:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition User Behavior Analytics (UBA) Was ist User Behavior Analytics (UBA)?
User Behavior Analytics wertet das Verhalten von IT-Nutzern aus. Ziel ist es, vom normalen Verhalten abweichende Muster in Echtzeit zu erkennen und Angriffe oder gefährliche Transaktionen zu identifizieren und zu verhindern. UBA reduziert das Risiko für Insider-Bedrohungen. Zum Einsatz kommen Big-Data-Technologien und Methoden des Maschinellen Lernens (ML). Aus datenschutzrechtlicher Sicht ist UBA als kritisch anzusehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Kürzel UBA steht für User Behavior Analytics. UBA kann als ein Teilbereich von User and Entity Behavior Analytics (UEBA) betrachtet werden. Es handelt sich um Verfahren und technische Lösungen, um Insider-Bedrohungen zu erkennen und zu verhindern. UBA sammelt Daten zum Nutzerverhalten, analysiert sie in Echtzeit und versucht Abweichungen von normalen Verhaltensmustern zu identifizieren.
Für die Analysen kommen Big-Data-Technologien und Methoden des Maschinellen Lernens (ML) zum Einsatz. Die Systeme lernen zunächst das normale User-Verhalten kennen und sind anschließend in der Lage, Anomalien im Nutzerverhalten zu erkennen. Die Analyse des Nutzerverhaltens hilft, legitime Nutzung der IT-Systeme von unberechtigter Nutzung durch Angreifer oder Mitarbeiter zu unterscheiden. Ziele von User Behavior Analytics sind die Abwehr von Angriffen auf die IT-Systeme, das Verhindern von Datendiebstahl und die Minimierung weiterer Risiken für die Cyber Security.
Ausgewertet werden beispielsweise Netzwerkprotokolle, Logdaten über Dateizugriffe, AAA-Logdaten (Authentication, Authorization, Accounting) und vieles mehr. Ist eine Anomalie gefunden, alarmiert das UBA-System die für die Cyber Security verantwortlichen Stellen oder Personen. Einige Systeme sind darüber hinaus in der Lage, Zugriffe für verdächtige Nutzer zu erschweren oder zu blockieren. Aus datenschutzrechtlicher Sicht wirft User Behavior Analytics eine Vielzahl an Fragestellungen auf.
In Deutschland haben Betriebsräte und Personalvertretungen Mitspracherechte, wie und in welchem Umfang das Nutzerverhalten analysiert werden darf. Eine Variante von User Behavior Analytics ist Privileged User Behavior Analytics (PUBA). Sie konzentriert sich auf die Analyse des Nutzerverhaltens von IT-Anwendern mit besonderen Systemberechtigungen wie IT-Administratoren. Auf dem Markt existieren zahlreiche UBA-Produkte und -Lösungen. Je nach Produkt oder Lösung sind sie für On-Premises-Umgebungen, Cloud-Umgebungen und/oder hybride IT-Landschaften einsetzbar.
Funktionsweise von UBA
User Behavior Analytics läuft in verschiedenen Phasen ab. Zunächst sammeln die Systeme Daten über das Nutzerverhalten aus verschiedenen Quellen. Anhand dieser Daten lernt UBA das normale Nutzerverhalten kennen. Hierfür wird beispielsweise untersucht, auf welche Server und Dateien Nutzer normalerweise zugreifen, von wo aus und zu welchen Zeiten dies geschieht, welche typischen Anwendungen ausgeführt werden oder welche Endgeräte, Betriebssysteme und Netzwerke der Anwender nutzt. Nach diesem Baselining ist das UBA-System in der Lage, Abweichungen vom normalen Nutzerverhalten in Echtzeit zu identifizieren und weitergehende Maßnahmen wie die Alarmierung der Verantwortlichen oder das Blockieren bestimmter Nutzer einzuleiten. Es werden Risiko-Scoring-Techniken zur Unterscheidung von normalem und abweichendem Verhalten eingesetzt.
Typische von UBA identifizierbare Anomalien
Typische Abweichungen, die User Behavior Analytics erkennt, sind beispielsweise:
- in Art und Umfang ungewöhnliche Dateizugriffe
- User-Zugriffe von ungewöhnlichen Endgeräten, Standorten oder Netzwerken
- von den Standardzeiten abweichende Nutzeraktivität
- ungewöhnliche Veränderungen der Systemkonfigurationen
- ungewöhnlich viele Login-Versuche
- Login-Versuche auf üblicherweise von einem Anwender nicht verwendete Systeme
- Verwendung ungewöhnlicher Nutzerkonten
Vorteile durch User Behavior Analytics
Mit Hilfe von User Behavior Analytics lässt sich das Risiko für Insider-Bedrohungen oder für Angriffe von Personen mit unberechtigt verschafftem Zugriff reduzieren. UBA erkennt gefährliches oder kritisches Verhalten von Mitarbeitern, Dienstleistern oder von externen Angreifern, die unberechtigten Zugriff haben. Da die Analysen in Echtzeit erfolgen, werden Bedrohungen direkt aufgedeckt. Gegenmaßnahmen können unmittelbar eingeleitet werden. Dank Einsatz des Maschinellen Lernens optimieren die UBA-Systeme ihre Erkennungsmuster selbständig. Sicherheitsteams werden von Standardaufgaben und manuellen Analysetätigkeiten entlastet.
(ID:47018962)
:quality(80)/p7i.vogel.de/wcms/66/38/663833379728caf2c98043bbd3fc05e3/0108283892.jpeg "Immer mehr Unternehmen setzen auf „Zero Trust“. Das ist allerdings kein technisches Verfahren oder eine Software, sondern eine Sicherheitsphilosophie. (Bild: Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/10/b4102cd9af86ae0ca41da7e385ac5a71/0111588132.jpeg "KI und ML ermöglichen eine deutliche Verbesserung der Netzwerksicherheit, da sie Bedrohungen schneller und präziser erkennen und die Nachteile regelbasierter Sicherheitslösungen umgehen können. (Bild: Kaikoro - stock.adobe.com)")