Gefährlich in der IT ist das Unbekannte: Neue Schadprogramme, die von Anti-Virensoftware nicht erkannt werden. Und Schwachstellen in Programmen, von denen die Software-Hersteller nichts wissen, die aber vielleicht von Hackern schon ausgenutzt werden können. Unbekannt sind in der Regel auch die Angreifer, die in Unternehmensrechner eindringen. Über die sollte man mehr wissen, sagt Professor Claudia Eckert vom Lehrstuhl für Sicherheit in der Informatik der TU München. Eine Datenbank mit Informationen über erfolgreiche und versuchte Angriffe wäre deswegen äußerst nützlich.
"Ich bin der Meinung, dass es schon etwas bringen würde, wenn wir mehr wissen würden, welche Hackerangriffe tatsächlich stattfinden, wie, auf welche Weise Hacker vorgegangen sind. Dann könnte man sehr viel effektiver, effizienter auch die Abwehrmaßnahmen einleiten."
Dabei geht es vor allem darum, einen Angreifer frühzeitig zu erkennen – an seiner Vorgehensweise. Die Hacks der Vergangenheit würden quasi ein Täterprofil liefern, ein Verhaltensmuster, dem der Angreifer folgt und das ihn verrät:
"Wenn man weiß, welche Aufrufe er getätigt hat, in welcher Reihenfolge er versucht hat, an Daten zu kommen, sich Türchen zu öffnen. Hat er irgendwelche Einträge geändert? Dann weiß man: Ah, so geht der vor. Da kann man andere Unternehmen warnen und sagen: Wenn Ihr auf Euren Systemen ein Anfangsverhalten entdeckt, das vielleicht den Anfang einer solchen Fußspur, eines solchen Footprints, zeitigt, dann könnt Ihr schon frühzeitig dagegen vorgehen, damit gar nicht erst die Schäden entstehen."
Und nicht nur ein bestimmter Angreifer ließe sich auf diese Weise erkennen, so die Hoffung von Sicherheitsexperten, sondern auch Angriffe ganz allgemein, egal wer sie ausführt. Dazu müssten Informationen über Hacks systematisch gesammelt, Profile einzelner Angreifer erstellt und dann nach charakteristischen Gemeinsamkeiten abgeglichen werden. So wie Signaturen, also typische Code-Stücke, Viren verraten, so können typische Verhaltensweisen Hacker verraten. Und noch mehr Gemeinsamkeiten gibt’s: Allein schon wegen ihrer großen Zahl werden Schadprogramme heute maschinell untersucht und klassifiziert. Und so kann man auch beim Verhalten von Angreifern vorgehen, sagt Professor Eckert:
"Man wird so etwas dann auch mit mathematischen Modellen versuchen zu erfassen. Das sind eben so maschinelle Lerntechniken, die man da verwendet. Und damit kann man dann Angriffsverhaltensmuster charakterisieren und kann dann eben auch durchaus mit großem Erfolg Dinge erkennen, die eben noch nie aufgetreten sind, wirklich vollkommen neu sind. Aber man kann sie mit hoher Trefferwahrscheinlichkeit als problematisch identifizieren."
Allerdings informieren Unternehmen äußerst ungern über Angriffe auf sie. Das liegt zum einen am Renommee-Schaden, den eine Firma erleidet, wenn bekannt wird, dass vertrauliche Dokumente bei ihr eigentlich nicht sicher sind. Und zum anderen können Informationen über erfolgreiche Angriffe zugleich auch Informationen über weiterhin bestehende Sicherheitslücken sein. Professor Eckert hofft deswegen auf ein anonymisiertes Meldeverfahren. Ein solches wird gerade für die Mobilfunkbranche unter dem Namen Asmonia entwickelt. Das gefällige Kürzel steht für den sperrigen Projektnamen "Attack analysis and Security concepts for Mobile Network infrastructures, supported by collaborative Information exchange". Also Sensoren scannen die Netze und übertragen die so gewonnen Daten ohne Absenderadresse an eine Site im Internet. Für die beteiligten Mobilfunk-Provider bringt das sehr viele Vorteile mit sich:
"Jeder hat Zugriff auf die Informationen, kann davon profitieren, stellt seine Informationen ein. Und weiß aber: Im Zweifel ist das nicht auf mein Unternehmen zurückzuführen, was da an Problemen aufgetreten ist."
