Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Datenklau – schnell entdeckt!

01.08.2017

Profilbasierte Anomalieerkennung für SIEM-Systeme

Computerexperten haben bislang kaum eine Chance, Unternehmen oder Behörden dauerhaft vor Netzwerkeinbrüchen zu schützen. Zu zahlreich und wenig aussagekräftig sind die Ereignisse, die auf mögliche Hacker-Angriffe hindeuten. Mit PA-SIEM bekommen IT-Verantwortliche ein effektives Werkzeug an die Hand. So können sie Datenklau und Co. schneller entlarven und Daten besser schützen.


Datenklau schneller auf die Spur kommen – dabei hilft die profilbasierte Anomalieerkennung für SIEM-Systeme.

© Fraunhofer FKIE

Bundestag gehackt – diese Meldung sorgte im Jahr 2015 für Schlagzeilen. Das Bedenkliche dabei: Der Datenklau blieb geraume Zeit unbemerkt, nur durch Zufall wurde er entdeckt. 16 Gigabyte Daten, vor allem Dokumente, E-Mails und Tastatureingaben, waren zu diesem Zeitpunkt schon in unbefugte Hände gelangt. Gefahr droht neben Behörden auch Unternehmen und anderen Organisationen.

Als Einfallstor dienen den Angreifern häufig Phishing-Emails, über die sie Zugriff auf die Computer der Empfänger erhalten, oder aber sie infizieren regelmäßig besuchte Webseiten. IT-Sicherheitsexperten haben dem momentan noch wenig entgegenzusetzen.

Zwar laufen in vielen Organisationen Ereignismeldungen in SIEM-Systemen zusammen, kurz für »Security Information and Event Management«. Diese enthalten jedoch riesige Mengen von Meldungen über den täglichen Betrieb – etwa darüber, welche Benutzer sich angemeldet haben oder welche Internetseiten geöffnet wurden. Für die Computerexperten ist es ein Ding der Unmöglichkeit, in der nicht enden wollenden Datenflut die auf einen Einbruch hindeutenden Meldungen zu finden. Ergo: SIEM-Systeme gleichen oft einem Datengrab.

Hinweise in Ereignismeldungen erkennen und korrelieren

Künftig ist es möglich, Netzwerkangriffen schneller auf die Spur zu kommen. Möglich macht es die Software PA-SIEM, kurz für »Profilbasierte Anomalieerkennung für SIEM-Systeme«. Entwickelt wird sie von Forschern am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn und ihren Kollegen der Ostbayerischen Technischen Hochschule OTH Regensburg und der NETZWERK GmbH im gleichnamigen Projekt des Bundesministeriums für Bildung und Forschung BMBF.

»Statt Angriffe lediglich durch vorher festgelegte Regeln zu erkennen, berechnet PA-SIEM typische Angriffsmuster auch aus unvollständigen oder schwachen Hin-weisen«, sagt Rafael Uetz, Wissenschaftler am FKIE. »Auf diese Weise lassen sich Netzwerkeinbrüche deutlich effektiver und schneller erkennen.«

Die Forscher setzen dabei auf einen dreistufigen Prozess: Zunächst einmal sammelt die SIEM-Software wie bisher die Ereignismeldungen der einzelnen Arbeitsplatz-PCs und Server. Im zweiten Schritt durchsuchen spezielle Algorithmen diese Ereignismeldungen auf bekannte Hinweise sowie auf Anomalien, also auf Abweichungen vom üblichen Verhalten. Die Suchergebnisse können auf einen Einbruch hinweisen, müssen dies aber nicht zwangsläufig.

Sendet ein PC beispielsweise plötzlich auffällig viele Daten ins Internet, so kann es sich dabei um einen Einbruch handeln – oder aber der Mitarbeiter schickt lediglich außergewöhnlich große Dokumente an einen Kunden. Systeme, die solche Anomalien erkennen, gibt es bereits. Allerdings haben sie meist eine hohe Falsch-Positiv-Rate. Selbst wenn diese nur bei einem Promille liegt – also eine von tausend Meldungen fälschlicherweise als Bedrohung gesehen wird – laufen bei den Computerexperten je nach Größe des Unternehmens schnell mehrere Tausend Alarme pro Tag auf.

Ereignisketten sind der Weg zum Ziel

»Der Clou liegt quasi im dritten Schritt: Wir kombinieren die Hinweise und können die Fehlerrate somit stark senken«, erläutert Uetz. Ein vereinfachtes Zahlenbeispiel erläutert das: Bei einem Ereignis, das zu neunzig Prozent durch einen Angriff ausgelöst wurde, läge die Falsch-Positiv-Rate bei zehn Prozent. Reiht man zwei solcher Meldungen hintereinander – kommt also etwa eine E-Mail mit einem PDF-Anhang an und steigt später die ins Internet gesendete Datenmenge – sinkt diese Rate bereits auf ein Prozent – also auf zehn Prozent von zehn Prozent –, bei einer Dreier-Verknüpfung gar auf 0,1 Prozent.

