit beschrieben. Im Anschluss daran wird im zweiten Kapitel (2. 2. Status Quo: Methoden im Cognitive IIoT für die Cybersicherheit) eine systematische Literaturrecherche durchgeführt. Dabei wird die wissenschaftliche Literatur anhand der Forschungsfrage nach Methoden im Cognitive Industrial Internet of Things für die Cybersicherheit untersucht. Weiterhin werden die Suchmethode, Datenbanken sowie Ein- und Ausschlusskriterien, die bei der Suche verwendet werden, beschrieben. Hierzu werden geeignete Methoden und Techniken angewendet, um eine möglichst große Abdeckung der aktuellen Literatur zur ausgehenden Forschungsfrage abzudecken. Nach der Literaturrecherche werden die Ergebnisse erfasst und ausgewertet. Hierbei werden die Literaturquellen nach den vorher definierten Ein- und Ausschlusskriterien selektiert. Im nächsten Schritt wird die Qualität der ausgewählten Quellen beurteilt und extrahiert. Danach erfolgt die qualitative Synthese der Literatur anhand zuvor definierter Kategorien. Schließlich werden die Kernaussagen der Literaturrecherche zusammengefasst sowie ein Überblick in Form einer Konzeptmatrix gegeben. Im dritten Kapitel (3. Diskussion, Zusammenfassung und Ausblick) werden die Ergebnisse der Literaturrecherche diskutiert, wichtige Erkenntnisse zusammengefasst sowie ein Ausblick für weitere Forschung dargestellt.

Kapitel 2

2. Status Quo: Methoden im Cognitive IIoT für die Cybersicherheit

In diesem Kapitel wird der Status Quo von Methoden von Cognitve Industrial Internet of Things für die Cybersicherheit in einer systematischen Literaturrecherche analysiert.

2.1 Planung der Literaturrecherche

Die vorliegende Arbeit ist eine Literaturübersicht und zielt darauf ab frühere Forschungsergebnisse zusammenzufassen [BG03; WW02]. Dadurch sollen kritische Wissenslücken identifiziert und Wissenschaftlicher für zukünftige Forschungen ermutigt werden [RS04; WW02]. Diese Arbeit ist eine eigenständige Forschungsarbeit und wird ausgehend von der vorher definierten Forschungsfrage entwickelt [Rho11]. Daher zielt diese Arbeit auf die Beschreibung ab und ist vollständig konzeptzentriert, das bedeutet, das Forschungsgebiet wird systematisch anhand von Konzepten erläutert [WW02]. Durch die Überprüfung früherer und neuer Arbeiten ist es möglich, Forschungslücken zu identifizieren, in denen weitere Forschung erforderlich wäre [RS04]. Zusammenfassend handelt es sich bei der vorliegenden wissenschaftlichen Arbeit um eine beschreibende, konzeptorientierte, eigenständige und qualitative Literaturrecherche.

Der Schlüssel einer Literaturrecherche ist die Planung der Suche [BG03]. Daher ist darauf zu achten, dass Transparenz sowie Systematik im gesamten Prozess geben sind, um so Verzerrungen, Fehler und Fehlinterpretationen zu vermeiden [Rho11]. Aufgrund der genannten Punkte wird ein systematischer Ansatz angewendet, der eine schrittweise Erklärung, Reproduzierbarkeit und Nachvollziehbarkeit sicherstellt [BG03]. Um relevante Literatur zu identifizieren, schlagen verschiedene Autoren die Verwendung eines Protokolls vor, in der alle relevanten Informationen gesammelt werden [Rid12; OS09; WFW13]. Dadurch lässt sich die geplante Forschung genauer analysieren und nachvollziehen. Als Unterstützung wird zusätzlich das Programm Citavi zur Literaturverwaltung verwendet, um alle Referenzen zusätzlich in einem digitalen Format abzubilden. Darüber hinaus wird eine Liste mit allen gefunden Quellen geführt, um der Methodik eines Protokolls zu entsprechen [Rid12]. Dabei wird diese Liste bei jedem weiteren Verarbeitungsschritt kopiert, bleibt somit schlüssig und gewährleistet die Nachvollziehbarkeit sowie Transparenz. In dieser Arbeit wird eine iterative Vorgehensweise verwendet, welche im weiteren Verlauf eine entsprechende Verfeinerung der Ergebnisse bietet [BG03].

