Erkennung von IT-Sicherheitsvorfällen an Internetknotenpunkten
Fast alle Informations- und Kommunikationssysteme sind heute über das Internet miteinander verbunden. Um sicherheitsrelevante Vorfälle im Internet zuverlässig erkennen zu können, müssen verschiedene Stellen überwacht werden. Üblicherweise geschieht dies heutzutage durch IT-Sicherheitsdienstleister, die beispielsweise an Firewalls oder Fileservern Messsonden zur Erkennung von Sicherheitsvorfällen installiert haben. So ist ein IT-Sicherheitsvorfall aber immer nur lokal erkennbar. Eine bisher wenig beachtete Möglichkeit für die providerübergreifende Diagnose von Anomalien bieten öffentliche Internetknotenpunkte, sogenannte Internet Exchange Points (IXP). Ein IXP bietet nicht nur eine Sicht über die Grenzen einzelner Internet-Service-Provider (ISP) hinweg, sondern stellt auch durch seine logischen Vermittlungskomponenten eine Schnittstelle zu den ISP bereit. Das übergeordnete Ziel des Projektes liegt daher in der Absicherung von IKT-Systemen durch die Zuhilfenahme von solchen IXP.
Das Konsortium hat sich das Ziel gesetzt, IT-Sicherheitsvorfälle zuverlässig zu identifizieren. Dazu wird der Netzwerkverkehr im Internet ISP-übergreifend betrachtet. Im Vorhaben soll ein System für die Erkennung von sowohl bekannten IT-Sicherheitsvorfällen als auch neuen, unkonventionellen Anomalien an Internetknotenpunkten erforscht werden. Kernbestandteile sind Mechanismen für die automatische Auswertung von Anomalien, wobei Daten der Netzwerk- und der Anwendungsschicht analysiert werden. Weiterhin sollen Verfahren und Werkzeuge für die echtzeitfähige Netzwerkforensik erforscht werden, mit denen sich schrittweise Sicherheitsvorfälle im Nachhinein aufklären lassen. Es sollen offene Lösungen entstehen, die eine nahtlose Erweiterung bzw. Adaption durch Dritte erlauben, beispielsweise für ein effizientes Zusammenspiel mit lokalen Maßnahmen zur Anomalieerkennung. Da die an den IXP-Knoten zugreifbaren Daten hoch-sensibel sind, werden alle Entwicklungen unter strikter Beachtung des Datenschutzes durchgeführt. Insbesondere die Einhaltung des Minimalprinzips, d. h. so wenige Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, hat in der Umsetzung höchste Priorität.
Für die Anomalieerkennung werden Softwarekomponenten mit vorhersagbaren, geringen Verzögerungen entworfen und umgesetzt. Diese Komponenten skalieren sowohl für kleine als auch sehr große Datenmengen dynamisch und ermöglichen damit eine ressourcenschonende Verwendbarkeit. Auf der Basis einer präventiven Schwachstellen- und Bedrohungsanalyse werden neue Dienste für die Route-Server-Infrastruktur an IXP analysiert und implementiert. Der Abgleich unterschiedlicher Lagebilder zwischen mehreren IXP soll zudem die Genauigkeit der Vorfallerkennung erhöhen. In dem Vorhaben arbeiten die zwei größten IXP in Deutschland, der DE-CIX und der BCIX, zusammen. Gemeinsam mit einem etablierten Dienstleister von IT-Sicherheitslösungen und drei Hochschulen sollen so innovative Lösungen zur Erkennung von IT-Sicherheitsvorfällen praxistauglich erarbeitet werden.