• Deutschlandfunk bei Facebook
  • Deutschlandfunk bei Twitter
  • Deutschlandfunk bei Google+
  • Deutschlandfunk bei Instagram

 
Seit 18:10 Uhr Informationen am Abend
StartseiteComputer und KommunikationCyber-Kriminellen auf der Spur07.04.2012

Cyber-Kriminellen auf der Spur

Sicherheitsexperten verlangen Auskunft über Hacker-Attacken

IT-Sicherheit.- Immer mehr Hackerangriffe treffen ausgerechnet IT-Sicherheitsfirmen - also Unternehmen, in denen die einschlägigen Schutzmaßnahmen eigentlich selbstverständlich sind. IT-Fachleute sind sich einig: Für solche Vorfälle sollte eine Meldepflicht bestehen.

Von Achim Killer

Eine Datenbank über versuchte und gelungene Hacks soll dabei helfen, die Angreifer zu identifizieren.  (picture alliance / dpa / Frank Rumpenhorst)
Eine Datenbank über versuchte und gelungene Hacks soll dabei helfen, die Angreifer zu identifizieren. (picture alliance / dpa / Frank Rumpenhorst)

Gefährlich in der IT ist das Unbekannte: Neue Schadprogramme, die von Anti-Virensoftware nicht erkannt werden. Und Schwachstellen in Programmen, von denen die Software-Hersteller nichts wissen, die aber vielleicht von Hackern schon ausgenutzt werden können. Unbekannt sind in der Regel auch die Angreifer, die in Unternehmensrechner eindringen. Über die sollte man mehr wissen, sagt Professor Claudia Eckert vom Lehrstuhl für Sicherheit in der Informatik der TU München. Eine Datenbank mit Informationen über erfolgreiche und versuchte Angriffe wäre deswegen äußerst nützlich.

"Ich bin der Meinung, dass es schon etwas bringen würde, wenn wir mehr wissen würden, welche Hackerangriffe tatsächlich stattfinden, wie, auf welche Weise Hacker vorgegangen sind. Dann könnte man sehr viel effektiver, effizienter auch die Abwehrmaßnahmen einleiten."

Dabei geht es vor allem darum, einen Angreifer frühzeitig zu erkennen – an seiner Vorgehensweise. Die Hacks der Vergangenheit würden quasi ein Täterprofil liefern, ein Verhaltensmuster, dem der Angreifer folgt und das ihn verrät:

"Wenn man weiß, welche Aufrufe er getätigt hat, in welcher Reihenfolge er versucht hat, an Daten zu kommen, sich Türchen zu öffnen. Hat er irgendwelche Einträge geändert? Dann weiß man: Ah, so geht der vor. Da kann man andere Unternehmen warnen und sagen: Wenn Ihr auf Euren Systemen ein Anfangsverhalten entdeckt, das vielleicht den Anfang einer solchen Fußspur, eines solchen Footprints, zeitigt, dann könnt Ihr schon frühzeitig dagegen vorgehen, damit gar nicht erst die Schäden entstehen."

Und nicht nur ein bestimmter Angreifer ließe sich auf diese Weise erkennen, so die Hoffung von Sicherheitsexperten, sondern auch Angriffe ganz allgemein, egal wer sie ausführt. Dazu müssten Informationen über Hacks systematisch gesammelt, Profile einzelner Angreifer erstellt und dann nach charakteristischen Gemeinsamkeiten abgeglichen werden. So wie Signaturen, also typische Code-Stücke, Viren verraten, so können typische Verhaltensweisen Hacker verraten. Und noch mehr Gemeinsamkeiten gibt’s: Allein schon wegen ihrer großen Zahl werden Schadprogramme heute maschinell untersucht und klassifiziert. Und so kann man auch beim Verhalten von Angreifern vorgehen, sagt Professor Eckert:

"Man wird so etwas dann auch mit mathematischen Modellen versuchen zu erfassen. Das sind eben so maschinelle Lerntechniken, die man da verwendet. Und damit kann man dann Angriffsverhaltensmuster charakterisieren und kann dann eben auch durchaus mit großem Erfolg Dinge erkennen, die eben noch nie aufgetreten sind, wirklich vollkommen neu sind. Aber man kann sie mit hoher Trefferwahrscheinlichkeit als problematisch identifizieren."

Allerdings informieren Unternehmen äußerst ungern über Angriffe auf sie. Das liegt zum einen am Renommee-Schaden, den eine Firma erleidet, wenn bekannt wird, dass vertrauliche Dokumente bei ihr eigentlich nicht sicher sind. Und zum anderen können Informationen über erfolgreiche Angriffe zugleich auch Informationen über weiterhin bestehende Sicherheitslücken sein. Professor Eckert hofft deswegen auf ein anonymisiertes Meldeverfahren. Ein solches wird gerade für die Mobilfunkbranche unter dem Namen Asmonia entwickelt. Das gefällige Kürzel steht für den sperrigen Projektnamen "Attack analysis and Security concepts for Mobile Network infrastructures, supported by collaborative Information exchange". Also Sensoren scannen die Netze und übertragen die so gewonnen Daten ohne Absenderadresse an eine Site im Internet. Für die beteiligten Mobilfunk-Provider bringt das sehr viele Vorteile mit sich:

"Jeder hat Zugriff auf die Informationen, kann davon profitieren, stellt seine Informationen ein. Und weiß aber: Im Zweifel ist das nicht auf mein Unternehmen zurückzuführen, was da an Problemen aufgetreten ist."

Zum Themenportal "Risiko Internet"

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk