BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems

Die Arbeit stellt BRIDG-ICS vor, ein KI-gestütztes Framework, das mittels Large Language Models und Wissensgraphen heterogene Daten in Industrie-5.0-Umgebungen integriert, um kontextbewusste Bedrohungsanalysen und eine quantitative Bewertung der Cyber-Resilienz für industrielle Steuerungssysteme zu ermöglichen.

Das Wesentliche

Stellen Sie sich eine moderne Fabrik vor, die wie ein riesiger, lebendiger Organismus funktioniert. In der Vergangenheit waren die Maschinen (die "Körper") und die Computer, die sie steuern (das "Gehirn"), strikt getrennt. Aber in der neuen Ära Industrie 5.0 sind sie eng miteinander verflochten. Das ist super effizient, aber es ist auch wie ein Haus, bei dem man alle Türen und Fenster geöffnet hat, um den Luftzug zu verbessern – nur dass jetzt auch Einbrecher leichter hereinkommen können.

Das Problem: Wenn Hacker angreifen, wissen die Sicherheitsleute oft nicht genau, wie sie durch dieses Labyrinth aus Maschinen und Computern wandern. Die alten Sicherheitspläne funktionieren nicht mehr, weil sie die Verbindungen zwischen den verschiedenen Teilen nicht verstehen.

Hier kommt BRIDG-ICS ins Spiel. Der Name ist ein Akronym, aber denken Sie einfach an es als den "Super-Spürhund" oder den "intelligenten Architekten" für Fabrik-Sicherheit.

Wie funktioniert BRIDG-ICS? (Die einfache Erklärung)

Stellen Sie sich BRIDG-ICS als eine riesige, interaktive Landkarte vor, die alles über die Fabrik weiß. Aber keine statische Landkarte, sondern eine, die lernt und denkt.

1. Das große Puzzle zusammenfügen (Der Wissensgraph)
Normalerweise liegen die Informationen über Sicherheitslücken (wie "dieses Software-Update fehlt") und die Informationen über die Maschinen (wie "dieser Roboterarm ist mit dem Netzwerk verbunden") in verschiedenen Schubladen.
BRIDG-ICS nimmt all diese losen Puzzleteile und fügt sie zu einem einzigen, riesigen Bild zusammen. Es verbindet:

• Die Maschinen (Roboter, Sensoren).
• Die Schwachstellen (die "offenen Fenster").
• Die Hacker-Methoden (wie Einbrecher vorgehen).

2. Der KI-Gehirn-Schub (Die "Super-Leser")
Das ist der magische Teil. Die Forscher haben dem System Künstliche Intelligenz (KI) gegeben, die wie ein extrem schneller, kluger Bibliothekar arbeitet.

• Die Aufgabe: Es gibt Tausende von Sicherheitsberichten, die nur in menschlicher Sprache geschrieben sind (z. B. "Ein Hacker könnte diesen Drucker nutzen, um ins Netzwerk zu kommen").
• Die Lösung: Die KI (ein sogenanntes "Large Language Model") liest diese Texte, versteht sie und wandelt sie automatisch in neue Puzzleteile um. Sie füllt Lücken auf der Landkarte, die vorher leer waren. Sie sagt quasi: "Aha, dieser Drucker ist nicht nur ein Drucker, er ist eine Brücke für Hacker!"

3. Der Sicherheits-Check (Die Simulation)
Sobald die Landkarte komplett ist, kann BRIDG-ICS Simulationen durchführen.

• Szenario: "Was passiert, wenn ein Hacker den WLAN-Router im Büro hackt?"
• Die Antwort: Das System rechnet sofort durch: "Okay, vom Router geht es zum Server, dann zum Roboter, und schließlich zum Sicherheitsventil. Das dauert 3 Schritte."
• Die Lösung: Dann testet das System: "Was, wenn wir eine Firewall dazwischen bauen?" Plötzlich wird die Route unterbrochen oder dauert 10 Schritte. Das System zeigt genau, wo man die besten "Sicherheitswände" bauen muss.

Warum ist das so wichtig? (Die Analogie)

Stellen Sie sich vor, Sie sind der Sicherheitschef einer Fabrik.

• Ohne BRIDG-ICS: Sie haben einen Stapel Papier mit Warnungen und eine Liste der Maschinen. Sie müssen raten, wo der Hacker hingeht. Es ist wie der Versuch, ein Labyrinth zu lösen, indem man die Wände blind abtastet.
• Mit BRIDG-ICS: Sie haben eine 3D-Brille auf. Sie sehen genau, wo die Löcher in der Wand sind. Sie sehen die unsichtbaren Gänge, die Hacker nutzen. Und wenn Sie eine neue Tür (Sicherheitsmaßnahme) einbauen, sehen Sie sofort, wie sich der Weg des Hackers verändert und ob er jetzt stecken bleibt.