2.2 Vorauswahl und Selektion der Literatur

Zu Beginn einer Suche empfehlen Wolfswinkel et al. einen klaren Umfang zu definieren, um auf dieser Grundlage geeignete Literatur zur Forschungsfrage zu erhalten und gleichzeitig inadäquate Quellen auszuschließen [WFW13]. Hierfür müssen im nächsten Schritt Ein- und Ausschlusskriterien auf Basis der interessierenden Variablen innerhalb der Forschungsfrage festgelegt werden [Rho11; WFW13]. Basierend auf der Filterung der Einschluss- und Ausschlusskriterien und dem Umfang des Forschungsfeldes, wird eine Liste aller wahrscheinlichen entsprechenden Quellen erstellt [WFW13]. Durch die strenge Planung und Durchführung der Literaturrecherche wird sichergestellt, dass eine sinnvolle Menge an Literatur ausgewählt wird [vSN+09]. In den folgenden Abschnitten wird zunächst die Suchstrategie erläutert und darauf aufbauend die Literatursuche in den ausgewählten Datenbanken beschrieben.

2.2.1 Suchstrategie

Nach Gash & Aldershot umfasst eine Suchstrategie alle Phasen einer systematischen und vollständigen Suche nach unterschiedlichen Arten von Veröffentlichungen, um möglichst viel Literatur zu einem Thema zu identifizieren [GA00]. Die Strategie dieser Arbeit folgt einem systematischen Vorgehen bei dem zu Beginn Ein- und Ausschlusskriterien sowie Schlüsselwörter festgelegt werden [Rho11]. Der Fokus der Recherche liegt auf Artikeln in Journalen, die ein Peer-Review-Verfahren verwenden, sowie auf Tagungsbänden guter Konferenzen [vSN+09; YT06]. Bei der Suche wird allerdings nicht auf eine bestimmte Forschungsmethodik oder Menge an Journalen wie auch geographischen Regionen eingeschränkt [WW02]. Es wird ausschließlich englischsprachige Literatur berücksichtigt. Bei der Stichwortsuche, das heißt unter Verwendung eines bestimmten Wortes oder bestimmter Phrasen (Schlüsselwörter), wird nach einer bestimmten Kategorie durchsucht, z.B. nach Schlüsselwörtern, Titel und Zusammenfassung der Dokumente [YT06]. Die Forschungsfrage wird mithilfe des PICO-Frameworks in Schlüsselwörter aufgeteilt [EF18]. Daraus entsteht das Suchvokabular mit den folgenden Phrasen:

("Cognitive Computing" OR "Cognitive Internet of Things" OR "Artificial intelligence" OR "machine learning" OR "Cognitive IoT") AND ("Cybersecurity" OR "Cognitive Security") AND ("Smart Manufacturing" OR "Industrial IoT" OR "Industrial Internet of Things")

Die Begriffe Industry 4.0 und Industrial Transformation werden nicht verwendet, da diese sehr allgemeiner Natur sind.

2.2.2 Auswahl der Datenbanken

Literaturquellen können Zeitschriften, Konferenzberichte, Bücher oder Datenbanken sein [Rho11]. Weiterhin kann nach unterschiedlichen Quellen in Bibliotheken, Suchmaschinen sowie Onlinedatenbanken bzw. Indexierungsdiensten gesucht werden [RS04]. Um eine möglichst vollständige Abdeckung des Suchergebnisses zu erhalten werden spezifische Datenbanken durchsucht [Rho11]. Nach Yair & Timothy [YT06] und Schryen [Sch15] wurden einige der erwähnten Datenbanken für eine möglichst vollständige Abdeckung der Suchergebnisse ausgewählt. Darüber hinaus wurden weitere Datenbanken domänenspezifisch hinzugefügt. Es wurden folgende Datenbanken ausgewählt: ACM, AISeL, IEEE, IEEE Xplore, Science Direct und Springer Link. Das Ergebnis der Datenbanksuche wird in der Tab. 1 dargestellt.

