Image: Gezielte SpurensucheFERCHAUFERCHAUNetzwerkforensik: Cyber-Angriffe frühzeitig erkennen | ChakisAtelier
TechnikIT-Sicherheit

Gezielte Spuren­suche

Lesezeit ca.: 4 Minuten
Rüdiger Vossberg

Rüdiger Voßberg

freier Journalist

Angriffe auf Computer-Netzwerke sind im Nachhinein schwer nachvoll­ziehbar. Deshalb untersuchen Wissenschaftler der Frankfurt University of Applied Sciences und der Hochschule Darmstadt neue Methoden zur Speicherung und Analyse der Netzwerk­daten, um Angriffe früher zu erkennen und besser zurückver­folgen zu können.

18. April 2018

IT-Spezialisten gehen davon aus, dass die vollstän­dige Absicherung einer IT-Infrastruktur in Unternehmen oder anderen Einrichtungen auch beim Einsatz neuester Technolo­gien nicht möglich ist. Im Interview erklärt der Leiter der Forschungs­gruppe für Netzwerk­si­cher­heit, Informati­ons­si­cher­heit und Datenschutz an der Frankfurt UAS, Professor Dr. Martin Kappes, wie sich Schäden wenigstens begrenzen ließen.

Womit wollen Sie die virtuellen Einbrecher dingfest machen, Herr Prof. Kappes?

Forensische Analysen sind genau wie die Arbeit an schweren Kriminal­fällen immer sehr Einzelfall bezogen. Wichtig ist vor allem, dass man bei der Auswertung planvoll vorgeht. Das Problem dabei: es gibt eigentlich noch keine Produkte auf dem Markt, mit denen man Netzwerk­fo­rensik betreiben könnte.

Diese Lücke wollen Sie schließen...

Zumindest etwas kleiner machen. Denn spätestens seit den Angriffen auf die IT-Infrastruktur des deutschen Bundestages ist wohl jedem klar, wie wichtig es ist, Angriffe anhand gespeicherter forensischer Informationen analysieren zu können. In unserem Projekt wollen wir herausfinden, welche Daten des Netzverkehrs für eine erfolgreiche Abwehr oder Analyse gespeichert werden müssen. IT-forensische Untersuchungen in einem Netzwerk erfolgen oft unter erheblichem Zeitdruck, weil diese nicht ohne weiteres abgeschaltet werden können.

Woran könnte man schädliche Datenpakete im Netzwerk­ver­kehr erkennen?

Beispiels­weise solche Pakete, die zu Anwendungen gehören, die im betroffenen Netzwerk gar nicht genutzt werden; oder Pakete, die von bisher unbekannten Absendern stammen.

Mit welcher Methode wollen Sie den zu erwartenden Daten-Tsunami analysieren?

Mit dem „Complex Event Processing“. Ein CEP-System bietet eine standardi­sierte Software­in­fra­struktur zur kontinuier­li­chen Kontrolle und Steuerung von zeitkriti­schen Prozessen in Echtzeit. Die Hauptauf­gabe unserer CEP-Lösung wird die ständige Extraktion von Informationen aus heterogenen Datenströmen sein. Es filtert alle ausgewählten Vorgänge (Events) im Netz, aggregiert sie und korreliert sie mit Ereignissen aus anderen Datenströmen. Die Ergebnisse bezeichnet man dann als komplexe Events, woraus sich der Name „Complex Event Processing“ des Prinzips erklärt.

Was stimmt Sie so zuversicht­lich, dass es funktioniert?

Es hat als moderne, effiziente Datenver­ar­bei­tungs­technik bereits seine Eignung bei der Netzwerk­über­wa­chung und -analyse unter Beweis stellen können. Die in diesen Bereichen erzielten wissenschaft­li­chen Resultate lassen auf eine hervorra­gende Eignung bei der Sammlung und anschlie­ßenden Datenreduk­tion im Bereich Netzwerk­fo­rensik schließen. Insbeson­dere hinsicht­lich der Verarbei­tung von großen Datenmengen und Skalierbar­keit sowie die Fähigkeit zur Netzwerk­über­wa­chung und –analyse in Echtzeit. Diese Architek­turen werden im Projekt angepasst und weiterent­wi­ckelt, um den Bereich der Sammlung forensisch relevanter Daten effizient übernehmen zu können.

Warum ist vorher niemand auf Ihre Idee gekommen?

Die Datenmengen in Netzwerken sind viel zu groß, um sie vollständig für eine Analyse zu speichern. Mit CEP wird es uns aber gelingen, das Volumen der potentiell interessanten Daten für spätere forensische Analysen stark einzugrenzen. Diese können dann bei einem Angriff mit modernen Methoden zur Datenana­lyse wie Big Data oder mit Hilfe künstlicher Intelligenz forensisch ausgewertet werden.

Was geschieht aber im Falle, wenn sich bei Ihren Forschungen herausstellt, man muss an der einen oder anderen Stelle den Datenschutz „aufweichen“, um eine spezielle Netzgefähr­dung überhaupt erst zu erkennen?

Generell ist dies immer eine Abwägungs­sache. Im betriebli­chen Kontext kann durch entsprechende Vereinba­rungen genau festgelegt werden, was gespeichert wird und wofür es ausgewertet werden darf. Wenn personen­be­zo­gene Daten gespeichert werden müssen, sind eine sichere Speicherung und eine strenge Zugriffs­kon­trolle notwendig. Wenn dies nicht von Anfang an mitgedacht wird, können Sicherheits­sys­teme selbst zur Sicherheits­schwach­stelle werden.

Ihr System soll später den Netzwerk­ver­kehr ausgewählt „live“ mitschneiden, oder? Geschieht dann auch die IT-Forensik quasi online und könnte so bei Befall oder Verdacht Alarm schlagen?

Wenn man Verkehr unmittelbar als schafhaft erkennt, kann sofort Alarm geschlagen oder idealerweise sofort gestoppt werden. Doch gezielte Angriffe sind oft nicht sofort zu erkennen. Deswegen müssen Daten gesammelt werden, die später forensisch ausgewertet werden können, um diese meist komplexen Angriffe später analysieren zu können.

Wann könnte das frühestens der Fall sein?

Unser Projekt ist auf einen Zeitraum von vier Jahren angelegt und wird bis August 2021 vom Bundesmi­nis­te­rium für Bildung und Forschung gefördert.

NetzwerkforensikerNetzwerkforensiker Professor Martin Kappes | Frankfurt UAS_Quelle Stefanie Koesling

Professor Martin Kappes unterrichtet Informatik an der Frankfurt University of Applied Sciences und ist Direktor des Zentrums für Logistik, Mobilität und Nachhaltig­keit.