Verbesserung der Datensicherheit durch profilbasierte Anomalie-Erkennung
Vielen Unternehmen, Behörden und andere Organisationen stehen vor der großen Herausforderung, ihre Netze vor unbefugtem Zugriff von außen - aber insbesondere auch von innen zu schützen. Derzeit ist es oft noch nicht möglich, Sicherheitsvorfälle, wie das Herausschleusen vertraulicher oder geschäftskritischer Daten, schnell, zuverlässig und automatisiert zu erkennen. Die heute üblichen Sicherheitsvorkehrungen haben den Schutz der Unternehmensgrenzen im Fokus und zielen darauf ab, das Eindringen eines Angreifers in das Unternehmensnetz zu verhindern. Dabei wird die Kontrolle des Innenlebens der IT-Infrastruktur oft vernachlässigt und bestehende Maßnahmen werden nicht ausreichend dynamisch an neue Angriffsmethoden angepasst. Bedarfsgerechter und ausreichender Schutz für Unternehmen, Behörden und andere Organisationen ist dann gegeben, wenn die im Unternehmen eingesetzten Sicherheitsmaßnahmen intelligent zusammenwirken und die wirklich sicherheitsrelevanten Vorfälle mit hohem Automationsgrad aus der Datenflut herausgefiltert werden. „Security Information and Event Management (SIEM)“-Lösungen, die Daten nahezu in Echtzeit auswerten, können die kritischen Zeitspannen zwischen Angriff, Angriffserkennung und Abwehr drastisch verkürzen. Eine schnelle und zuverlässige Erkennung von Angriffen – auch von Innentätern – kann maßgeblich zur Verbesserung der Datensicherheit beitragen.
Die Projektpartner erarbeiten im Projekt PA-SIEM eine Lösung, die bestehende SIEM-Systeme um eine profilbasierte Anomalieerkennung erweitern soll. Untersucht wird eine neuartige Methode, um sicherheitsrelevante Ereignisse anhand von Verhaltensänderungen schnell und zuverlässig zu erkennen – ohne dabei gegen den Datenschutz zu verstoßen. Sowohl Echtzeit-Ereignisse als auch große Mengen an Langzeitdaten müssen dafür automatisiert überwacht werden, um auffällige Verhaltensmuster erkennen zu können. Als vorrangiger Anwendungsfall wird das unbefugte Herausschleusen vertraulicher Daten aus einem Netzwerk betrachtet. Die zu entwickelnden Verfahren und Methoden werden in einen Demonstrator integriert, um die Anwendbarkeit der technisch und rechtlich sicheren Verfahren in realen Anwendungsszenarien zu evaluieren und potentiellen Kunden vorführen zu können.
Der Bedarf an Lösungen für die Sammlung und Auswertung von sicherheitsrelevanten Informationen und Ereignissen wird - angesichts ständig wachsender Sicherheitsrisiken - weiterhin deutlich steigen. Gleichzeitig steigen auch die Anforderungen an SIEM-Systeme durch die steigende Zahl an Datenquellen, Datenformaten und regula-torischen Vorgaben kontinuierlich. Nur mit fortschrittlichen Analysemethoden, wie sie im Projekt PA-SIEM angestrebt werden, kann ein SIEM-System Bedrohungen entschärfen und kontinuierlich an die sich stetig verändernde Bedrohungslage angepasst werden.