Tab. 1 Ergebnis der mit dem Suchvokabular ausgewählten Datenbanken

Abbildung in dieser Leseprobe nicht enthalten

Insgesamt wurden bei der Suche 753 Ergebnisse potenzieller Literatur gefunden. Zu Beginn wurden die identifizierten Literaturquellen aus den unterschiedlichen Datenbanken in ein einheitliches CSV-Format konvertiert. Danach wurde eine Konsistenzprüfung durchgeführt, um sicherzustellen, dass alle Artikel tatsächlich enthalten sind. Weiterhin erfolgte eine Konsolidierung und Migration zu einem einheitlichen Datenformat in dem Tabellenkalkulationsprogramm Microsoft Excel. Darüber hinaus wurden Duplikate herausgefiltert und entfernt. Im Anschluss daran wurde auf Grundlage der Titel diejenigen Quellen entfernt, die keine hinzureichende Übereinstimmung mit der Forschungsfrage darstellten [Rho11]. Daraus resultierte eine Liste mit 90 Einträgen. Im Anschluss daran wurde der Abstract sowie die Zusammenfassung der übrig gebliebenen Literaturquellen analysiert [Rho11]. Weiterhin wurde die Literatur, die aus einer anderen Domäne stammte und keine Beziehung zu der Forschungsfrage hat, wie z.B. Smart City, Consumer IoT oder Blockchain ausgeschlossen. Das Ergebnis der Vorauswahl und Selektion der Literaturrecherche wird in der Tab. 2 dargestellt.

Tab. 2 Ergebnis Literaturrecherche Methoden im Cognitive IIoT für die Cybersicherheit

Abbildung in dieser Leseprobe nicht enthalten

Schließlich wurde für die verbleibenden 15 Literaturquellen der Volltext erworben. Das vollständige Verfahren ist ausführlich im Anhang A 1 dargestellt.

2.3 Qualitätsbeurteilung und Datenextraktion

Nach der Vorauswahl und Selektion der Literatur folgt im nächsten Schritt die Extraktion der Daten. Entscheidend für die Extraktion ist, ob die selektierte Literatur relevant, glaubwürdig und im Wesentlichen von solider methodischer Gestaltung ist [Rho11]. Die verbliebenden Artikel sind relevant, da diese anhand der Forschungsfrage auf deren Eignung hin überprüft wurden. Darüber hinaus stammen die Quellen aus renommierten Datenbanken, womit die Artikel als glaubwürdig angesehen werden. Aufgrund der guten Datenbasis wird davon ausgegangen, dass die Artikel im Wesentlichen von solider methodischer Gestaltung sind.

Nach der Qualitätsbeurteilung können die Daten zur Forschung extrahiert werden. Dabei muss festgelegt werden, welche Informationen gesammelt werden sollen. Die Forschungsfrage zielt darauf ab, welche Methoden im Cognitive IIoT für die Cybersicherheit vorgeschlagen werden. Hierzu erfolgt eine Kategorisierung, nach anwendungsorientierten oder konzeptorientierten Methoden und Ansätzen sowie nach den verwendeten maschinellen Lernverfahren. Die Datenextraktion der selektierten Literatur wird anhand folgendem Muster vorgenommen: 1) Beschreibung der Methoden und Ansätze anwendungsorientiert oder konzeptorientiert, 2) Art des maschinellen Lernverfahrens

2.4 Qualitative Synthese der extrahierten Daten

Bei der Synthese werden Beziehungen zwischen den in der Analyse identifizierten Artikeln hergestellt und diese in eine neue oder andere Anordnung gebracht [Har14]. Das Ziel besteht darin, die für ein bestimmtes Konzept überprüfte Literatur zu einem Ganzen zusammenzufassen, das die Summe seiner Teile übersteigt [YT06]. Dabei kann die Synthese qualitativ oder quantitativ sein. Es wird eine qualitative Synthese der extrahierten Daten vorgenommen. Aufgrund der iterativen Vorgehensweise (siehe Abschnitt 2.1) hat sich die Kategorisierung zwischen Extraktion und Synthese häufig geändert, um sich schließlich sehr fein granular dazustellen. Das Extraktionsmuster in Abschnitt 2.5 entspricht dem endgültigen Stand. In den folgenden Abschnitten werden die relevanten Artikel zusammengefasst. Dabei erfolgt eine Aneinanderreihung von Zusammenfassungen der Arbeiten [Rho11]. Die Quellen werden in Bezug auf Methoden im Cognitive Industrial Internet of Things für die Cybersicherheit untersucht. Darüber hinaus werden die Artikel anhand des finalen Extraktionsmusters in Kategorien eingeordnet.

2.4.1 Anwendungsorientierte Methoden

Ein Intrusion Detection System (IDS) zur Erkennung von Ransomware-Angriffen in IIoT-Systemen basierend auf einem symmetrischen unbeaufsichtigten Neural Network wird von Al-Hawawreh & Sitnikova dargestellt [AS19]. Mithilfe eines Variational Auto Encoder (VAE) auf Basis von statistischen Wahrscheinlichkeitsmodellen lernte das Neural Network automatisch die latente Datenstruktur und reduzierte zusätzlich die Datendimension. Dabei zeigte es seine Effizienz im Umgang mit einigen Datenbeobachtungen und bei der Unterstützung des Lernprozesses aus dem Datenerweiterungsprozess, der mit VAE generiert wurde. Die Fähigkeit mit unausgeglichenen Daten umzugehen ist ein weiterer Vorteil dieser Lernmethode. Zusammenfassend wurde gezeigt, dass das vorgeschlagene Modell Ransomware-Aktivitäten identifizieren kann und im Vergleich zu klassischen maschinellen Lernverfahren eine höhere Erkennungsrate erzielt. [AS19]

Zur Erkennung von Cyberangriffen in IIoT-Systemen wird ein neuartiges Hybrid Deep Neural Network (HDRaNN) in diesem Artikel vorgestellt. Das HDRaNN besteht aus einem Deep-Random Neural Network (DRaNN), einer Multi Layer Perceptron (MLP) und vier hochmodernen Deep-Learning-Algorithmen. Auf Basis zweier IIoT-Datensätzen wurde die neue Klassifizierungsmethode anhand bestimmter Leistungsmetriken bewertet. Zusammenfassend ist die Leistung des vorgeschlagenen HDRaNN für beide getesteten Datensätze im Vergleich zu anderen Deep-Learning-Methoden überlegen. Nach Meinung der Autoren, kann der vorgeschlagene Ansatz je nach Anforderung der Benutzer flexibel in ein IIoT-Netzwerk eingebunden werden. Hierfür sprechen die problemlose Implementierung auf Einplatinencomputer sowie die Energieeffizienz des Deep Learning Algorithmuses. Allerdings geben die Autoren an, dass das HDRaNN nicht direkt auf Geräten mit geringer Leistung trainiert werden kann. [HLA+21]

Zur Erkennung von Insiderangriffen wird in dieser Arbeit ein generisches Framework für die Erkennung von Cyber-Bedrohungen auf Basis von Hidden Markov Modellen (HMM) dargestellt. Das Modell kann zwischen normalen und abnormalen Transaktionen in IIoT-Systemen unterscheiden. Das Framework wurde mittels eines selbst erstellten Datensatzes anhand von Leistungsmetriken evaluiert. Die Ergebnisse des vorgeschlagenen Modells zeigen eine sehr hohe Genauigkeit mit über 99,98% im Vergleich zu anderen maschinellen Lernverfahren. [KA20]

In dieser Studie wurde ein Deep Q-Learning Modell mit einem Long Short Term Memory (LSTM) als aktive Deep Learning Methode vorgestellt, um schädliche Anwendungen in IIoT-Umgebungen zu klassifizieren. Dabei werden aktive Lernstrategien verwendet, die an gekennzeichneten Beispielen trainiert werden, um die Klassifizierungsaufgabe auszuführen. Zur Vorverarbeitung der Daten wurde ein Auto-Encoder sowie eine Phasenraumeinbettung unter Verwendung statischer und dynamischer Eigenschaften verwendet. Es wurde ein öffentlich verfügbarer IIoT-Datensatz zum Testen verwendet. Das vorgeschlagene Verfahren kann effektiv für sichere und robuste IIoT-Systeme verwendet werden, da es weniger gekennzeichnete Beispiele zum Lernen benötigt. Einschränkend bewertet derzeit diese Studie das vorgeschlagene Verfahren anhand binärer Klassifizierung, kann jedoch auf komplexere Aufgaben wie die Klassifizierung mehrerer Klassen erweitert werden. [KK21]

