Unternehmensnetzwerke sind alles andere als homogen: In der Regel vernetzen sie Computer und Systeme einer ganzen Reihe von Herstellern und Technikgenerationen miteinander. Nicht weniger vielfältig sind die Bedrohungen, die in einem solchen Unternehmensnetzwerk lauern können. Security-Spezialisten haben es in solch einer Umgebung schwer, Schadsoftware oder gar Spionagepfade zu finden. Welche effiziente Unterstützung ihnen Methoden des maschinellen Lernens dabei bieten können, erläutert Dr. Huang Xiao vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC im Interview.

Hallo Herr Dr. Xiao. Sicherheitssysteme wie Virenscanner und Firewalls sind heute doch auf jedem Computersystem eine Selbstverständlichkeit. Erst recht in Unternehmensnetzwerken. Trotzdem entwickeln Sie Methoden, die auch in solch geschützten IT-Landschaften verdächtige Vorgänge finden sollen?

Fakt ist, dass aktuelle Sicherheitssoftware grundsätzlich einmal hervorragende Arbeit leistet - vorausgesetzt, sie kennt den Schädling, nach dem sie suchen soll. Und sie hat Zugriff auf alle Datenvorgänge des Unternehmensnetzwerks. Genau hier liegt das erste Problem: Ein Unternehmensnetzwerk ist keine feste Größe, sondern ändert sich kontinuierlich. Mitarbeiter loggen sich an den unterschiedlichsten Stellen mit ihren Laptops ein, tauschen per USB-Stick schnell ein paar Daten aus oder synchronisieren ihre E-Mails mit dem Client auf ihrem Smartphone. In einem Unternehmensnetzwerk sind also gleichzeitig die unterschiedlichsten Betriebssysteme und Programme aktiv - jedes hat eigene potentielle Schwachstellen, durch die eine Bedrohung in das Unternehmen gelangen kann. Das zweite Problem ist, dass Internetkriminelle und Datendiebe in ihren Methoden äußerst kreativ sind. Jeden Tag gibt es eine Vielzahl neuer Gefährdungen, die die Sicherheitssoftware erst einmal noch nicht kennt. Wir bei Fraunhofer AISEC entwickeln daher ergänzende Sicherheitssoftware, die mit Methoden des maschinellen Lernens in den Datenströmen auch großer Netzwerke unerkannte Bedrohungen finden kann.

Darstellung von Anomalieabweichungen in Diagrammform. Bild: Fraunhofer AISEC

Einen ganz neuen Schadcode können Sie beziehungsweise Ihre Programme aber doch auch nicht kennen. Wie wollen Sie diesen dann finden?

So paradox es auf den ersten Blick klingen mag: Indem wir gar nicht erst nach konkreten Schadprogrammen, Manipulations-Codes oder Spionagesoftware suchen. Die Problemlösung ist vielmehr eine sehr generelle Suche nach Anomalien. Und dafür benötigen wir die Unterstützung des Maschinellen Lernens. Im Prinzip beobachten wir erst einmal alle Datenströme des gesamten Unternehmensnetzwerks und lernen so seinen »Normalbetrieb« kennen. Damit sind unsere Algorithmen für die Anomalieerkennung dann in der Lage zu unterscheiden, ob ein Datenverkehr der regulären Arbeitsweise des Unternehmens entspricht oder aus dem Rahmen fällt.

Und was passiert, wenn Ihre Programme etwas Verdächtiges finden?

Grundsätzlich gilt: Eine Anomalie im Datenstrom muss noch keine Gefährdung darstellen. Aber es besteht die Möglichkeit, dass es sich um eine Bedrohung handelt. Die nähere Analyse des Vorfalls muss wie bisher ein Security-Spezialist leisten. Der große Vorteil unserer Methode aber liegt darin, dass sie die Vielzahl an Datenbewegungen in einem Netzwerk zuverlässig im Blick haben kann. Ohne diese automatisierte Unterstützung könnte dies kein Security-Spezialist leisten. Er kann sich nun darauf konzentrieren, die gefundenen Anomalien zu bewerten und gegebenenfalls Abwehrmaßnahmen einzuleiten. Stellt sich dabei heraus, dass eine der gemeldeten Anomalien auf Änderungen im regulären Betrieb des Netzwerks zurückzuführen ist, werden entsprechende Vorfälle künftig automatisch als normal erkannt.

Darstellung von Anomalieabweichungen in Cluster-Form. Bild: Fraunhofer AISEC

Was müssen Unternehmen tun, um auch in ihrem eigenen Netzwerkalltag von ihren Forschungen zu profitieren?

Unsere Systeme zur Anomalieerennung sind aktuell bereits bei einer ganzen Reihe von Unternehmen im Einsatz. Kein Unternehmensnetzwerk ist allerdings wie das andere. Damit die gesamten Datenströme in den teils hochkomplexen Netzwerksstrukturen auch zuverlässig durchsucht werden können, ist es (noch) erforderlich, jedes unserer Systeme individuell anzupassen und zu integrieren. Im Rahmen aktueller Forschungsprojekte arbeiten wir derzeit daran, diese Anpassungsleistung noch schneller und einfacher zu machen. Das Ziel dabei ist, die Entwicklung von Lösungen zur Anomalieerkennung, die so einfach zu installieren sind, wie ein Virenscanner auf einem PC. Zudem wollen wir die Unterstützungsleistung für die Security-Spezialisten weiter ausbauen: Denkbar wäre hier etwa eine automatisierte Einstufung des Gefahrenpotenzials einer Anomalie. Der Experte würde so den entscheidenden Zeitvorsprung erhalten, um bei einer tatsächlich bestehenden Gefahrensituation rechtzeitig reagieren zu können.

(stw)

Weitere Informationen

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Vier + = 11
Bitte Zahl eintragen!
image description
Interviewpartner
Alle anzeigen
Dr. Huang Xiao
  • Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC
Weitere Artikel
Alle anzeigen
Normal oder anomal, das ist hier die Frage
Produktion blind vernetzt
Aber sicher!
Stellenangebote
Alle anzeigen