Erkennung und Aufklärung von IT-Sicherheitsvorfällen

Die Absicherung von Informations- und Kommunikationssystemen gegen IT-Angriffe ist im globalen Zeitalter ein entscheidender Faktor dafür, dass Wirtschaft und Gesellschaft die Fortschritte und Chancen der Digitalisierung nutzen können.

150315-aufklärung-sicherheitsvorfaelle.jpg
© (c) alphaspirit - fotolia.com

Zuwendungszweck

Die Absicherung von Informations- und Kommunikationssystemen gegen IT-Angriffe ist im globalen Zeitalter ein entscheidender Faktor dafür, dass Wirtschaft und Gesellschaft die Fortschritte und Chancen der Digitalisierung nutzen können. Zu den weit verbreiteten ungezielten Angriffen kommen heute immer gezieltere und professionellere Angriffe hinzu, die schwer erkennbar und damit sehr gefährlich sind. Die Folgen solcher Angriffe können immense Schadenshöhen erreichen. Die wirtschaftlichen Schäden durch IT-Angriffe werden für 2013 weltweit auf bis zu 575 Milliarden Dollar geschätzt. Da die vorhandenen Lösungen immer weniger greifen, sind neue, zuverlässige Verfahren der Angriffserkennung und Abwehr solcher Angriffe erforderlich.

Informations- und Kommunikationssysteme wie das Internet mit den dazugehörigen Netzen sind kein rechtsfreier Raum. Neben der Möglichkeit, Angriffe vorausschauend zu erkennen und abzuwehren, müssen erfolgte IT-Sicherheitsvorfälle auch nachvollzogen und aufgeklärt werden können. Eine besondere Herausforderung ist dabei die Berücksichtigung und Wahrung des Datenschutzes, um das Recht auf informationelle Selbstbestimmung auch bei Abwehr und Aufklärung von IT-Sicherheitsvorfällen zu gewährleisten.

Ein wichtiger Ansatz, IT-Angriffe frühzeitig abzuwehren, ist die Erkennung von außergewöhnlichem Verhalten und unerwarteter Kommunikation eines IT-Systems im Vergleich zum normalen Betriebszustand. Solche Anomalien können durch Malware oder verstecke Kommunikation verursacht werden und in Form von Datenflüssen zwischen Systemkomponenten in Erscheinung treten. Notwendig sind neue oder verbesserte präventive Verfahren zur Analyse von Anomalien, insbesondere im Hinblick auf Datenschutzkonformität, Zuverlässigkeit, Echtzeitfähigkeit und Ressourcenverbrauch.

Haben sich hingegen bereits Sicherheitsvorfälle wie IT-Einbrüche in Server und Netzwerke oder die Manipulation von Geschäftsdaten ereignet, ist es wichtig festzustellen, wer den Angriff durchführte und welcher Schaden dabei entstanden ist. Hierfür sind datenschutzkonforme, leistungsfähige, forensische Maßnahmen notwendig. Die IT-Forensik ist dabei als Prozess zu verstehen, in dem Verfahren zur Sicherung digitaler Spuren eingesetzt werden. Dabei kommt es wesentlich darauf an, Tatbestände durch eine geeignete Nachvollziehbarkeit gerichtsverwertbar dokumentieren zu können.

Um die unterschiedlichen Verfahren zum Erkennen, Verhindern und Aufklären von IT-Sicherheitsvorfällen für den Schutz auch komplexer IT-Systeme nutzen zu können, müssen diese miteinander interagieren und kooperieren.

Das Bundesministerium für Bildung und Forschung beabsichtigt daher, die Erforschung neuer Ansätze für die Erkennung und Aufklärung von IT-Sicherheitsvorfällen im Betriebsumfeld zu fördern. Die Bekanntmachung erfolgt im Rahmen der „Neuen Hightech-Strategie – Innovationen für Deutschland“ der Bundesregierung. Bei der dort adressierten prioritären Zukunftsaufgabe „Digitale Wirtschaft und Gesellschaft“ geht es um innovative Lösungen für die Herausforderungen der Digitalisierung.

nach oben

Gegenstand der Förderung

Gegenstand der Förderung bilden Verfahren zur Erkennung von IT-Angriffen, insbesondere durch Anomalieanalysen sowie die Aufklärung von IT-Sicherheitsvorfällen durch neue Methoden der IT-Forensik. Im Fokus stehen sowohl über Jahre gewachsene Bestandssysteme in Industrie- und Office-IT wie auch neue und dynamische IT-Systeminfrastrukturen, die durch Cloud-Computing, mobile Geräte, „Bring your own device“, virtualisierte Arbeitsumgebungen und Netzwerke charakterisiert sind.