Der Autor Krundyshev hat die Möglichkeit analysiert, ein Neural Network mit LSTM zur Erkennung von Cyber-Bedrohungen in der Netzwerkinfrastruktur IIoT-Systeme zu verwenden. LSTM-Netzwerke gehören zur Klasse der wiederkehrenden Netzwerke, deren Hauptmerkmal darin besteht, dass der aktuelle Zustand des Neurons solcher Netzwerke vom vorherigen Zustand abhängt. Das neuronale Netzwerkmodell wurde mittels Simulationen getestet. Dabei wurde die Wirksamkeit des LSTM experimentell bestätigt. Durch die Verwendung des Speichereffekts kann das wiederkehrende LSTM-Netzwerk selbständig dazu lernen. [Kru20]

Ein Deep Random Neural-Network für ein Intrusion Detection System in IIoT-Systemen wird in diesem Artikel dargestellt. Die Entwicklung des vorgeschlagenen DRaNN-basierten IDS wird ausführlich beschrieben. Im weiteren Verlauf wurde die vorgeschlagene Methode unter Verwendung eines IIoT-Sicherheitsdatensatzes der neuen Generation anhand dreier Leistungsmetriken bewertet. Dabei klassifizierte dieses Modell erfolgreich neun verschiedene Arten von Angriffen mit einer Gesamterkennungsrate von 99,41%. Zusammenfassend erbringt die Methode eine höhere Leistung im Vergleich zu hochmodernen Deep Learning Methoden zur Intrusion Detection. [LIZ+20]

Die Autoren Smache et al. stellen eine neuartige Methode vor, die auf Algorithmen des maschinellen Lernens zur Erkennung von IIoT-Synchronisationsangriffen basiert. Bei der Forschung wurden sechs Algorithmen für maschinelles Lernen ausgewählt, um festzustellen, ob die Auswahl des Klassifikators einen Einfluss auf die Erkennung hat. Hierzu wurden die Methoden Support Vector Machine (SVM), Decision Tree (DT), Artificial Neural Network (ANN), K-Nearest Neighbor (KNN), Logistic Regression (LR) und Auto Encoder (AE) unter Verwendung eines selbst generierten Datensatzes anhand verschiedener Leistungsmetriken bewertet. Weiterhin wurde ein Vergleich zwischen den Algorithmen für maschinelles Lernen durchgeführt, um den genauesten und effizientesten Algorithmus zur Erkennung von IIoT-Synchronisationsangriffen auszuwählen. [SOF+19]

Der Artikel beschreibt ein Random Neural Network (RaNN) als Technik zur Erkennung zahlreicher Angriffe und Anomalien in industriellen IoT-Systemen. Dabei wird die Klassifizierungsmethode mit einem öffentlich verfügbaren Datensatz der neuen Generation von IIoT-Datensätzen anhand unterschiedlicher Leistungsmetriken auf Genauigkeit und Effizienz bewertet. Im Vergleich zu anderen maschinellen Lernmethoden erkennt das vorgeschlagene RaNN Angriffe mit einer höheren Genauigkeit von mehr als 99% und einer Vorhersagezeit von 34,51 Millisekunden. Die Genauigkeit der vorgeschlagenen RaNN-basierten Vorhersage war höher als die anderer Algorithmen für maschinelles Lernen wie z.B. ANN, SVM und DT. In dieser Studie wurde auch die mögliche Hardwarebereitstellung des Angriffserkennungssystems erörtert. Einschränkend muss erwähnt werden, dass die vorgeschlagene Methode nur an einem einzigen öffentlich zugänglichen Datensatz getestet wurde. [LZI+20]

Der Artikel konzentriert sich insbesondere auf die Entwicklung und Testung neuer IIoT-basierter Datensätze. Die Datensätze enthalten sowohl normale Sensormessdaten als auch verschiedene Arten von Angriffen auf IIoT-Anwendungen. Verschiedene Bewertungsmetriken wurden verwendet, um die Leistung von acht überwachten maschinellen Lernverfahren zusammen mit LSTM als Deep-Learning-Methode zum Zweck der Intrusion Detection unter Verwendung der vorgeschlagenen Datensätze zu bewerten. Die Ergebnisse der Bewertung haben gezeigt, dass die vorgeschlagenen Datensätze effizient genutzt werden können, um verschiedene maschinelle Lernverfahren für die anomaliebasierte Erkennungsforschung zu implementieren und zu trainieren. Das wichtigste Ergebnis der Bewertung war, dass Random Forest (RF) und Classification and Regression Trees (CART) die höchste Punktzahl in allen Metriken erzielten. [AMT+20]

