"Zunächst einmal müssen wir zwei Arten von Angriffen auf unsere Privatheit unterscheiden. Die erste fußt darauf, das die Anwender sehr offen sind und viele Informationen in sozialen Netzwerken veröffentlichen. Sie beantworten viele Fragen zu ihrem Verhalten, ihrem Arbeitsplatz und wo sie wohnen. Hier helfen keine Sicherheitslösungen. Hier hilft nur, genau darüber nachzudenken, was man öffentlich bekannt machen will und die damit verbundenen Gefahren abzuschätzen. Die zweite Art des Angriffs geht von Schadsoftware aus, die Wissen über Sie abzapfen will. Hier brauchen Sie Schutz","
Kloiber: ...sagt Nikolai, Grebennikov, Chefanalyst beim Antivirenhersteller Kaspersky in Moskau. Und solche Spionageangriffe und Spähattacken sind ja während der vergangenen Wochen immer wieder massiv in das Bewusstsein der Menschen geholt worden. Unternehmen erlassen neue und strenge Sicherheitsvorschriften, und sie investieren viel Geld in Sicherheitslösungen. Ein Ansatz dabei arbeitet dabei wie die Nachrichtendienste mit sogenannten Big-Data-Programmen, um Spähattacken früh erkennen und abwehren zu können. Wie funktioniert das, Peter Welchering?
Welchering: Durch Spurensuche, und zwar mit enorm vielen Spuren. Wer immer mich im Netz ausspionieren will, hinterlässt ja auch Spuren. Und diese Spuren muss man finden, analysieren und dann kann ich mich gegen eine solche Attacke wehren. Denn auch Spionageattacken laufen ja nach bestimmten Mustern ab. Also muss ich diese Muster erkennen. Geheimdienste arbeiten hier mit Metadaten, um Muster für auffälliges oder kriminelles Verhalten zu erkennen. Wer hat wann mit wem gemailt, ist auf welchen Seiten gesurft und so weiter. Im Falle eines kriminellen Verhaltensprofils geht es dann ja um die Einzelüberwachungsmethode. Und genau diese Big-Data-Methode wenden auch die Sicherheitsexperten an und suchen nach Mustern von Spähattacken anhand von Metadaten. Ist solch ein Muster gefunden, kann die Spähattacke sehr sehr früh erkannt und wirkungsvoll abgewehrt werden.
"Verräterische Muster
Wie Sicherheitsforscher mit Big-Data-Anwendungen einsetzen"
Was im Sicherheitsbereich neudeutsch als Big-Data-Anwendug daherkommt, wird in der Marktforschung schon seit 20 Jahren angewendet, um neue Kunden zu finden und das Verhalten der Stammkunden besser prognostizieren zu können. Um damit Spähattacken und andere Hackerangriffe abwehren zu können, sind neue interessante Ansätze entwickelt worden.
Soll Schadsoftware abgewehrt werden, muss die Sicherheitssoftware sie erkennen können. Antiviren-Software erkennt Trojaner oder Computerwürmer an der Signatur, das ist so eine Art digitaler Fußabdruck. Bei Hacking-Angriffen auf Unternehmensnetze werten Früherkennungssysteme bereits erkannte und abgewehrte Schadsoftware und deren Verhalten aus, definiert ein Verhaltensmuster und schlagen sofort Alarm, wenn auf irgendeinem System dieses Verhaltensmuster erkannt werden. Bei Big-Data- Anwendungen zum Beispiel zur Abwehr von Spähattacken geht man noch einen Schritt weiter. Für die Analysesysteme werden riesige Datenmengen gesammelt, erläutert Fabian Libeau, Sicherheitsanalyst bei Hewlett-Packard.