Eine solche Ereigniskette, Experten sprechen von der »Intrusion Kill Chain«, gab es auch im Bundestag: Eine Spear-Phishing-E-Mail installierte Schadsoftware, die anschließend Benutzernamen und Passwörter von Administratoren ausspähte und den Angreifern somit den Weg bereitete, um Daten zu klauen, zu löschen oder zu manipulieren. Mit der Software PA-SIEM wäre dies deutlich schneller aufgefallen.

Weitere Informationen:

https://www.fraunhofer.de/de/presse/presseinformationen/2017/august/datenklau-_-...

Silke Wiesemann | Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Deep Learning und KI in der Motorenentwicklung – IAV und DFKI eröffnen gemeinsames Forschungslabor
23.01.2018 | Deutsches Forschungszentrum für Künstliche Intelligenz GmbH, DFKI

nachricht Original bleibt Original - Neues Produktschutzverfahren für KFZ-Kennzeichenschilder
19.01.2018 | Fraunhofer-Institut für Werkstoff- und Strahltechnik IWS

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Optisches Nanoskop ermöglicht Abbildung von Quantenpunkten

Physiker haben eine lichtmikroskopische Technik entwickelt, mit der sich Atome auf der Nanoskala abbilden lassen. Das neue Verfahren ermöglicht insbesondere, Quantenpunkte in einem Halbleiter-Chip bildlich darzustellen. Dies berichten die Wissenschaftler des Departements Physik und des Swiss Nanoscience Institute der Universität Basel zusammen mit Kollegen der Universität Bochum in «Nature Photonics».

Mikroskope machen Strukturen sichtbar, die dem menschlichen Auge sonst verborgen blieben. Einzelne Moleküle und Atome, die nur Bruchteile eines Nanometers...

Im Focus: Optical Nanoscope Allows Imaging of Quantum Dots

Physicists have developed a technique based on optical microscopy that can be used to create images of atoms on the nanoscale. In particular, the new method allows the imaging of quantum dots in a semiconductor chip. Together with colleagues from the University of Bochum, scientists from the University of Basel’s Department of Physics and the Swiss Nanoscience Institute reported the findings in the journal Nature Photonics.

Microscopes allow us to see structures that are otherwise invisible to the human eye. However, conventional optical microscopes cannot be used to image...

Im Focus: Vollmond-Dreierlei am 31. Januar 2018

Am 31. Januar 2018 fallen zum ersten Mal seit dem 30. Dezember 1982 "Supermond" (ein Vollmond in Erdnähe), "Blutmond" (eine totale Mondfinsternis) und "Blue Moon" (ein zweiter Vollmond im Kalendermonat) zusammen - Beobachter im deutschen Sprachraum verpassen allerdings die sichtbaren Phasen der Mondfinsternis.

Nach den letzten drei Vollmonden am 4. November 2017, 3. Dezember 2017 und 2. Januar 2018 ist auch der bevorstehende Vollmond am 31. Januar 2018 ein...

Im Focus: Maschinelles Lernen im Quantenlabor

Auf dem Weg zum intelligenten Labor präsentieren Physiker der Universitäten Innsbruck und Wien ein lernfähiges Programm, das eigenständig Quantenexperimente entwirft. In ersten Versuchen hat das System selbständig experimentelle Techniken (wieder)entdeckt, die heute in modernen quantenoptischen Labors Standard sind. Dies zeigt, dass Maschinen in Zukunft auch eine kreativ unterstützende Rolle in der Forschung einnehmen könnten.

In unseren Taschen stecken Smartphones, auf den Straßen fahren intelligente Autos, Experimente im Forschungslabor aber werden immer noch ausschließlich von...

Im Focus: Artificial agent designs quantum experiments

On the way to an intelligent laboratory, physicists from Innsbruck and Vienna present an artificial agent that autonomously designs quantum experiments. In initial experiments, the system has independently (re)discovered experimental techniques that are nowadays standard in modern quantum optical laboratories. This shows how machines could play a more creative role in research in the future.

We carry smartphones in our pockets, the streets are dotted with semi-autonomous cars, but in the research laboratory experiments are still being designed by...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks Industrie & Wirtschaft
Veranstaltungen

15. BF21-Jahrestagung „Mobilität & Kfz-Versicherung im Fokus“

23.01.2018 | Veranstaltungen

Gemeinsam innovativ werden

23.01.2018 | Veranstaltungen

Leichtbau zu Ende gedacht – Herausforderung Recycling

23.01.2018 | Veranstaltungen

VideoLinks Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

15. BF21-Jahrestagung „Mobilität & Kfz-Versicherung im Fokus“

23.01.2018 | Veranstaltungsnachrichten

Gemeinsam innovativ werden

23.01.2018 | Veranstaltungsnachrichten

CES Innovation Award für kombinierte Blick- und Spracheingabe im Auto

23.01.2018 | Förderungen Preise

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics