Cyber-Attacken: Nur spezielle Sicherheitssoftware kann schützen

15.03.2017
Angriffe aus dem Netz werden immer ausgeklügelter - Sicherheitstools sind dringend nötig (Foto: chainat/Fotolia)

Prof. Dr. Ulrich Bühler präsentiert die Ergebnisse des Forschungsprojekts „Intelligente Erkennung von Cyber-Angriffen auf IT-Strukturen" (kurz: IntErA) auf der CeBIT 2017

Sprechende Puppen können via Internet das Kinderzimmer ausspionieren, Cyber-Erpresser legen die IT-Systeme einer Klinik lahm, indem sie die Sicherheitsvorkehrungen umgehen, die Inhalte ganzer Datenbanken verschlüsseln und nur gegen Lösegeld wieder lesbar werden. Und es wird immer schwieriger, Computer, Smartphones oder ganze Unternehmensnetze zu schützen. Denn die Angriffe werden stets raffinierter und nehmen drastisch zu. So registrierte allein VW im letzten Jahr 6.000 Cyber-Attacken auf die IT-Struktur des Konzerns pro Tag. „Heutzutage geht es um hochkomplexe Schadsoftware, sogenannte Advanced Persistant Threats (APTs)“, sagt Professor Dr. Ulrich Bühler. „Verteilte Angriffsvektoren, einfache Malware wie Viren und Würmer spielt kaum noch eine Rolle.“ Bühler lehrt und forscht am Fachbereich Angewandte Informatik auf dem Gebiet der Netzwerk- und Datensicherheit.

Bedrohungslage

Malware ermöglicht es etwa, fremde Kommunikation mitzulesen oder unbemerkt Programme zu installieren. So lässt sich zum Beispiel über "Trojanische Pferde", kurz "Trojaner" genannt, ein Host fernsteuern. Oder Cyberpiraten, die mittlerweile wie kriminelle Firmen organisiert sind, dringen mittels Malware in ein System ein, machen die Daten durch Verschlüsselung unzugänglich und schalten sie erst nach Zahlung eines Lösegeldes wieder frei (Ransomware). Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) waren Anfang letzten Jahres rund ein Drittel der deutschen Firmen Opfer solcher Erpresser-Angriffe. Die Dunkelziffer dürfte deutlich höher liegen.

„Die Bedrohungslage durch Cyber-Angriffe auf IT-Infrastrukturen nimmt von Tag zu Tag neue Ausmaße an“, schätzt Frank Beer, der als Doktorand im Forschungsprojekts im Rahmen einer Kooperativen Promotion mit der Uni Kassel promoviert. Dem will Prof. Bühler zusammen mit Frank Beer mit der Entwicklung des Anomalie-basierten Intrusion Detection Systems IntErA begegnen. „IntErA ist ein hybrides und selbstlernendes System, das in der Lage ist, auch bisher unbekannte Angriffe in Netzwerken frühzeitig zu erkennen“, erklärt Bühler.

Projektidee und Lösungsansatz

Es gibt zwei prinzipiell unterschiedliche Ansätze für Intrusion Detection Systeme (IDS), um Angriffe auf Rechner oder Rechnernetze frühzeitig zu erfassen, erläutert Bühler. Beim sogenannten signatur-basierten Ansatz werden die Muster bereits erfolgter und analysierter Angriffe mit denen aktuell stattfindender Angriffe abgeglichen und bei Übereinstimmung Alarm ausgelöst. Anomalie-basierte Ansätze dagegen erfassen Abweichungen von einem definierten Normalzustand des Rechnernetzes als potentielle Eindringversuche und können so auch bisher unbekannte Cyber-Attacken frühzeitig erkennen.

IntErA ist ein hybrides System, das die Welten beider Herangehensweisen neu verbindet. Vom System bereits erkannte Angriffe sind in Form spezieller Muster in der sog. Pattern Database hinterlegt. Wird eine Anomalie als Abweichung vom Normalverhalten detektiert, wird das Muster gebildet, mit denen in der Datenbank abgeglichen und diese automatisch erweitert, wenn es sich um einen bisher unbekannten Angriffstyp handelt. Die selbstlernende Datenbank enthält so, quasi in Echtzeit, Muster von bislang unbekannten Angriffen. Diese Herangehensweise kann in Millisekunden entscheiden, ob ein bestimmter Zustand eines Rechnersystems normal oder anormal ist.

So funktioniert IntErA. Derzeit erstellen Professor Bühler und seine Mitarbeiter den Prototyp des Schutzsystems (Grafik:Hochschule Fulda, Frank Beer).


Das Forschungsprojekt IntErA läuft noch bis September dieses Jahres. Partner sind die Universität Kassel und die Firmen EDAG und IT-Security@work GmbH. Das Projekt wird vom Bundesministerium für Bildung und Forschung gefördert. Auf der CeBIT ist das Projekt vom 20.-24. März in Hannover auf dem hessischen Hochschulgemeinschaftsstand in der Halle 6, Stand C18 zu sehen.

Mit seinem Team forscht Prof. Dr. Bühler zu den Themen Kryptographie und IT-Sicherheit. Zur Website der Forschungsgruppe Network and Data Security Group NDSec. 

Wie man sich schützen kann
Wichtige Tipps zur Datensicherheit gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI): www.bsi-fuer-buerger.de
Das „Sicherheitsbarometer“ (Siba) ist eine kostenlose App für das Smartphone, die auch und gerade Privatleute über aktuelle Gefährdungen im Netz informiert. Betrieben wird die App von dem Verein DsiN (Deutschland sicher im Netz) unter der Schirmherrschaft des Bundesinnenministeriums.

Kontakt:

Prof. Dr.

Ulrich Bühler

Angewandte Mathematik, Kryptografie, IT-Sicherheit

Gebäude 46 , Raum 325
Prof. Dr.Ulrich Bühler+49 661 9640-3101
Sprechzeiten
In der vorlesungsfreien Zeit nach Vereinbarung per E-Mail oder siehe Aushang in moodle.

 

zurück