Suchen

Datenschutz

Hackerangriffe zielsicher und schnell entlarven

| Redakteur: Dipl.-Medienwirt (FH) Matthias Back

Zu spät bemerkte Datendiebstähle durch Hacker halten Unternehmen und ganze Regierungen immer wieder in Schach. Fraunhofer-Forscher haben nun die Software PA-SIEM entwickelt, mit der sie Cyberattacken schneller auf die Spur kommen wollen.

Firmen zum Thema

Datengefährdender Hack oder nervenraubender Fehlalarm? Die neue Fraunhofer-Software soll die Fehlerrate bei der Identifizierung von Cyberattacken reduzieren.
Datengefährdender Hack oder nervenraubender Fehlalarm? Die neue Fraunhofer-Software soll die Fehlerrate bei der Identifizierung von Cyberattacken reduzieren.
(Bild: gemeinfrei / CC0)

Der Trojaner Wanna-Cry, der im Mai dieses Jahres unzählige PCs in aller Welt lahmlegte, oder der große Datenklau beim Deutschen Bundestag im Jahr 2015 – zunächst unbemerkte Cyberattacken sind an der Tagesordnung und richten nachhaltig Schäden an. Nach Einschätzung des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben IT-Experten bislang kaum eine Chance, Organisationen dauerhaft vor derartigen Netzwerkeinbrüchen zu schützen, da die Ereignisse, die auf mögliche Angriffe hindeuten, zu zahlreich und zu wenig aussagekräftig sind.

Ziel: Cyberangriffe frühzeitig erkennen

Forscher am Fraunhofer-FKIE in Bonn, an der Ostbayerischen Technischen Hochschule (OTH) Regensburg und des Unternehmens Netzwerk haben deswegen im Projekt PA-SIEM eine gleichnamige Software entwickelt, mit der es IT-Verantwortliche künftig möglich werden soll, Hackerattacken zuverlässig und vor allem frühzeitig zu identifizieren. „Statt Angriffe lediglich durch vorher festgelegte Regeln zu erkennen, berechnet PA-SIEM typische Angriffsmuster auch aus unvollständigen oder schwachen Hinweisen“, sagt Rafael Uetz, Wissenschaftler am Fraunhofer-FKIE.

Tipp der Redaktion Cyber-Attacken auf Prozessanlagen nehmen zu. Sicherheitsgerichtete Automatisierungslösungen müssen heute daher neben der Funktionalen Sicherheit (Safety) auch Cyber Security unterstützen. Erfahren Sie in unserem Whitepaper der Woche, „wie Sie Prozessanlagen effektiv vor Cyber-Attacken bewahren“.

Die Angreifer schleichen sich meist über Phishing-E-Mails oder infizierte regelmäßig besuchte Webseiten auf die fremden Computer. In vielen Organisationen laufen Ereignismeldungen bereits in SIEM-Systemen (Security-Information-and-Event-Management-Systemen) zusammen. Diese enthalten Meldungen über den täglichen Betrieb – etwa darüber, welche Benutzer sich angemeldet haben oder welche Internetseiten geöffnet wurden. Jedoch ist es selbst für Computerexperten kaum möglich, in dieser schier unendlichen Datenflut Meldungen zu finden, die auf eine Cyberattacke hindeuten. Suchergebnisse von Systemen, die diese Meldungen systematisch auf Anomalien untersuchen, können auf einen Einbruch hinweisen, müssen dies aber nicht zwangsläufig: Sendet ein PC beispielsweise plötzlich auffällig viele Daten ins Internet, so kann es sich dabei um einen Einbruch handeln – oder aber der Mitarbeiter schickt lediglich außergewöhnlich große Dokumente an einen Kunden.

Dreistufiger Prozess soll Falsch-Positiv-Rate verbessern

Mit der neuen Software setzen die Wissenschaftler auf einen dreistufigen Prozess: Zunächst sammelt die SIEM-Software wie bisher die Ereignismeldungen der einzelnen Arbeitsplatz-PCs und Server. Im zweiten Schritt durchsuchen spezielle Algorithmen diese Ereignismeldungen auf bekannte Hinweise sowie auf Anomalien. Bereits existierende Systeme, die solche Abweichungen vom normalen Verhalten erkennen, haben bisher meist eine hohe Falsch-Positiv-Rate. Selbst wenn diese nur bei einem Promille liegt – also eine von hundert Meldungen fälschlicherweise als Bedrohung gesehen wird – laufen je nach Unternehmensgröße schnell mehrere Tausend Alarme pro Tag auf.

„Im dritten Schritt kombinieren wir die Hinweise zu Ereignisketten, sogenannten Intrusion Kill Chains, und können die Fehlerrate somit stark senken“, erklärt Uetz. Ein vereinfachtes Zahlenbeispiel soll das erläutern: Bei einem Ereignis, das zu 90 % durch einen Angriff ausgelöst wurde, läge die Falsch-Positiv-Rate bei 10 %. Reiht man zwei solcher Meldungen hintereinander – kommt also etwa eine E-Mail mit einem PDF-Anhang an und steigt später die ins Internet gesendete Datenmenge – sinkt diese Rate bereits auf 1 % – also auf 10 % von 10 % –, bei einer Dreierverknüpfung gar auf 0,1 %.

Der Beitrag erschien zuerst auf dem Portal unserer Schwestermarke MM Maschinenmarkt.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44849548)