""Innerhalb dieser Riesen-Datenmenge verbergen sich dann Informationen, die halt sagen, jemand greift auf eine Seite in Russland zu und lädt sich Schadsoftware herunter. Oder jemand greift auf Daten, Informationen zu, die er gar nicht sollte. Nun ist die Frage, wie bekomme ich diese Information aus diesem Riesendatenberg heraus. Un da gibt es verschiedene Methoden, die in Echtzeit funktionieren, aber ich muss die Frage dort relativ genau stellen. Was wir versuchen, ist, aus dieser Riesendatenmenge, vielleicht gar nicht in Echtzeit, sondern historisch, herauszufinden, ob dort irgendwelche Angriffe versteckt sind, die wir sonst gar nicht erkennen können. Und da gibt es Methoden, die aus der Heuristik kommen, aus der Spieltheorie, wo man einfach Muster erkennen kann, die dazu führen, dort einen Angriff, eine Bedrohung erkennen zu können."
Und diese Bedrohungen können dann erfolgreich abgewehrt werden, wenn möglichst eindeutige Muster mit klar beschriebenen Kriterien vorliegen, mit denen dann nach Schadsoftware oder gerade stattfindenden Spionageangriffen gesucht werden kann. Fabian Libeau:
"Wir haben ja erst einmal Rohdaten, die müssen in Informationen umgewandelt werden. Diese Informationen werden beschrieben, und aufgrund dieser Beschreibung kann ich dann weitläufigere Muster erstellen und kann dann danach suchen. Das heißt diese Mustererkennung nutzt eigentlich Algorithmen, die wir aus dem Data Mining kennen, angewandt auf Informationen von Sicherheitsdaten."
Die Rohdaten sind umfangreicher als die Metadaten, mit denen die Geheimdienste bei der Profilbildung arbeiten. Deshalb sammeln die Sicherheitssysteme mit dem Big-Data-Ansatz jeden Systemzugriff, jede Transaktion und jeden Datentransport, um Verhaltensanalysen für die Frühwarnsysteme durchführen zu können. Libeau:
"Letztendlich ist es immer so, dass wir, um wirklich vollständig hinterher nachvollziehen zu können, was passiert ist, eigentlich so ziemlich alles heutzutage sammeln und zusammenfassen und analysieren möchten. Einfach nur ein kleines Puzzleteil wird uns nicht das gesamte Bild geben. Der Trend geht natürlich dahin, weil es technisch heutzutage auch möglich ist, alles zu sammeln von den typischen Sicherheitsdevices bis hin zu Daten, die aus dem CRM-System kommen. Um dann wirklich erfahren zu können, was ist eigentlich passiert, also eine vollständige Kette der Ereignisse, um so alles verknüpfen zu können. Und so auch zu sehen, was ist letztendlich passiert."
Und aus diesen statistischen Ableitungen über das, was bisher in den Systemen passiert ist, werden dann Wahrscheinlichkeitsrechnungen angestellt, um das Verhalten von Angreifern und Schadsoftware prognostizieren zu können. Berechnen die Algorithmen eine hohe Wahrscheinlichkeit für eine spezielle Spähattacke oder einen anderen Angriff mit einer spezifischen Schadsoftware, treffen sie schon sehr früh Gegenmaßnahmen. Nach der NSA-Affäre ist die Bereitschaft der Unternehmen ganz erheblich gestiegen, in diesen Sicherheitsansatz zu investieren.
Kloiber: Das klingt ja ein wenig so, als würden die Datensicherheitsexperten die Analysetechniken der Geheimdienste nutzen, um sich gegen deren Spähattacken zu wappnen, Peter Welchering.
