Erkennung und Aufklärung von IT-Sicherheitsvorfällen mit einem neuartigen Angriffserkennungssystem
Die Enthüllungen von Edward Snowden über die Fähigkeiten moderner Nachrichtendienste führten zu einer umfassenden Sensibilisierung der Gesellschaft in Bezug auf Datensicherheit. Der 2015 erfolgte Hackerangriff auf die IT-Systeme des Deutschen Bundestages demonstrierte deutlich, dass heute alle Bereiche der Gesellschaft in Deutschland den technischen Fähigkeiten von Angreifern ausgesetzt sind – nicht nur die von Bürgern und Unternehmen. Die jüngste Welle von Angriffen – Erpressungen mit Hilfe von Verschlüsselungstrojanern – zeigen besonders deutlich, wie existenziell der Schutz der Computersysteme und der darauf verarbeiteten Daten ist. Um Angriffen wirkungsvoll zu begegnen, müssen sie frühzeitig erkannt, unterbunden und letztlich aufgeklärt werden. Klassische Methoden der Angriffserkennung lassen sich jedoch oft selbst kompromittieren und sind dadurch wirkungslos.
Ziel des Projekts EXPLOIDS (Explicit Privacy-Preserving Host Intrusion Detection System) ist es, ein System zu entwerfen und zu realisieren, das unbekannte Angriffe auf Computer erkennt. Dazu werden neue technische Methoden entwickelt, die es ermöglichen, Angriffsspuren zu sammeln, Angriffe zu erkennen und diese forensisch auszuwerten. Dem Angreifer soll es dabei nicht möglich sein, das Erkennungssystem selbst zu manipulieren.
Um das zu erreichen, sammelt das System fortlaufend die erforderlichen Daten im und über das Computersystem. Daten, die auf potenzielle Angriffe hindeuten, werden bereits während der Erhebung anonymisiert und verschlüsselt. Ein nachgelagertes Analysesystem durchsucht dann automatisch die Daten auf Angriffsmuster und ermöglicht eine manuelle forensische Untersuchung von Spuren für die juristische Verwendung. In jedem dieser Schritte wird der Datenschutz gewahrt.
Die Innovationen des Projekts liegen darin, dass neuartige Mustererkennungsverfahren zur Angriffserkennung genutzt und Softwarekomponenten mit speziell geschützter Sensorik und sicherer Virtualisierung eingesetzt werden. Durch die leistungsfähigen Hardwarekomponenten können juristisch verwertbare Beweise zur forensischen Sicherstellung generiert werden. Zusätzlich profitiert der Forschungs- und Entwicklungsstandort Deutschland von diesen neuartigen Technologien, weil sie einen wesentlichen Beitrag zur IT-Sicherheit für die Server- und IT-Infrastruktur sowie für das Internet-der-Dinge (IoT) leisten. Während des Projektes werden die erzielten Ergebnisse wissenschaftlich publiziert und nach Projektende als Open-Source bereitgestellt.
Die mit dem Projekt betrauten Partner werden im Anschluss an das Projekt alltagstaugliche, juristisch geprüfte und praxiserprobte Leistungen und Produkte zum Schutz von Computersystemen sowie im Falle eines Angriffes juristisch verwertbare Beweise anbieten können.