Fraunhofer FKIE Mit PA-SIEM dem Datenklau auf der Spur

Mit profilbasierter Anomalieerkennung für SIEM-Systeme kommen IT-Experten Datenklau schneller auf die Spur.
Mit profilbasierter Anomalieerkennung für SIEM-Systeme kommen IT-Experten Datenklau schneller auf die Spur.

Computerexperten haben kaum eine Chance, Systeme dauerhaft vor Netzwerkeinbrüchen zu schützen. Die gesammelten Ereignismeldungen, die auf mögliche Cyberattacken hinweisen sind zu zahlreich und wenig aussagekräftig. Mit PA-SIEM bekommen IT-Verantwortliche ein effektives Werkzeug an die Hand.

Datenklau und Identitätsdiebstahl gelangen mittlerweile regelmäßig in die Schlagzeilen. Erst Ende Juli ergatterten Hacker Informationen von 400.000 UniCredit-Kunden. Doch es gibt noch viele weitere Beispiele, wie 2015 der Cyberangriff auf den Bundestag. Der Datenklau blieb geraume Zeit unbemerkt und wurde nur durch Zufall entdeckt. Zu diesem Zeitpunkt haben die Hacker bereits 16 Gigabyte Daten gestohlen – vor allem Dokumente, E-Mails und Tastatureingaben.

Neben Behörden sind jedoch auch Unternehmen und anderen Organisationen beliebte Ziele für Hackerattacken. Leider spielen dabei auch häufig die Nutzer und Mitarbeiter eine wichtige Rolle, denn die Angreifer erhalten häufig durch Phishing-Emails Zugriff auf die Computer der Empfänger. Andere infizieren regelmäßig besuchte Webseiten.

Derartigen Angriffen haben IT-Sicherheitsexperten momentan noch wenig entgegenzusetzen. Zwar laufen in vielen Organisationen Ereignismeldungen in SIEM-Systemen zusammen – kurz für »Security Information and Event Management«. Allerdings enthalten die Meldungen riesige Mengen von Meldungen über den täglichen Betrieb – zum Beispiel, welche Benutzer sich angemeldet haben oder welche Internetseiten geöffnet wurden. Für die Computerexperten ist es ein Ding der Unmöglichkeit, in der nicht enden wollenden Datenflut die auf einen Einbruch hindeutenden Meldungen zu finden. Somit gleichen SIEM-Systeme oft einem Datengrab.

Hinweise in Ereignismeldungen erkennen und korrelieren

Doch künftig können Netzwerkangriffe schneller aufgespürt werden: Das ermöglicht die Software PA-SIEM – kurz für »Profilbasierte Anomalieerkennung für SIEM-Systeme«. Entwickelt wird sie von Forschern am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn und ihren Kollegen der Ostbayerischen Technischen Hochschule OTH Regensburg und der Netzwerk GmbH im gleichnamigen Projekt des Bundesministeriums für Bildung und Forschung BMBF.

»Statt Angriffe lediglich durch vorher festgelegte Regeln zu erkennen, berechnet PA-SIEM typische Angriffsmuster auch aus unvollständigen oder schwachen Hin-weisen«, sagt Rafael Uetz, Wissenschaftler am FKIE. »Auf diese Weise lassen sich Netzwerkeinbrüche deutlich effektiver und schneller erkennen.«