Welchering: Tatsächlich. Beide nutzen eben Techniken der Mustererkennung und des Data Mining. Sicherheitsexperten setzen sie ein, um der Bedrohung Schadsoftware, Computerviren und –würmer zu begegnen, aber auch der Bedrohung Spähattacke, das ist eben eine unter vielen Bedrohungen. Und dieser Technikansatz ist schon 20 bis 30 Jahre alt, aber jetzt sind drei Durchbrüche da, die diese Data-Mining-Technik in Echtzeit gegen solche Netzangriffe, Hackingattacken und vor allen Dingen eben gegen Datenspionage einzusetzen erlauben. Als erstes muss man nennen: Wir haben einfach große Speicher, wir können all dieses Verhalten im Netz einfach wegspeichern. Zweitens gibt es Analysetechniken, die erlauben es einfach, alle Daten im Arbeitsspeicher zu halten und während der Analysen neue Daten hinzuzufügen und gleich mit auszuwerten. Da kann man in Echtzeit reagieren. Und drittens gibt es Muster mit mehreren tausend Parametern - häufig sind aber nur 100 erforderlich -, um Verhalten von Schadsoftware sehr, sehr passgenau zu analysieren.
Kloiber: Haben die Sicherheitsexperten nicht das gleiche Problem wie die Geheimdienste hinsichtlich der Totalüberwachung, nämlich dass sie möglichst alle Daten umfassend sammeln müssen, um rechtzeitig Bedrohungen zu erkennen?
Welchering: Dieses Problem haben tatsächlich beide. Und in der einen Hinsicht entsteht dann der gläserne Bürger, den nicht alle wollen. In der anderen Hinsicht entsteht der gläserne Nutzer, und den wollen tatsächlich auch die Sicherheitsexperten nicht. Sie sagen: Da helfen nur drei Dinge, damit wir trotz dieser hervorragenden Big-Data-Anwendungen den gläsernen Nutzer vermeiden: Wir müssen anonymisieren und wir müssen vergessen, und das dritte: Wir müssen Lücken schaffen. Diese Techniken sind noch nicht weit genug entwickelt. Wenn ich in einem Unternehmensnetzwerk, Datenbankzugriffe protokolliere, um der Spionage vorzubeugen, schlägt das System bei einem Verhalten im System Alarm, das vom Standardverhalten abweicht. Also von einer Workstation, die wirklich nur Datenbankabfragen für interne Zwecke machen darf, gehen etwa dann irgendwelche Datenpäckchen nach außen, dann gibt es Alarm. Das kann Gründe haben, weil er mit einem Kooperationspartner zusammenarbeiten will. Das muss dann in die Sicherheitsprogramme eingearbeitet werden. Wenn kein Alarm gegeben wird, müssen die Zugriffe sehr bald vergessen werden, dürfen nicht über längere Zeit gespeichert werden. Der Zugriff darf nur als Zugriff beobachtet werden, nicht noch zugeordnet werden zu einer Person, der darf nur anonym protokolliert werden. Und wenn ich protokollieren will, wer zugreift, muss ein klar definierter Verdacht vorliegen. Mut zur Lücke heißt, genau abwägen bei einem solchen Sicherheitssystem, welche Systeme wie weit überwacht werden müssen. Intranet-Server mit Kantinenplan müssen nicht überwacht werden, Server mit Forschungsdokumenten dagegen sehr intensiv.
Kloiber: Das erfordert ja ein wenig Begleitforschung oder Wirkungsforschung zu den Entwicklungen bei den Sicherheitssystemen. Wie ist da der Stand der Dinge?
