Tippen am Laptop
mauritius images/Science Photo Library/Tek Image

Sicherheit im Netz
Cyber-Angriffen auf der Spur

Die Digitalisierung stellt neue Anforderungen an die Sicherheitspolitik. Forscher suchen nach Antworten auf Hacks. Ein Beitrag aus dem Archiv.

Von Christoph Meinel 28.12.2018

Mit zunehmender Vernetzung von Menschen und Maschinen im globalen Maßstab und der verstärkten Nutzung digitaler internetbasierter Dienste in Arbeitswelt und Alltag bekommt Cybersicherheit eine immer grundlegendere Bedeutung.

IT-Sicherheit ist die Voraussetzung dafür, dass effiziente vernetzte Services und Infrastrukturen tatsächlich genutzt werden können. Ohne Vertrauen und Verlässlichkeit wird die digitale Transformation nicht gelingen und die Vorteile der Vernetzung brach liegen. Zugleich nimmt die Komplexität des zu schützenden Cyberraums mit jedem weiteren Vernetzungsschritt zu und beginnt, unüberschaubar zu werden.

Die Attraktivität der Vernetzung, dass Personen, Maschinen und Services niedrigschwellig von überallher erreichbar sind, öffnet zugleich neue Tore für schädliche Handlungen, die ebenfalls von der Konnektivität profitieren. Ein aufgeklärter Umgang und ein Mindestmaß an "digitaler Hygiene" jedes einzelnen Bürgers im Internet ist und bleibt die Voraussetzung für IT-Sicherheit. Zusätzlich schützt der Einsatz von Antivirenprogrammen – die heite viel mehr als nur Viren bekämpfen – und ein beständiges Einpflegen von Systemupdates für Online-Dienste und -Services im Cyberraum. Hiermit lässt sich bereits ein gutes Maß an Sicherheit erreichen.

Zunehmende Vernetzung macht Cyber-Angriffe "lohnender"

Inzwischen vernetzen sich aber immer mehr auch große Unternehmen und staatliche Behörden, kritische Infrastrukturen und andere geheimnistragende Institutionen über das Internet und stellen mit zunehmender Vernetzung immer lohnendere Ziele für Cyberangriffe dar.

Beispiele dazu gibt es genug, wie die Hacks der Demokraten im vergangenen US-Wahlkampf, im Bundestag und zuletzt im Auswärtigen Amt. Von den zahlreichen Sicherheitsvorfällen bei privaten Unternehmen erfährt man in den öffentlichen Medien meist gar nichts.

Ein sicherheitsbewusster Umgang mit den Systemen und standardisierte Sicherheitsprogramme reichen bei diesen Zielen nicht aus, um Cybersicherheit herzustellen, da diese mit akribisch vorbereiteten, originellen und hochkomplexen neuartigen APT-Angriffen überzogen werden, den sogenannten "Advanced Persistent Threat" (APT)-Attacken. Hinter solchen APTs werden meist staatliche Institutionen oder Dienste vermutet, da sie nur mit sehr aufwändigen Mitteln und höchster Professionalität durchgeführt werden können.

"Vermittels Social Engineering werden die menschlichen Schwächen von Mitarbeitern der angegriffenen Organisationen ausgenutzt." Christoph Meinel

Mit dem Cybersicherheitsprojekt "REAMS"– Real-time Event Analysis and Monitoring System –  erforschen wir an meinem Lehrstuhl für Internet-Technologien und System am Hasso-Plattner-Institut in Potsdam neue Wege, APT-Angriffen zu erkennen und aufzudecken.

APT-Angriffe nutzen bisher unbekannte Schwachstellen in Software- oder Netzwerksystemen aus, um sich Zugang zum Netz eines Unternehmens oder einer Behörde zu verschaffen. Dabei gehen die Hacker so vor, dass über längere Zeit kleine Pakete an Schadsoftware in das System einschleusen, die je für sich genommen relativ unbedenklich sind.

Vermittels Social Engineering werden die menschlichen Schwächen von Mitarbeitern der angegriffenen Organisationen ausgenutzt, um Zugang zu einzelnen Accounts zu erlangen. Vermittels "Speer-Phishing"-Aktionen werden (führende Mitarbeiter) mit hochindividualisierten Nachrichten mit glaubhaft privatem Wissen dazu verleitet, auf Links zu klicken oder Schadsoftware herunterzuladen.

