Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Datenklau – schnell entdeckt!

01.08.2017

Profilbasierte Anomalieerkennung für SIEM-Systeme

Computerexperten haben bislang kaum eine Chance, Unternehmen oder Behörden dauerhaft vor Netzwerkeinbrüchen zu schützen. Zu zahlreich und wenig aussagekräftig sind die Ereignisse, die auf mögliche Hacker-Angriffe hindeuten. Mit PA-SIEM bekommen IT-Verantwortliche ein effektives Werkzeug an die Hand. So können sie Datenklau und Co. schneller entlarven und Daten besser schützen.


Datenklau schneller auf die Spur kommen – dabei hilft die profilbasierte Anomalieerkennung für SIEM-Systeme.

© Fraunhofer FKIE

Bundestag gehackt – diese Meldung sorgte im Jahr 2015 für Schlagzeilen. Das Bedenkliche dabei: Der Datenklau blieb geraume Zeit unbemerkt, nur durch Zufall wurde er entdeckt. 16 Gigabyte Daten, vor allem Dokumente, E-Mails und Tastatureingaben, waren zu diesem Zeitpunkt schon in unbefugte Hände gelangt. Gefahr droht neben Behörden auch Unternehmen und anderen Organisationen.

Als Einfallstor dienen den Angreifern häufig Phishing-Emails, über die sie Zugriff auf die Computer der Empfänger erhalten, oder aber sie infizieren regelmäßig besuchte Webseiten. IT-Sicherheitsexperten haben dem momentan noch wenig entgegenzusetzen.

Zwar laufen in vielen Organisationen Ereignismeldungen in SIEM-Systemen zusammen, kurz für »Security Information and Event Management«. Diese enthalten jedoch riesige Mengen von Meldungen über den täglichen Betrieb – etwa darüber, welche Benutzer sich angemeldet haben oder welche Internetseiten geöffnet wurden. Für die Computerexperten ist es ein Ding der Unmöglichkeit, in der nicht enden wollenden Datenflut die auf einen Einbruch hindeutenden Meldungen zu finden. Ergo: SIEM-Systeme gleichen oft einem Datengrab.

Hinweise in Ereignismeldungen erkennen und korrelieren

Künftig ist es möglich, Netzwerkangriffen schneller auf die Spur zu kommen. Möglich macht es die Software PA-SIEM, kurz für »Profilbasierte Anomalieerkennung für SIEM-Systeme«. Entwickelt wird sie von Forschern am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn und ihren Kollegen der Ostbayerischen Technischen Hochschule OTH Regensburg und der NETZWERK GmbH im gleichnamigen Projekt des Bundesministeriums für Bildung und Forschung BMBF.

»Statt Angriffe lediglich durch vorher festgelegte Regeln zu erkennen, berechnet PA-SIEM typische Angriffsmuster auch aus unvollständigen oder schwachen Hin-weisen«, sagt Rafael Uetz, Wissenschaftler am FKIE. »Auf diese Weise lassen sich Netzwerkeinbrüche deutlich effektiver und schneller erkennen.«

Die Forscher setzen dabei auf einen dreistufigen Prozess: Zunächst einmal sammelt die SIEM-Software wie bisher die Ereignismeldungen der einzelnen Arbeitsplatz-PCs und Server. Im zweiten Schritt durchsuchen spezielle Algorithmen diese Ereignismeldungen auf bekannte Hinweise sowie auf Anomalien, also auf Abweichungen vom üblichen Verhalten. Die Suchergebnisse können auf einen Einbruch hinweisen, müssen dies aber nicht zwangsläufig.

Sendet ein PC beispielsweise plötzlich auffällig viele Daten ins Internet, so kann es sich dabei um einen Einbruch handeln – oder aber der Mitarbeiter schickt lediglich außergewöhnlich große Dokumente an einen Kunden. Systeme, die solche Anomalien erkennen, gibt es bereits. Allerdings haben sie meist eine hohe Falsch-Positiv-Rate. Selbst wenn diese nur bei einem Promille liegt – also eine von tausend Meldungen fälschlicherweise als Bedrohung gesehen wird – laufen bei den Computerexperten je nach Größe des Unternehmens schnell mehrere Tausend Alarme pro Tag auf.

Ereignisketten sind der Weg zum Ziel

»Der Clou liegt quasi im dritten Schritt: Wir kombinieren die Hinweise und können die Fehlerrate somit stark senken«, erläutert Uetz. Ein vereinfachtes Zahlenbeispiel erläutert das: Bei einem Ereignis, das zu neunzig Prozent durch einen Angriff ausgelöst wurde, läge die Falsch-Positiv-Rate bei zehn Prozent. Reiht man zwei solcher Meldungen hintereinander – kommt also etwa eine E-Mail mit einem PDF-Anhang an und steigt später die ins Internet gesendete Datenmenge – sinkt diese Rate bereits auf ein Prozent – also auf zehn Prozent von zehn Prozent –, bei einer Dreier-Verknüpfung gar auf 0,1 Prozent.