Welchering: Ja das haben tatsächlich die klassischen Antivirenhersteller als neues Geschäftsmodell erkannt. Einige ehemalige Hardwarehersteller entwickeln diesen Sicherheitsbereich auch sehr deutlich gerade. Da geht es dann darum, dass Verhaltensanalyse, Big-Data-Anwendungen, Data-Mining-Techniken nur dann als glaubwürdig gelten und diese Sicherheitsleistungen von den Kunden gewollt wird, wenn der Datenschutz auf verschiedenen Ebenen garantiert ist. Da werden Projekte aufgelegt, die in die Richtung dieser Wirkungsforschung gehen. Widerstand gibt es da von einigen Sicherheitspolitikern und auch von Nachrichtendiensten. Das amerikanische FBI zum Beispiel hält wenig davon, dass in einem Kooperationsprojekt, das sie machen, um Sicherheit zu garantieren, bestimmte Design-Einschränkungen aus Datenschutzgründen festgelegt werden. Da brauchen wir eine politische Diskussion, die auch in den Vereinigten Staaten gerade anfängt. Welche Designvorstellungen aus Datenschutzgründen von vornherein in der Begleitforschung festgelegt werden müssen. Und dazu gehören vor allen Dingen solche Techniken wie etwa Anonymisieren und Vergessen.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Kloiber: ...sagt Nikolai, Grebennikov, Chefanalyst beim Antivirenhersteller Kaspersky in Moskau. Und solche Spionageangriffe und Spähattacken sind ja während der vergangenen Wochen immer wieder massiv in das Bewusstsein der Menschen geholt worden. Unternehmen erlassen neue und strenge Sicherheitsvorschriften, und sie investieren viel Geld in Sicherheitslösungen. Ein Ansatz dabei arbeitet dabei wie die Nachrichtendienste mit sogenannten Big-Data-Programmen, um Spähattacken früh erkennen und abwehren zu können. Wie funktioniert das, Peter Welchering?
Welchering: Durch Spurensuche, und zwar mit enorm vielen Spuren. Wer immer mich im Netz ausspionieren will, hinterlässt ja auch Spuren. Und diese Spuren muss man finden, analysieren und dann kann ich mich gegen eine solche Attacke wehren. Denn auch Spionageattacken laufen ja nach bestimmten Mustern ab. Also muss ich diese Muster erkennen. Geheimdienste arbeiten hier mit Metadaten, um Muster für auffälliges oder kriminelles Verhalten zu erkennen. Wer hat wann mit wem gemailt, ist auf welchen Seiten gesurft und so weiter. Im Falle eines kriminellen Verhaltensprofils geht es dann ja um die Einzelüberwachungsmethode. Und genau diese Big-Data-Methode wenden auch die Sicherheitsexperten an und suchen nach Mustern von Spähattacken anhand von Metadaten. Ist solch ein Muster gefunden, kann die Spähattacke sehr sehr früh erkannt und wirkungsvoll abgewehrt werden.
"Verräterische Muster
Wie Sicherheitsforscher mit Big-Data-Anwendungen einsetzen"
Was im Sicherheitsbereich neudeutsch als Big-Data-Anwendug daherkommt, wird in der Marktforschung schon seit 20 Jahren angewendet, um neue Kunden zu finden und das Verhalten der Stammkunden besser prognostizieren zu können. Um damit Spähattacken und andere Hackerangriffe abwehren zu können, sind neue interessante Ansätze entwickelt worden.
Soll Schadsoftware abgewehrt werden, muss die Sicherheitssoftware sie erkennen können. Antiviren-Software erkennt Trojaner oder Computerwürmer an der Signatur, das ist so eine Art digitaler Fußabdruck. Bei Hacking-Angriffen auf Unternehmensnetze werten Früherkennungssysteme bereits erkannte und abgewehrte Schadsoftware und deren Verhalten aus, definiert ein Verhaltensmuster und schlagen sofort Alarm, wenn auf irgendeinem System dieses Verhaltensmuster erkannt werden. Bei Big-Data- Anwendungen zum Beispiel zur Abwehr von Spähattacken geht man noch einen Schritt weiter. Für die Analysesysteme werden riesige Datenmengen gesammelt, erläutert Fabian Libeau, Sicherheitsanalyst bei Hewlett-Packard.
""Innerhalb dieser Riesen-Datenmenge verbergen sich dann Informationen, die halt sagen, jemand greift auf eine Seite in Russland zu und lädt sich Schadsoftware herunter. Oder jemand greift auf Daten, Informationen zu, die er gar nicht sollte. Nun ist die Frage, wie bekomme ich diese Information aus diesem Riesendatenberg heraus. Un da gibt es verschiedene Methoden, die in Echtzeit funktionieren, aber ich muss die Frage dort relativ genau stellen. Was wir versuchen, ist, aus dieser Riesendatenmenge, vielleicht gar nicht in Echtzeit, sondern historisch, herauszufinden, ob dort irgendwelche Angriffe versteckt sind, die wir sonst gar nicht erkennen können. Und da gibt es Methoden, die aus der Heuristik kommen, aus der Spieltheorie, wo man einfach Muster erkennen kann, die dazu führen, dort einen Angriff, eine Bedrohung erkennen zu können."
Und diese Bedrohungen können dann erfolgreich abgewehrt werden, wenn möglichst eindeutige Muster mit klar beschriebenen Kriterien vorliegen, mit denen dann nach Schadsoftware oder gerade stattfindenden Spionageangriffen gesucht werden kann. Fabian Libeau:
"Wir haben ja erst einmal Rohdaten, die müssen in Informationen umgewandelt werden. Diese Informationen werden beschrieben, und aufgrund dieser Beschreibung kann ich dann weitläufigere Muster erstellen und kann dann danach suchen. Das heißt diese Mustererkennung nutzt eigentlich Algorithmen, die wir aus dem Data Mining kennen, angewandt auf Informationen von Sicherheitsdaten."
Die Rohdaten sind umfangreicher als die Metadaten, mit denen die Geheimdienste bei der Profilbildung arbeiten. Deshalb sammeln die Sicherheitssysteme mit dem Big-Data-Ansatz jeden Systemzugriff, jede Transaktion und jeden Datentransport, um Verhaltensanalysen für die Frühwarnsysteme durchführen zu können. Libeau:
"Letztendlich ist es immer so, dass wir, um wirklich vollständig hinterher nachvollziehen zu können, was passiert ist, eigentlich so ziemlich alles heutzutage sammeln und zusammenfassen und analysieren möchten. Einfach nur ein kleines Puzzleteil wird uns nicht das gesamte Bild geben. Der Trend geht natürlich dahin, weil es technisch heutzutage auch möglich ist, alles zu sammeln von den typischen Sicherheitsdevices bis hin zu Daten, die aus dem CRM-System kommen. Um dann wirklich erfahren zu können, was ist eigentlich passiert, also eine vollständige Kette der Ereignisse, um so alles verknüpfen zu können. Und so auch zu sehen, was ist letztendlich passiert."
Und aus diesen statistischen Ableitungen über das, was bisher in den Systemen passiert ist, werden dann Wahrscheinlichkeitsrechnungen angestellt, um das Verhalten von Angreifern und Schadsoftware prognostizieren zu können. Berechnen die Algorithmen eine hohe Wahrscheinlichkeit für eine spezielle Spähattacke oder einen anderen Angriff mit einer spezifischen Schadsoftware, treffen sie schon sehr früh Gegenmaßnahmen. Nach der NSA-Affäre ist die Bereitschaft der Unternehmen ganz erheblich gestiegen, in diesen Sicherheitsansatz zu investieren.
Kloiber: Das klingt ja ein wenig so, als würden die Datensicherheitsexperten die Analysetechniken der Geheimdienste nutzen, um sich gegen deren Spähattacken zu wappnen, Peter Welchering.
Welchering: Tatsächlich. Beide nutzen eben Techniken der Mustererkennung und des Data Mining. Sicherheitsexperten setzen sie ein, um der Bedrohung Schadsoftware, Computerviren und –würmer zu begegnen, aber auch der Bedrohung Spähattacke, das ist eben eine unter vielen Bedrohungen. Und dieser Technikansatz ist schon 20 bis 30 Jahre alt, aber jetzt sind drei Durchbrüche da, die diese Data-Mining-Technik in Echtzeit gegen solche Netzangriffe, Hackingattacken und vor allen Dingen eben gegen Datenspionage einzusetzen erlauben. Als erstes muss man nennen: Wir haben einfach große Speicher, wir können all dieses Verhalten im Netz einfach wegspeichern. Zweitens gibt es Analysetechniken, die erlauben es einfach, alle Daten im Arbeitsspeicher zu halten und während der Analysen neue Daten hinzuzufügen und gleich mit auszuwerten. Da kann man in Echtzeit reagieren. Und drittens gibt es Muster mit mehreren tausend Parametern - häufig sind aber nur 100 erforderlich -, um Verhalten von Schadsoftware sehr, sehr passgenau zu analysieren.