Das Ergebnis

In Tests hat sich gezeigt, dass dieses System:

1. Unsichtbare Gefahren aufdeckt: Es findet Wege, die niemand vorher gesehen hat.
2. Sicherer macht: Wenn man die empfohlenen Sicherheitsmaßnahmen umsetzt, werden die Angriffswege für Hacker viel länger und schwieriger.
3. Zukunftssicher ist: Es hilft Fabriken, sicher zu bleiben, während sie immer mehr vernetzt werden.

Zusammenfassend: BRIDG-ICS ist wie ein intelligenter Lotse, der in der stürmischen See der modernen Industrie hilft, die unsichtbaren Riffe (Sicherheitslücken) zu sehen und den sichersten Kurs für die Fabrik zu finden, bevor ein Schiff (ein Angriff) kentert. Es verbindet die Welt der Maschinen mit der Welt der Hacker-Logik, damit wir immer einen Schritt voraus sind.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry 5.0 Cyber–Physical Systems" auf Deutsch:

1. Problemstellung

Die Integration von Informationstechnologie (IT) und Operationstechnologie (OT) im Kontext von Industry 5.0 erweitert die Angriffsfläche für Cyber-Physische Systeme (CPS) erheblich. Traditionelle, isolierte Sicherheitsansätze („Air-Gap") versagen zunehmend, da Angreifer über verwundbare IT- und IoT-Komponenten in kritische OT-Systeme (z. B. Steuerungsserver, PLCs) pivotieren.
Die bestehenden Herausforderungen umfassen:

• Fragmentierte Bedrohungsintelligenz: Warnmeldungen sind oft isoliert und verknüpfen nicht das adversarische Verhalten mit den zugrunde liegenden systemischen Abhängigkeiten.
• Fehlende semantische Integration: Bestehende Modelle (wie STRIDE oder reine ATT&CK-Matrizen) bilden die komplexe Interaktion zwischen industriellen Prozessen, Schwachstellen und Angreifer-Taktiken nicht in einem einheitlichen Modell ab.
• Mangelnde Kontextualisierung: Herkömmliche Risikobewertungen ignorieren oft prozessspezifische Abhängigkeiten und dynamische Angriffswege, was die Rekonstruktion mehrstufiger Angriffe erschwert.

2. Methodik: Das BRIDG-ICS-Framework

BRIDG-ICS ist ein KI-gestütztes Framework, das heterogene Datenquellen zu einem Industriellen Sicherheits-Wissensgraphen (Industrial Security Knowledge Graph, KG) fusioniert. Der Ansatz besteht aus vier Hauptkomponenten:

A. Ontologie-Design und Datenfusion

Das Framework integriert öffentliche Datensätze (CVE, CWE, CAPEC, MITRE ATT&CK, ICSA) mit lokalen industriellen Testbed-Daten (basierend auf der Purdue-Architektur/ISA-95).

• Ontologie: Es werden fünf verknüpfte Sub-Ontologien definiert: ICS (Assets), CVE (Schwachstellen), CWE (Schwachstellenklassen), CAPEC (Angriffsmuster) und MITRE ATT&CK (Taktiken/Techniken).
• Verknüpfung: Diese Schichten verbinden physische Komponenten mit digitalen Bedrohungen, wobei spezifische Relationen wie COMMUNICATES WITH (Kommunikation zwischen Komponenten) und CONTROLLED COMMUNICATES WITH (unter Sicherheitskontrollen) definiert sind.

B. KI-gestützte Anreicherung (Knowledge Enrichment)

Um Lücken in strukturierten Daten zu schließen, werden Large Language Models (LLMs) und Graph-Embeddings eingesetzt:

• NER & RE: Modelle wie SecureBERT und REBEL extrahieren Entitäten (Tools, Dateien, URLs) und Relationen aus unstrukturierten Texten (z. B. CVE-Beschreibungen).
• NL2KG: Natürlichsprachliche Bedrohungsbeschreibungen werden in strukturierte Graph-Tripel übersetzt.
• Link Prediction: Durch Graph-Embeddings (FastRP) und Klassifikatoren (z. B. CySecBERT, SecRoBERTa) werden fehlende Verbindungen (z. B. CVE zu CWE oder ATT&CK-Techniken) inferiert. Dies erhöht die semantische Tiefe und deckt latente Angriffswege auf.