Eine solche Ereigniskette, Experten sprechen von der »Intrusion Kill Chain«, gab es auch im Bundestag: Eine Spear-Phishing-E-Mail installierte Schadsoftware, die anschließend Benutzernamen und Passwörter von Administratoren ausspähte und den Angreifern somit den Weg bereitete, um Daten zu klauen, zu löschen oder zu manipulieren. Mit der Software PA-SIEM wäre dies deutlich schneller aufgefallen.

Weitere Informationen:

https://www.fraunhofer.de/de/presse/presseinformationen/2017/august/datenklau-_-...

Silke Wiesemann | Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht IT-Sicherheit beim autonomen Fahren
22.06.2018 | Fachhochschule St. Pölten

nachricht Schneller und sicherer Fliegen
21.06.2018 | Fachhochschule St. Pölten

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Leichter abheben: Fraunhofer LBF entwickelt Flugzeugrad aus Faser-Kunststoff-Verbund

Noch mehr Reichweite oder noch mehr Nutzlast - das wünschen sich Fluggesellschaften für ihre Flugzeuge. Wegen ihrer hohen spezifischen Steifigkeiten und Festigkeiten kommen daher zunehmend leichte Faser-Kunststoff-Verbunde zum Einsatz. Bei Rümpfen oder Tragflächen sind permanent Innovationen in diese Richtung zu beobachten. Um dieses Innovationsfeld auch für Flugzeugräder zu erschließen, hat das Fraunhofer-Institut für Betriebsfestigkeit und Systemzuverlässigkeit LBF jetzt ein neues EU-Forschungsvorhaben gestartet. Ziel ist die Entwicklung eines ersten CFK-Bugrads für einen Airbus A320. Dabei wollen die Forscher ein Leichtbaupotential von bis zu 40 Prozent aufzeigen.

Faser-Kunststoff-Verbunde sind in der Luftfahrt bei zahlreichen Bauteilen bereits das Material der Wahl. So liegt beim Airbus A380 der Anteil an...

Im Focus: IT-Sicherheit beim autonomen Fahren

FH St. Pölten entwickelt neue Methode für sicheren Informationsaustausch zwischen Fahrzeugen mittels Funkdaten

Neue technische Errungenschaften wie das Internet der Dinge oder die direkte drahtlose Kommunikation zwischen Objekten erhöhen den Bedarf an effizienter...

Im Focus: Innovative Handprothesensteuerung besteht Alltagstest

Selbstlernende Steuerung für Handprothesen entwickelt. Neues Verfahren lässt Patienten natürlichere Bewegungen gleichzeitig in zwei Achsen durchführen. Forscher der Universitätsmedizin Göttingen (UMG) veröffentlichen Studie im Wissenschaftsmagazin „Science Robotics“ vom 20. Juni 2018.

Motorisierte Handprothesen sind mittlerweile Stand der Technik bei der Versorgung von Amputationen an der oberen Extremität. Bislang erlauben sie allerdings...

Im Focus: Temperaturgesteuerte Faser-Lichtquelle mit flüssigem Kern

Die moderne medizinische Bildgebung und neue spektroskopische Verfahren benötigen faserbasierte Lichtquellen, die breitbandiges Laserlicht im nahen und mittleren Infrarotbereich erzeugen. Wissenschaftlerinnen und Wissenschaftler des Leibniz-Instituts für Photonische Technologien Jena (Leibniz-IPHT) zeigen in einer aktuellen Veröffentlichung im renommierten Fachblatt Optica, dass sie die optischen Eigenschaften flüssigkeitsgefüllter Fasern und damit die Bandbreite des Laserlichts gezielt über die Umgebungstemperatur steuern können.

Das Besondere an den untersuchten Fasern ist ihr Kern. Er ist mit Kohlenstoffdisulfid gefüllt - einer flüssigen chemischen Verbindung mit hoher optischer...

Im Focus: Temperature-controlled fiber-optic light source with liquid core

In a recent publication in the renowned journal Optica, scientists of Leibniz-Institute of Photonic Technology (Leibniz IPHT) in Jena showed that they can accurately control the optical properties of liquid-core fiber lasers and therefore their spectral band width by temperature and pressure tuning.

Already last year, the researchers provided experimental proof of a new dynamic of hybrid solitons– temporally and spectrally stationary light waves resulting...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Leben im Plastikzeitalter: Wie ist ein nachhaltiger Umgang mit Plastik möglich?

21.06.2018 | Veranstaltungen

Kongress BIO-raffiniert X – Neue Wege in der Nutzung biogener Rohstoffe?

21.06.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen im August 2018

20.06.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Leichter abheben: Fraunhofer LBF entwickelt Flugzeugrad aus Faser-Kunststoff-Verbund

22.06.2018 | Materialwissenschaften

Lernen und gleichzeitig Gutes tun? Baufritz macht‘s möglich!

22.06.2018 | Unternehmensmeldung

GFOS und skip Institut entwickeln gemeinsam Prototyp für Augmented Reality App für die Produktion

22.06.2018 | Unternehmensmeldung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics