FIDI

Intelligente Datenanalyse für die IT-Forensik

Die Spurensuche in digitalen Asservaten ist eine wichtige, wenn auch schwierige Aufgabe der Polizei© were / Fotolia

Motivation

Die Bekämpfung der Cyberkriminalität stellt die deutschen Sicherheitsdienste vor große Herausforderungen. Die polizeiliche Kriminalstatistik registrierte 2016 in diesem Bereich rund 82.000 Fälle, dies entspricht einer Zunahme von 82 Prozent gegenüber dem Vorjahr. Die Dunkelziffer ist hoch, die Aufklärungsquote beträgt rund 40 Prozent. Mit der Untersuchung von Cyber-Sicherheitsvorfällen beschäftigt sich die IT-Forensik. Sie analysiert, welche Werkzeuge verwendet und welche Schwachstellen ausgenutzt wurden. Ziel dabei ist, Angreifer anhand ihrer Vorgehensweise zu identifizieren und Sicherheitslücken aufzudecken. Auf diese Weise leistet die IT-Forensik einen wichtigen Beitrag zur Sicherheitsbewertung und Prävention. Die gegenwärtig verfügbaren Werkzeuge der IT-Forensik sind jedoch häufig nicht ausreichend: Sie erkennen nur wenige, gängige Spurentypen und stoßen bei großen, heterogenen Datenmengen schnell an ihre Leistungsgrenze.

Ziele und Vorgehen

Bis dato ist die Spurensuche auf digitalen Beweisträgern von manueller Ermittlungsarbeit geprägt. Ziel im Vorhaben ist es deshalb, mit Hilfe von Simulationen und Techniken des maschinellen Lernens neue Analyseverfahren für die IT-Forensik zu entwickeln, welche die Suche nach Hinweisen auf einen Sicherheitsvorfall, wie etwa einen unbefugten Systemzugriff, automatisieren. Die zu entwickelnden Werkzeuge sollen in der Lage sein, auch neuartige Spuren zu entdecken, zu untersuchen und selbstständig bisher unbekannte Muster zu lernen. Ziel ist es, mit diesen Methoden auch Datenmengen im Terabyte-Bereich bearbeiten und überprüfen zu können, um Spuren erheblich schneller zu sichten und zu sichern.

Innovationen und Perspektiven

Die neuen Werkzeuge verschaffen den Forensikern schnell einen umfassenden und visuell aufbereiteten Überblick über alle relevanten Informationen. Angestrebt ist beispielsweise eine Visualisierung ungewöhnlicher und verdächtiger Ereignisse auf einem Zeitstrahl sowie ein Werkzeug, welches Änderungen von speziellen Dateitypen des Betriebssystems Android beobachtet und interpretiert. Die Entwicklung findet in enger Zusammenarbeit mit dem Bundeskriminalamt, dem Bundesamt für Sicherheit in der Informationstechnik und verschiedenen Polizeiinspektionen statt, welche die Werkzeuge später für ihre Arbeit nutzen.

Weitere Informationen

Zuwendungsbescheid Projekt FIDI