Soccer team in a huddle

Prävention und Detektion: Die Sicht der Hacker einnehmen

Feature | 17. August 2015 von Andreas Schmitz 0

Der NSA-Lauschangriff auf die Kanzlerin, geklaute Personaldaten in den USA und der Hackerangriff auf den Bundestag zeigen: Es gibt enormen Bedarf, über das Thema IT-Security besser aufzuklären. Deshalb lernen Sicherheitsexperten der Zukunft in Seminaren schon heute wirkungsvolle Abwehrstrategien.

Marian Gawron kennt das Katz- und Maus-Spiel im Seminar „Cops & Robbers“ inzwischen gut. Spielerisch treten hier zwei Studentengruppen in einer Live-Session gegeneinander an und versetzen sich einmal in die Rolle der Sicherheitschefs, einmal in die Rolle der Hacker. Erst als Student und nun als Tutor im Studiengang IT-Systems Engineering am Hasso Plattner Institut (HPI) in Potsdam weiß Gawron, was ein möglichst angriffssicheres Netzwerk auszeichnet. Natürlich kennt er auch die Tools, Strategien und Tricks, mit denen Hacker üblicherweise in Computersysteme gelangen. Viele Unternehmen sind davon leider noch weit entfernt. Dabei wächst die Bedrohung ständig weiter.

BKA: Ermittlungserfolge wie beim Fahrraddiebstahl

Die Gefahren, vor der die IT in den Unternehmen steht, hatte nicht zuletzt BKA-Chef Holger Münch kürzlich auf dem Nationalen Kongress für CyberSicherheit in Potsdam beim Namen genannt. Sie reichen vom so genannten Crime as a Service über den Trend zur generellen Verlagerung von Delikten in die digitale Welt, über den fahrlässigen Umgang mit großen sicherheitsrelevanten Datenmengen bis zur zunehmenden Internationalisierung der Täter. Eine „Ermittlungsquote wie beim Fahrraddiebstahl“ bemängelt Münch bei Straftaten im Netz. Die Behörden rüsten daher ihre Cyberabwehrzentren personell auf. Einen ähnlichen Bewusstseinswandel haben die meisten Unternehmen noch vor sich.

Für Christoph Meinel, Leiter des HPI in Potsdam, ist ein stärkeres Sicherheitsbewusstseins der Schlüssel. „Viele Unternehmen wissen gar nicht, was sie schützen wollen“, wundert sich der HPI-Chef, „sie kennen die katastrophalen Auswirkungen gar nicht.“ Der Schutz digitaler Identitäten, Vorkehrungen gegen Schadsoftware und der Einsatz von Verschlüsselungstechnologien etwa für Emails sind laut Meinel das A und O, um sich überhaupt sicher im Netz bewegen zu können.

Cybercrime bereits im Studium zum Thema machen

Ihr digitales Handwerk beherrschen die Studenten am HPI schon. Im Seminar Cops & Robbers stehen sie allerdings zum ersten Mal vor der Aufgabe, ein Netzwerk zu schützen, in das Hacker mit allen verfügbaren Mitteln eindringen wollen. „Sie lernen, wie schwierig es ist, ein Netzwerk in den Produktivzustand zu setzen und zu sichern, dabei aber niemanden mit Autorisierung auszusperren“, erläutert Tutor Gawron. „Ziel des Seminars ist, ein Bewusstsein für die Denkweise des Angreifers schaffen.“ Im Seminar ist es beispielsweise ein Browser, der eine Sicherheitslücke enthält. Aufgabe der Verteidiger auf Unternehmensseite ist es dann, entweder diese Lücke über Patches zu schließen oder gezielt einem Angreifer den Zugriff zu verweigern, also seine IP auszusperren.

Das Netz nach Auffälligkeiten scannen

Wichtigste Aufgabe der Verteidiger ist es, das Netz ständig zu beobachten und den Rechner zu identifizieren, über den die Angreifer ins Netz gelangt sind. „Durch Scannen erkennt man unkonventionelle Anfragen“, erläutert Gawron, der sich in seiner Promotion „Schwachstellen in Computern und Netzwerken“ seit anderthalb Jahren mit dem Thema beschäftigt und versucht, ein System zu entwickeln, das Administratoren automatisierte Lösungsvorschläge unterbreitet. In der Regel kommt dazu Detektionssoftware zum Einsatz, die Anfragen aus Logdateien sammelt. „Allerdings sind das so viele, dass kritische Anfragen leicht im allgemeinen Rauschen untergehen“, sagt Gawron. Intelligente Filter versetzen Unternehmen aber in die Lage, sich auf verdächtige IPs zu konzentrieren. So genannte Intrusion-Detection-Systeme (IDS) erkennen dann Sicherheitsverletzungen.

Schon das simple Datensammeln überfordert viele Unternehmen im Alltag: „Nicht zuletzt aufgrund des hohen Aufkommens wird das Protokollieren der Daten vernachlässigt“, sagt Gawron. Deshalb dauert es in der Regel im Schnitt exakt 243 Tage, bis eine gezielte Cyberspionage, ein so genannter Advanced Persistent Threat (APT), auffällt – so ermittelte das Bundesamt für Sicherheit für Sicherheit in der Informationstechnik (BSI). Hackern bleibt in der Regel also genug Zeit, in fremden Systemen nach verwertbaren Informationen zu suchen.

Beziehungen finden, nicht Netzwerkprotokolle sammeln

Die Erfahrungen im Cops & Robbers-Seminar hingegen kommen einer Analyse von Logfiles in Echtzeit nahe, da hier schlicht eine überschaubare Anzahl von Informationen verwendet wird. Geschwindigkeit ist im Unternehmensalltag hingegen ein Kernthema. „Es gibt viele gute Ansätze, aber viele liefern die nötige Analyse zu spät“, weiß HPI-Chef Meinel, der deswegen die In-Memory-Technologie empfiehlt. „Sie ist nicht nur 10.000 Mal schneller als andere Datenbanken. Sie kombiniert zudem IDS mit der SAP-HANA-Technologie, das so genannte Real Time Analytics and Monitoring System (REAMS).“ Die Plattform vergleicht eine aktuelle Attacke mit bekannten Angriffsmustern aus der Vergangenheit. Inzwischen sind diese Forschungen in das neue SAP-Produkt SAP Enterprise Threat Detection (SAP ETD) eingeflossen. „Es geht darum Beziehungen zu finden, nicht Netzwerkprotokolle zu erstellen“, prognostiziert Meinel für die Zukunft. Auch Gawron wird das in seiner Promotion sicher nicht ganz unerwähnt lassen.

Weitere Informationen zum Seminar Cops & Robbers am Hasso Plattner Institut:

Tags: ,

Leave a Reply