Definition User Behavior Analytics (UBA) Was ist User Behavior Analytics (UBA)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

User Behavior Analytics wertet das Verhalten von IT-Nutzern aus. Ziel ist es, vom normalen Verhalten abweichende Muster in Echtzeit zu erkennen und Angriffe oder gefährliche Transaktionen zu identifizieren und zu verhindern. UBA reduziert das Risiko für Insider-Bedrohungen. Zum Einsatz kommen Big-Data-Technologien und Methoden des Maschinellen Lernens (ML). Aus datenschutzrechtlicher Sicht ist UBA als kritisch anzusehen.

User Behavior Analytics (UBA) beschreibt die Analyse des IT-Nutzverhaltens zur Ermittlung abweichender Verhaltensmuster.
User Behavior Analytics (UBA) beschreibt die Analyse des IT-Nutzverhaltens zur Ermittlung abweichender Verhaltensmuster.
(Bild: gemeinfrei / Pixabay )

Das Kürzel UBA steht für User Behavior Analytics. UBA kann als ein Teilbereich von User and Entity Behavior Analytics (UEBA) betrachtet werden. Es handelt sich um Verfahren und technische Lösungen, um Insider-Bedrohungen zu erkennen und zu verhindern. UBA sammelt Daten zum Nutzerverhalten, analysiert sie in Echtzeit und versucht Abweichungen von normalen Verhaltensmustern zu identifizieren.

Für die Analysen kommen Big-Data-Technologien und Methoden des Maschinellen Lernens (ML) zum Einsatz. Die Systeme lernen zunächst das normale User-Verhalten kennen und sind anschließend in der Lage, Anomalien im Nutzerverhalten zu erkennen. Die Analyse des Nutzerverhaltens hilft, legitime Nutzung der IT-Systeme von unberechtigter Nutzung durch Angreifer oder Mitarbeiter zu unterscheiden. Ziele von User Behavior Analytics sind die Abwehr von Angriffen auf die IT-Systeme, das Verhindern von Datendiebstahl und die Minimierung weiterer Risiken für die Cyber Security.

Ausgewertet werden beispielsweise Netzwerkprotokolle, Logdaten über Dateizugriffe, AAA-Logdaten (Authentication, Authorization, Accounting) und vieles mehr. Ist eine Anomalie gefunden, alarmiert das UBA-System die für die Cyber Security verantwortlichen Stellen oder Personen. Einige Systeme sind darüber hinaus in der Lage, Zugriffe für verdächtige Nutzer zu erschweren oder zu blockieren. Aus datenschutzrechtlicher Sicht wirft User Behavior Analytics eine Vielzahl an Fragestellungen auf.

In Deutschland haben Betriebsräte und Personalvertretungen Mitspracherechte, wie und in welchem Umfang das Nutzerverhalten analysiert werden darf. Eine Variante von User Behavior Analytics ist Privileged User Behavior Analytics (PUBA). Sie konzentriert sich auf die Analyse des Nutzerverhaltens von IT-Anwendern mit besonderen Systemberechtigungen wie IT-Administratoren. Auf dem Markt existieren zahlreiche UBA-Produkte und -Lösungen. Je nach Produkt oder Lösung sind sie für On-Premises-Umgebungen, Cloud-Umgebungen und/oder hybride IT-Landschaften einsetzbar.

Funktionsweise von UBA

User Behavior Analytics läuft in verschiedenen Phasen ab. Zunächst sammeln die Systeme Daten über das Nutzerverhalten aus verschiedenen Quellen. Anhand dieser Daten lernt UBA das normale Nutzerverhalten kennen. Hierfür wird beispielsweise untersucht, auf welche Server und Dateien Nutzer normalerweise zugreifen, von wo aus und zu welchen Zeiten dies geschieht, welche typischen Anwendungen ausgeführt werden oder welche Endgeräte, Betriebssysteme und Netzwerke der Anwender nutzt. Nach diesem Baselining ist das UBA-System in der Lage, Abweichungen vom normalen Nutzerverhalten in Echtzeit zu identifizieren und weitergehende Maßnahmen wie die Alarmierung der Verantwortlichen oder das Blockieren bestimmter Nutzer einzuleiten. Es werden Risiko-Scoring-Techniken zur Unterscheidung von normalem und abweichendem Verhalten eingesetzt.

Typische von UBA identifizierbare Anomalien

Typische Abweichungen, die User Behavior Analytics erkennt, sind beispielsweise:

  • in Art und Umfang ungewöhnliche Dateizugriffe
  • User-Zugriffe von ungewöhnlichen Endgeräten, Standorten oder Netzwerken
  • von den Standardzeiten abweichende Nutzeraktivität
  • ungewöhnliche Veränderungen der Systemkonfigurationen
  • ungewöhnlich viele Login-Versuche
  • Login-Versuche auf üblicherweise von einem Anwender nicht verwendete Systeme
  • Verwendung ungewöhnlicher Nutzerkonten

Vorteile durch User Behavior Analytics

Mit Hilfe von User Behavior Analytics lässt sich das Risiko für Insider-Bedrohungen oder für Angriffe von Personen mit unberechtigt verschafftem Zugriff reduzieren. UBA erkennt gefährliches oder kritisches Verhalten von Mitarbeitern, Dienstleistern oder von externen Angreifern, die unberechtigten Zugriff haben. Da die Analysen in Echtzeit erfolgen, werden Bedrohungen direkt aufgedeckt. Gegenmaßnahmen können unmittelbar eingeleitet werden. Dank Einsatz des Maschinellen Lernens optimieren die UBA-Systeme ihre Erkennungsmuster selbständig. Sicherheitsteams werden von Standardaufgaben und manuellen Analysetätigkeiten entlastet.

(ID:47018962)

Über den Autor