Datensicherheit

Hackerangriffe zielsicher und schnell entlarven

| Redakteur: Beate Christmann

Datengefährdender Hack oder nervenraubender Fehlalarm? Die neue Fraunhofer-Software soll die Fehlerrate bei der Identifizierung von Cyberattacken reduzieren.
Datengefährdender Hack oder nervenraubender Fehlalarm? Die neue Fraunhofer-Software soll die Fehlerrate bei der Identifizierung von Cyberattacken reduzieren. (Bild: gemeinfrei / CC0)

Zu spät bemerkte Datendiebstähle durch Hacker halten Unternehmen und ganze Regierungen immer wieder in Schach. Fraunhofer-Forscher haben nun die Software PA-SIEM entwickelt, mit der sie Cyberattacken schneller auf die Spur kommen wollen.

Der Trojaner Wanna-Cry, der im Mai dieses Jahres unzählige PCs in aller Welt lahmlegte, oder der große Datenklau beim Deutschen Bundestag im Jahr 2015 – zunächst unbemerkte Cyberattacken sind an der Tagesordnung und richten nachhaltig Schäden an.

Nach Einschätzung des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben IT-Experten bislang kaum eine Chance, Organisationen dauerhaft vor derartigen Netzwerkeinbrüchen zu schützen, da die Ereignisse, die auf mögliche Angriffe hindeuten, zu zahlreich und zu wenig aussagekräftig sind.

Ziel: Cyberangriffe frühzeitig erkennen

Forscher am Fraunhofer-FKIE in Bonn, an der Ostbayerischen Technischen Hochschule (OTH) Regensburg und des Unternehmens Netzwerk haben deswegen im Projekt PA-SIEM eine gleichnamige Software entwickelt, mit der es IT-Verantwortliche künftig möglich werden soll, Hackerattacken zuverlässig und vor allem frühzeitig zu identifizieren. „Statt Angriffe lediglich durch vorher festgelegte Regeln zu erkennen, berechnet PA-SIEM typische Angriffsmuster auch aus unvollständigen oder schwachen Hinweisen“, sagt Rafael Uetz, Wissenschaftler am Fraunhofer-FKIE.

Die Angreifer schleichen sich meist über Phishing-E-Mails oder infizierte regelmäßig besuchte Webseiten auf die fremden Computer. In vielen Organisationen laufen Ereignismeldungen bereits in SIEM-Systemen (Security-Information-and-Event-Management-Systemen) zusammen. Diese enthalten Meldungen über den täglichen Betrieb – etwa darüber, welche Benutzer sich angemeldet haben oder welche Internetseiten geöffnet wurden. Jedoch ist es selbst für Computerexperten kaum möglich, in dieser schier unendlichen Datenflut Meldungen zu finden, die auf eine Cyberattacke hindeuten. Suchergebnisse von Systemen, die diese Meldungen systematisch auf Anomalien untersuchen, können auf einen Einbruch hinweisen, müssen dies aber nicht zwangsläufig: Sendet ein PC beispielsweise plötzlich auffällig viele Daten ins Internet, so kann es sich dabei um einen Einbruch handeln – oder aber der Mitarbeiter schickt lediglich außergewöhnlich große Dokumente an einen Kunden.

Dreistufiger Prozess soll Falsch-Positiv-Rate verbessern

Mit der neuen Software setzen die Wissenschaftler auf einen dreistufigen Prozess: Zunächst sammelt die SIEM-Software wie bisher die Ereignismeldungen der einzelnen Arbeitsplatz-PCs und Server. Im zweiten Schritt durchsuchen spezielle Algorithmen diese Ereignismeldungen auf bekannte Hinweise sowie auf Anomalien. Bereits existierende Systeme, die solche Abweichungen vom normalen Verhalten erkennen, haben bisher meist eine hohe Falsch-Positiv-Rate. Selbst wenn diese nur bei einem Promille liegt – also eine von hundert Meldungen fälschlicherweise als Bedrohung gesehen wird – laufen je nach Unternehmensgröße schnell mehrere Tausend Alarme pro Tag auf.

„Im dritten Schritt kombinieren wir die Hinweise zu Ereignisketten, sogenannten Intrusion Kill Chains, und können die Fehlerrate somit stark senken“, erklärt Uetz. Ein vereinfachtes Zahlenbeispiel soll das erläutern: Bei einem Ereignis, das zu 90 Prozent durch einen Angriff ausgelöst wurde, läge die Falsch-Positiv-Rate bei 10 Prozent. Reiht man zwei solcher Meldungen hintereinander – kommt also etwa eine E-Mail mit einem PDF-Anhang an und steigt später die ins Internet gesendete Datenmenge – sinkt diese Rate bereits auf 1 Prozent – also auf 10 Prozent von 10 Prozent –, bei einer Dreierverknüpfung gar auf 0,1 Prozent.

Dieser Beitrag stammt von unserem Partnerportal MaschinenMarkt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

 

Copyright © 2017 - Vogel Business Media