C. Probabilistisches Risikomodellierung

Der Graph wird mit quantitativen Metriken angereichert, um Angriffswege zu simulieren:

• Kontrollstärke ($controlStrength$): Berechnet aus Authentifizierungsmustern, Konfigurationshygiene und Hardening.
• Ausnutzungs-Wahrscheinlichkeit ($pExploit$): Ableitung aus EPSS (Exploit Prediction Scoring System), modifiziert durch die Kontrollstärke.
• Angriffskosten ($attackCost$) und Risikogewicht ($riskWeight$): Kombination aus CVSS-Vektoren, Zugriffskomplexität und der Kritikalität des Zielassets.
• Simulation: Angriffswege werden als Pfadwahrscheinlichkeiten ($p(P)$) berechnet. Links mit einem Risikogewicht unter einem Schwellenwert (z. B. 0,05) werden als nicht ausnutzbar markiert.

3. Schlüsselbeiträge

1. Industrie 5.0 Wissensgraph: Erstellung eines domänenspezifischen KGs, der industrielle Prozesssemantik mit Cybersecurity-Taxonomien vereint.
2. Intelligente Anreicherung: Nutzung von LLMs (NER, Relation Extraction, NL2KG) und Graph-Embeddings zur Auffüllung fehlender semantischer Verbindungen und zur Inferenz latenter Beziehungen.
3. Kontextbewusste Bedrohungsanalyse: Einheitliche Sicht auf IT- und OT-Sicherheit, die mehrstufige Angriffswege und deren Auswirkungen auf physische Prozesse modelliert.
4. Datengetriebene Pfadentdeckung: Simulation von Angriffsszenarien mit probabilistischen Risikometriken zur Bewertung der Wirksamkeit von Sicherheitskontrollen.
5. Resilienz und adaptive Verteidigung: Ermöglichung von Szenario-Simulationen zur kontinuierlichen Anpassung der Verteidigungsstrategien.

4. Ergebnisse und Analyse

Das Framework wurde in 15 simulierten Smart-Manufacturing-Szenarien evaluiert:

• Verbesserung der Sichtbarkeit: Durch die Anreicherung des Graphen (Inferenz latenter Kommunikationslinks) sank die durchschnittliche Anzahl der Hops für Angreifer um 20–40% im Vergleich zum Basisgraphen. Dies zeigt, dass Angreifer bisher unsichtbare Pfade nutzen können.
• Wirksamkeit von Kontrollen: Nach Anwendung von Sicherheitsmaßnahmen (Netzwerksegmentierung, Patches, IDS) stieg die durchschnittliche Pfadlänge um 25–50%. Die Anzahl der erreichbaren Assets reduzierte sich drastisch (z. B. von >12 auf 2–4 in einigen Szenarien).
• Zentralitätsanalyse: Die Anreicherung verlagerte den strukturellen Einfluss (PageRank, Betweenness Centrality) hin zu Kommunikations-Intermediären (Gateways, PLCs), was kritische Engpässe identifiziert.
• Risikoreduktion: Die Anwendung von Kontrollen führte zu einer signifikanten Reduktion des Restrisikos (Residual Risk) bei kritischen Assets (z. B. bis zu 100% Reduktion bei bestimmten Modulen).
• Genauigkeit: Die Inferenz fehlender Relationen (z. B. CVE zu ATT&CK-Techniken) erreichte eine Validierungsgenauigkeit von bis zu 98,70% mittels SecRoBERTa.

5. Bedeutung und Fazit

BRIDG-ICS stellt einen Paradigmenwechsel dar, indem es statische Threat-Intelligence-Daten in ein dynamisches, kontextbewusstes Modell überführt.

• Für Industry 5.0: Es bietet die notwendige Grundlage für resiliente, selbstverteidigende industrielle Ökosysteme, indem es die Lücke zwischen IT-Bedrohungen und OT-Konsequenzen schließt.
• Praktischer Nutzen: Das Framework ermöglicht Sicherheitsanalysten, nicht nur dass ein Angriff möglich ist, sondern wie er sich durch das System ausbreitet und welche spezifischen Kontrollen die Ausbreitung am effektivsten stoppen.
• Zukunftsperspektive: Das Framework bildet die Basis für autonome, agentenbasierte Sicherheitssysteme, die in Echtzeit Bedrohungshypothesen generieren und Verteidigungsmaßnahmen anpassen können.

Zusammenfassend demonstriert BRIDG-ICS, dass die Kombination aus Wissensgraphen, probabilistischer Modellierung und KI-gestützter semantischer Anreicherung essenziell ist, um der Komplexität moderner Cyber-Physischer Bedrohungen gerecht zu werden.