Mit PA-SIEM dem Datenklau auf der Spur

Die Forscher setzen auf einen dreistufigen Prozess

Zuerst sammelt die SIEM-Software wie bisher die Ereignismeldungen der einzelnen Arbeitsplatz-PCs und Server.

Im zweiten Schritt durchsuchen spezielle Algorithmen die Ereignismeldungen auf bekannte Hinweise sowie auf Anomalien, also auf Abweichungen vom üblichen Verhalten. Die Suchergebnisse können auf einen Einbruch hinweisen, aber nicht zwangsläufig. Sendet ein PC plötzlich auffällig viele Daten ins Internet, so kann es sich dabei um einen Einbruch handeln – oder aber der Mitarbeiter schickt lediglich außergewöhnlich große Dokumente an einen Kunden.

Systeme, die solche Anomalien erkennen, gibt es bereits. Allerdings haben sie meist eine hohe Falsch-Positiv-Rate. Selbst wenn diese nur bei einem Promille liegt – also eine von tausend Meldungen fälschlicherweise als Bedrohung gesehen wird – laufen bei den Computerexperten je nach Größe des Unternehmens schnell mehrere Tausend Alarme pro Tag auf.

Jobangebote+ passend zum Thema

MACNICA ATD EUROPE - Ihre berufliche Zukunft

MACNICA ATD Europe GmbH, Ingolstadt

---

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Der letzte Schritt macht den Unterschied

Laut Uetz liegt der Clou im dritten Schritt: »Wir kombinieren die Hinweise und können die Fehlerrate somit stark senken«, erläutert Uetz.

Ein vereinfachtes Zahlenbeispiel erläutert das: Bei einem Ereignis, das zu neunzig Prozent durch einen Angriff ausgelöst wurde, läge die Falsch-Positiv-Rate bei zehn Prozent. Werden zwei solcher Meldungen hintereinander gereiht – kommt also etwa eine E-Mail mit einem PDF-Anhang an und steigt später die ins Internet gesendete Datenmenge – sinkt die Rate bereits auf ein Prozent – also auf zehn Prozent von zehn Prozent. Bei einer Dreier-Verknüpfung sogar auf 0,1 Prozent.

Bei diesen Ereigniskette sprechen Experten von der »Intrusion Kill Chain«. Auch im Bundestag gab es eine solche Ereigniskette: Eine Spear-Phishing-E-Mail installierte eine Schadsoftware. Die spähte anschließend Benutzernamen und Passwörter von Administratoren aus und bereitete den Angreifern den Weg, um Daten zu klauen, zu löschen oder zu manipulieren. Doch mit der Software PA-SIEM wäre dies deutlich schneller aufgefallen.

1. Mit PA-SIEM dem Datenklau auf der Spur
2. Die Forscher setzen auf einen dreistufigen Prozess

Lesen Sie mehr zum Thema

Das könnte Sie auch interessieren

Lernlabor Cybersicherheit

Fraunhofer Academy zeigt, wie Hacker arbeiten

Cyber-Security

VDE richtet Austausch-Plattform zu Security-Vorfällen ein

Weitere Artikel zu Fraunhofer FKIE Institut für Kommunikation, Informationsverarbeitung und Ergonomie

Fraunhofer- und Leibnitz-Institute

Sicherheits- und verteidigungsrelevante Forschung in Sachsen

Tag der Frauen in der Wissenschaft

»Heute zu programmieren, hätte ich mir nicht vorstellen können«

Workshop am Fraunhofer FKIE

»Drohnentechnik für Logistikanwendungen«

Cyber-Sicherheit für KRITIS

Stromnetze resilienter gegen Angriffe machen

Transport auf Fährschiffen

Sichere Überfahrt mit Elektrofahrzeug und Co.

Weitere Artikel zu Cyber-Security

Increased focus on cybersecurity

Siemens enables Zero Trust security in industrial networks

Verstärkter Fokus auf Cybersicherheit

Siemens ermöglicht Zero-Trust-Security in Industrie-Netzwerken

Militär- und KRITIS-Anwendungen

iesy: »Security muss im Systemkern verankert sein«

Proliance

»Digitale Souveränität ist entscheidend«

Regulatorik in der Cybersicherheit

»Viele Unternehmen unterschätzen die Tragweite der NIS-2«

Weitere Artikel zu Messdatenerfassung

Die optimale Balance finden

Messdatenqualität: Eine Frage der Abtastrate

High-speed-Datenerfassung und -analyse

Mixed-Signal-Oszilloskop meets DAQ

Interview: 40 Jahre Datatec

»Wir wollen weiterwachsen, aber mit Maß und Substanz«

Ray Penny übernimmt die Führung

Erster Europäer an der Spitze von Mitutoyo Europe

Neues interferometrisches Messverfahren

PTB misst Klebeschichtbewegungen in Lithografiespiegeln