Kloiber: Haben die Sicherheitsexperten nicht das gleiche Problem wie die Geheimdienste hinsichtlich der Totalüberwachung, nämlich dass sie möglichst alle Daten umfassend sammeln müssen, um rechtzeitig Bedrohungen zu erkennen?
Welchering: Dieses Problem haben tatsächlich beide. Und in der einen Hinsicht entsteht dann der gläserne Bürger, den nicht alle wollen. In der anderen Hinsicht entsteht der gläserne Nutzer, und den wollen tatsächlich auch die Sicherheitsexperten nicht. Sie sagen: Da helfen nur drei Dinge, damit wir trotz dieser hervorragenden Big-Data-Anwendungen den gläsernen Nutzer vermeiden: Wir müssen anonymisieren und wir müssen vergessen, und das dritte: Wir müssen Lücken schaffen. Diese Techniken sind noch nicht weit genug entwickelt. Wenn ich in einem Unternehmensnetzwerk, Datenbankzugriffe protokolliere, um der Spionage vorzubeugen, schlägt das System bei einem Verhalten im System Alarm, das vom Standardverhalten abweicht. Also von einer Workstation, die wirklich nur Datenbankabfragen für interne Zwecke machen darf, gehen etwa dann irgendwelche Datenpäckchen nach außen, dann gibt es Alarm. Das kann Gründe haben, weil er mit einem Kooperationspartner zusammenarbeiten will. Das muss dann in die Sicherheitsprogramme eingearbeitet werden. Wenn kein Alarm gegeben wird, müssen die Zugriffe sehr bald vergessen werden, dürfen nicht über längere Zeit gespeichert werden. Der Zugriff darf nur als Zugriff beobachtet werden, nicht noch zugeordnet werden zu einer Person, der darf nur anonym protokolliert werden. Und wenn ich protokollieren will, wer zugreift, muss ein klar definierter Verdacht vorliegen. Mut zur Lücke heißt, genau abwägen bei einem solchen Sicherheitssystem, welche Systeme wie weit überwacht werden müssen. Intranet-Server mit Kantinenplan müssen nicht überwacht werden, Server mit Forschungsdokumenten dagegen sehr intensiv.
Kloiber: Das erfordert ja ein wenig Begleitforschung oder Wirkungsforschung zu den Entwicklungen bei den Sicherheitssystemen. Wie ist da der Stand der Dinge?
Welchering: Ja das haben tatsächlich die klassischen Antivirenhersteller als neues Geschäftsmodell erkannt. Einige ehemalige Hardwarehersteller entwickeln diesen Sicherheitsbereich auch sehr deutlich gerade. Da geht es dann darum, dass Verhaltensanalyse, Big-Data-Anwendungen, Data-Mining-Techniken nur dann als glaubwürdig gelten und diese Sicherheitsleistungen von den Kunden gewollt wird, wenn der Datenschutz auf verschiedenen Ebenen garantiert ist. Da werden Projekte aufgelegt, die in die Richtung dieser Wirkungsforschung gehen. Widerstand gibt es da von einigen Sicherheitspolitikern und auch von Nachrichtendiensten. Das amerikanische FBI zum Beispiel hält wenig davon, dass in einem Kooperationsprojekt, das sie machen, um Sicherheit zu garantieren, bestimmte Design-Einschränkungen aus Datenschutzgründen festgelegt werden. Da brauchen wir eine politische Diskussion, die auch in den Vereinigten Staaten gerade anfängt. Welche Designvorstellungen aus Datenschutzgründen von vornherein in der Begleitforschung festgelegt werden müssen. Und dazu gehören vor allen Dingen solche Techniken wie etwa Anonymisieren und Vergessen.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.