Haben die Angreifer eine kritische Masse an Schadsoftware eingeschleust, entwickelt sich automatisiert eine komplexe Angriffssituation, die es den Hackern ermöglicht, aus der betroffenen Infrastruktur systematisch Informationen abfließen zu lassen oder sie gar zu sabotieren.

IT-Systeme müssen permanent überwacht werden

Gewöhnliche Antivirenprogramme helfen gegen diese maßgeschneiderten komplexen Cyberangriffe nicht weiter. APT-Angriffe können heute nur "händisch" entdeckt werden, wenn hervorragend ausgebildete und geschulte IT-Sicherheitsexperten das angegriffene System permanent überwachen und dabei auf den Angriff aufmerksam werden.

Mit zunehmender Vernetzung wird aber auch das immer schwieriger und stellt ein ausgewachsenes Big-Data-Problem dar. Unternehmen mit circa 100.000 Mitarbeitern registrieren jeden Tag zwei Billionen Log-Datenpunkte mit einem Gesamtvolumen von vier Terabyte, die die digitalen Aktivitäten des Unternehmensnetzes dokumentieren.

"Mit den aktuellen Verfahren können selbst die besten Tech-Konzerne nur einen Bruchteil der zur Verfügung stehenden Log-Daten analysieren." Christoph Meinel

Mit den aktuellen Verfahren können selbst die besten Tech-Konzerne nur einen Bruchteil von knapp zwei Prozent der zur Verfügung stehenden Log-Daten analysieren. Der größte Teil des Eisbergs bleibt unter der Oberfläche verborgen. Zudem werden meist auch nur standardisierte  Signaturabgleichverfahren genutzt, um schädliche Aktivitäten zu detektieren, was bei hochindividualisierten Angriffen weitgehend wirkungslos ist, eben weil die Angreifer genau diese Schutzmechanismen und –Systeme umgehen. Es braucht also bessere und wirkungsvollere Verfahren, um dieser neuen Art von Cyberangriffen Herr zu werden.

Klar ist, dass diese hochkomplexen und individualisierten Angriffe nur mit einer ebenso komplexen Kombination von verschiedenen digitalen Analyse- und Abwehrmechanismen erkannt werden können, die auf einer ganzheitlich angelegten modularen Plattform versammelt und vernetzt sein müssen.

Im Wesentlichen gilt es, neue und intelligente Algorithmen zu entwickeln und zu implementieren, die in Realzeit, also nicht erst Stunden oder Tage später, die riesige Zahl anfallender Log-Daten analysieren, die die Arbeit im System tätigen Mitarbeiter und Systeme sekündlich und vollumfänglich dokumentieren.  Eine Voraussetzung für die Analyse solch komplexen Massendaten (sogenannter Big Data) ist die In-Memory-Datenbanktechnologie, die es erstmals ermöglicht, Big Data in Echtzeit zu analysieren und den gesamten "Eisberg" an die Oberfläche zu bringen.

Maschine Learning-Verfahren unverzichtbar

Das alleinige Sichten sämtlicher Log-Daten reicht aber noch nicht aus, um APT abzuwehren. Auch wenn man alle Daten vor sich hat, gleicht die Suche nach komplexer Schadsoftware immer noch einer Suche nach der Stecknadel im Heuhaufen. Es braucht neue hochmoderne ("intelligente") Maschine Learning-Verfahren, um über Anomalie-Erkennung aus den täglich anfallenden Terabyte an Daten automatisiert möglicherweise verdächtige Aktivitäten herauszufiltern.

Beispielsweise muss ungewöhnliches Verhalten von Mitarbeitern erkannt und statistisch überprüft werden, ob von ihnen bearbeitete und an und für sich harmlose Dateien auf Grund von Beziehung zu anderen, eventuell bereits infizierten Dateien potenziell schädlich sein können.

Dazu müssen aktuellste "Threat Intelligence-" und Schwachstellen-Datenbanken integriert werden, um in der Gesamtschau einen Überblick über die komplexe Systemarchitektur großer Instituten zu gewinnen. Schließlich ist die Aufbereitung der von diesen Algorithmen ermittelten hochkomplexen Auffälligkeiten und das Herunterbrechen der ihnen innewohnenden Komplexität für die menschlichen IT-Sicherheitsprofis entscheidend, damit diese in die Lage versetzt werden, sich schnell einen Überblick über die relevanten Sicherheitsvorfälle zu erarbeiten und die richtigen Gegenmaßnahmen zu ergreifen.