Das Ziel dieser Forschungsarbeit ist die Analyse und Klassifizierung zur Erkennung von Anomalien in den IIoT-Systemen der kritischen Wasserinfrastruktur. Es wurde ein realer Datensatz von Rohsignalmessungen des IIoT-basierten cyber-physischen Teilsystems zur Speicherung und Verteilung von Wasser verwendet. Zur Klassifizierung der Anomalien wurden sechs Algorithmen für maschinelles Lernen verwendet. Darunter Logistic Regression, Linear Discriminant Analysis (LDA), K-Nearest Neighbor, Classification and Regression Trees, Gaußsche Naive Bayes (NB) und Support Vector Machine. Dabei erzielte der CART-Algorithmus die besten Ergebnisse für die Klassifizierung, basierend auf den Bewertungsparametern und Leistungsmetriken. [SHS+21]

Der Artikel befasst sich mit einem Ansatz für maschinelles Lernen zur automatischen Geräteidentifikation und Anomalieerkennung durch Netzwerkverkehrsanalyse in Smart Factories. Dabei wurden mithilfe überwachter und unüberwachter Lernverfahren verschiedene Arten von IIoT-Geräten identifiziert. Basierend auf der Geräteidentifikation wurde eine Merkmalsauswahl durchgeführt, um die Klassifizierungsleistung für die Erkennung von Anomalien zu verbessern. Mit den gesammelten realen Daten wurden verschiedene Arten von Geräten anhand ihres Netzwerkverkehrs effektiv erkannt, indem sie mithilfe Neural Networks klassifiziert werden. Danach konnten die emulierten Angriffe auf realen IoT-Geräten Angriffsmuster mit auf Decision Trees basierenden Algorithmen mit sehr hoher Genauigkeit effektiv erkennen. Die vorgeschlagene Methode zeigt großes Potenzial für den Ansatz maschinelles Lernen zur automatischen Geräteidentifikation und Erkennung von Anomalien in IIoT-Systemen zu verwenden. [THC+20]

Die Autoren nutzten ein realistisches IIoT-Testfeld, um mehrere Angriffs- und Verteidigungsstrategien umzusetzen und zu bewerten. Darüber hinaus wurden umfangreiche Experimente durchgeführt, um die Wirksamkeit der Abwehrstrategien gegen immer komplexere Datenintegritätsangriffe unter Kommunikationsrauschen unterschiedlicher Ebenen zu validieren. Dabei wurde ein Recurrent Neural Networks (RNN) mit LSTM zur Erkennung von Cyber-Bedrohungen in der Netzwerkinfrastruktur in IIoT-Systemen verwendet. Aufgrund seiner Speicherfähigkeit kann das RNN mit LSTM zur Lösung von Sequenzklassifizierungsproblemen verwendet werden. Dies liegt daran, dass das RNN mit LSTM Informationen sammelt, die aus früheren Beobachtungen extrahiert wurden, und die nächste Entscheidung basierend auf den historischen Beobachtungen anpasst. Somit kann RNN mit LSTM eine bessere Klassifizierungsgenauigkeit in Bezug auf die sequenzielle Datenklassifizierung liefern. [XYL+20]

2.4.2 Konzeptorientierte Methoden

In diesem Artikel wird ein Sicherheitsanalysedienst für kleine und mittelständige Unternehmen (KMU) für IIoT-Systeme vorgestellt. Dabei werden die Sicherheitsfunktionen durch Sicherheitsmodule ermöglicht und können flexibel durch verschiedene Analysetechniken instanziiert werden. Durch die flexible Gestaltung des Sicherheitsanalysedienst wird den Anforderungen spezifischer KMU Rechnung getragen. Letztendlich wird der Sicherheitsanalysedienst anhand eines realen Anwendungsfalls bewertet. Darüber hinaus wird beschrieben, wie maschinelle Lernverfahren in Sicherheitsmodule integriert werden können und welche Vorteile sich dadurch für die Cybersicherheit ergeben. [EP21]

Der Autor Oyekanlu schlägt eine kollaborative Rechenmethode unter Verwendung des Gaussian Mixed Model (GMM) vor, um Cybersicherheitsangriffe und Maschinenfehler im IIoT-System zu erkennen. Die GMM-Parameter werden zwar in der Cloud gelernt, doch die GMMs werden direkt auf den IIoT-Anwendungen implementiert. Auf den IoT-Geräten selbst werden die konstruierten GMMs dann zur Erkennung von Anomalien implementiert und können Cyber-Angriffe in IIoT-Maschinendaten erkennen. [Oye18]

Der Artikel beschreibt den aktuellen Status und die Tendenz von Angriffen von kinetischen Bedrohungen und Angriffen auf die IIoT-Cybersicherheit. Anschließend werden verschiedene kinetische Bedrohungen und reale Probleme erörtert. Es werden fünf Maßnahmen empfohlen. Unter anderem wird die Verknüpfung künstlicher Intelligenz (KI) und maschinelles Lernen (ML) mit Cybersicherheitslösungen vorgeschlagen. Da künstliche Intelligenz und maschinelles Lernen Muster von Bedrohungen, Angriffen und böswilligen Aktivitäten effizient und genau suchen kann, sind die Autoren der Meinung, dass KI- und ML-basierte Cybersicherheitslösungen IoT-Schwachstellen und kinetische Bedrohung ergänzen. [Shi19]

2.5 Zusammenfassung und Überblick

An dieser Stelle der Arbeit werden die Ergebnisse der Literaturrecherche zusammengefasst und ein Überblick gegeben. Die 15 relevanten Quellen der Literaturrecherche wurden bereits im vorherigen Abschnitt 2.4 dargestellt. Zusammenfassend können zwei Arten von wissenschaftlichen Texten identifiziert werden. Die anwendungsorientierten Quellen untersuchen anhand wissenschaftlicher Experimente unterschiedliche Methoden und Verfahren wie Cyberangriffe und Anomalien in IIoT-Systemen durch Cognitive Computing erkannt werden können. Dabei werden unterschiedliche maschinelle Lernverfahren, wie Neural Networks, Support Vector Machines oder Logistic Regressions zur Intrusion Detection eingesetzt. Die vorgeschlagenen maschinellen Lernverfahren wurden entweder anhand realer, selbst erstellter oder öffentlich verfügbarer Testdatensätzen für IIoT-Systeme mithilfe geeigneter Leistungsmetriken evaluiert. Hierbei konnten die meisten maschinellen Lernverfahren gute bis sehr gute Ergebnisse bei der Testung auf verschiedenen IIoT-Datensätzen erzielen. Wohingegen die konzeptorientierten Literaturquellen vor allem Methoden und Ansätze beschreiben, wie aus theoretischer Sicht maschinelle Lernverfahren für den Einsatz im Cognitive IIoT für die Cybersicherheit implementiert werden können. Die Tab. 3 zeigt zusammenfassend das Ergebnis der Synthese. Dabei repräsentieren Harvey Balls den Grad, wie umfassend die behandelte Thematik Methoden im Cognitive IIoT für die Cybersicherheit in den jeweiligen Artikeln behandelt wurde. Eine leere Kugel symbolisiert, dass die Problemstellung nur kurz adressiert wurde. Eine Viertelkugel hingegen gibt an, dass Methoden im CIoT für die Cybersicherheit im industriellen Bereich nicht nur erwähnt, sondern in mehreren Sätzen erörtert wurden. Ein Halbkreis zeigt auf, dass die behandelte Thematik in mehreren Sätzen beschrieben wurde. Eine Dreiviertelkugel wurde dem Artikel zugewiesen, wenn die Methoden und Konzepte sowohl in mehreren Sätzen sowie mindestens an einem Beispiel beschrieben wurde. Wurden Methoden und Konzepte zum Einsatz von CIoT in der Industrie für die Cybersicherheit umfassend erläutert, wurde ein voll ausgefüllter Harvey Ball vergeben.

[...]