Zum Themenportal "Risiko Internet"
"Ich bin der Meinung, dass es schon etwas bringen würde, wenn wir mehr wissen würden, welche Hackerangriffe tatsächlich stattfinden, wie, auf welche Weise Hacker vorgegangen sind. Dann könnte man sehr viel effektiver, effizienter auch die Abwehrmaßnahmen einleiten."
Dabei geht es vor allem darum, einen Angreifer frühzeitig zu erkennen – an seiner Vorgehensweise. Die Hacks der Vergangenheit würden quasi ein Täterprofil liefern, ein Verhaltensmuster, dem der Angreifer folgt und das ihn verrät:
"Wenn man weiß, welche Aufrufe er getätigt hat, in welcher Reihenfolge er versucht hat, an Daten zu kommen, sich Türchen zu öffnen. Hat er irgendwelche Einträge geändert? Dann weiß man: Ah, so geht der vor. Da kann man andere Unternehmen warnen und sagen: Wenn Ihr auf Euren Systemen ein Anfangsverhalten entdeckt, das vielleicht den Anfang einer solchen Fußspur, eines solchen Footprints, zeitigt, dann könnt Ihr schon frühzeitig dagegen vorgehen, damit gar nicht erst die Schäden entstehen."
Und nicht nur ein bestimmter Angreifer ließe sich auf diese Weise erkennen, so die Hoffung von Sicherheitsexperten, sondern auch Angriffe ganz allgemein, egal wer sie ausführt. Dazu müssten Informationen über Hacks systematisch gesammelt, Profile einzelner Angreifer erstellt und dann nach charakteristischen Gemeinsamkeiten abgeglichen werden. So wie Signaturen, also typische Code-Stücke, Viren verraten, so können typische Verhaltensweisen Hacker verraten. Und noch mehr Gemeinsamkeiten gibt’s: Allein schon wegen ihrer großen Zahl werden Schadprogramme heute maschinell untersucht und klassifiziert. Und so kann man auch beim Verhalten von Angreifern vorgehen, sagt Professor Eckert:
"Man wird so etwas dann auch mit mathematischen Modellen versuchen zu erfassen. Das sind eben so maschinelle Lerntechniken, die man da verwendet. Und damit kann man dann Angriffsverhaltensmuster charakterisieren und kann dann eben auch durchaus mit großem Erfolg Dinge erkennen, die eben noch nie aufgetreten sind, wirklich vollkommen neu sind. Aber man kann sie mit hoher Trefferwahrscheinlichkeit als problematisch identifizieren."
Allerdings informieren Unternehmen äußerst ungern über Angriffe auf sie. Das liegt zum einen am Renommee-Schaden, den eine Firma erleidet, wenn bekannt wird, dass vertrauliche Dokumente bei ihr eigentlich nicht sicher sind. Und zum anderen können Informationen über erfolgreiche Angriffe zugleich auch Informationen über weiterhin bestehende Sicherheitslücken sein. Professor Eckert hofft deswegen auf ein anonymisiertes Meldeverfahren. Ein solches wird gerade für die Mobilfunkbranche unter dem Namen Asmonia entwickelt. Das gefällige Kürzel steht für den sperrigen Projektnamen "Attack analysis and Security concepts for Mobile Network infrastructures, supported by collaborative Information exchange". Also Sensoren scannen die Netze und übertragen die so gewonnen Daten ohne Absenderadresse an eine Site im Internet. Für die beteiligten Mobilfunk-Provider bringt das sehr viele Vorteile mit sich:
"Jeder hat Zugriff auf die Informationen, kann davon profitieren, stellt seine Informationen ein. Und weiß aber: Im Zweifel ist das nicht auf mein Unternehmen zurückzuführen, was da an Problemen aufgetreten ist."
Zum Themenportal "Risiko Internet"