Erkennung von Anomalien:

Im Bereich der Anomalieerkennung existieren bereits Ansätze, die auch im betrieblichen Kontext genutzt werden können. Für den Schutz komplexer IT-Systeme sind allerdings neue, leistungsfähige Erkennungssysteme notwendig, die das gesamte Betriebsumfeld mit erfassen. Eine besondere Herausforderung für die Akzeptanz dieser neuen Ansätze ist dabei deren ressourcenschonende Auslegung, die keine Beeinträchtigung der Kernaufgaben der zu schützenden IT-Systeme zur Folge hat.

Forschungsthemen im Bereich der Anomalieerkennung sind insbesondere:

  • Verfahren zur datenschutzkonformen Erkennung von mehrstufigen, verteilten und langfristig angelegten Angriffen auf IT-Infrastrukturen;
  • Verfahren zur Detektion von Anomalien auf Hypervisor-Ebene von virtuellen Maschinen;
  • Verfahren zur präventiven Schwachstellen- und Bedrohungsanalyse unter Berücksichtigung des Angriffspotentials;
  • Weiterentwicklung von Anomalieerkennungsverfahren im Hinblick auf ressourcenschonende Verwendbarkeit (z. B. in ressourcenbeschränkten Sensoren);
  • Verfahren zur Erkennung von Anomalien und zur Aufdeckung von Angriffskomponenten, die keine Spuren auf Speichermedien hinterlassen;
  • Verfahren zur Erkennung von Angriffen auf verschlüsselte Daten und Kommunikation wie z. B. auf das Schlüsselmanagement;
  • Verfahren zur Erkennung und Analyse von Angriffen unter Echtzeitanforderungen und bei großen Datenmengen;
  • intelligente Verfahren, die durch einen anonymisierten Austausch von Lagebildern bessere Erkennungsraten und Reaktionsmöglichkeiten zur Verfügung stellen.

nach oben

Aufklärung von IT-Sicherheitsvorfällen:

Es sollen effiziente Analysemethoden erforscht und entwickelt werden, die eine forensische Untersuchung und gerichtsverwertbare Rekonstruktion von IT-Sicherheitsvorfällen unterstützen und auch in dynamischen IT-Infrastrukturen (z. B. bei Einbindung von mobilen Endgeräten und Cloud-Computing) einsetzbar sind.

Verfahren zur datenschutzkonformen forensischen Analyse sollen zur Gewinnung verwertbarer Ergebnisse insbesondere Metadaten verwenden, die lokal, im Netz und in der Cloud erfasst werden. Benötigt werden neue Werkzeuge zur Beweissicherstellung, die auch Trends zur Integration privater elektronischer Endgeräte (BYOD) in bestehende IT-Infrastrukturen berücksichtigen und dabei nachweislich korrekt agieren und keinen verzerrenden Einfluss auf die untersuchten Systeme nehmen. Insbesondere die Analyse und Sicherung flüchtiger Spuren im Netz (Netzwerkforensik) stellt eine besondere Herausforderung dar. Alle Aufklärungsverfahren müssen datenschutzkonform arbeiten und Privatsphäre und Persönlichkeitsrechte wahren. Die Ergebnisse sollen zu einer juristisch verwertbaren Dokumentation gelangen oder einen entsprechenden Datenerhebungsprozess unterstützen.

Forschungsthemen im Bereich der Forensik sind insbesondere:

  • die Erforschung und Entwicklung rechtssicherer, datenschutzkonformer forensischer Ansätze, die auch Daten in Cloud-Systemen und die Integration privater elektronischer Endgeräte (Bring your own device) ermöglichen oder zur systemübergreifenden Auswertung von IT-Vorfällen beitragen;
  • die Entwicklung von Lösungen für die Mandantentrennung bei IT-forensischen Untersuchungen im Cloud-Bereich;
  • die Entwicklung von Werkzeugen, die nachweislich korrekte Verfahren umsetzen und keinen verzerrenden Einfluss auf die untersuchten Systeme nehmen;
  • Aufklärungsverfahren, die unter Einhaltung des Datenschutzes und Wahrung von Privatsphäre und Persönlichkeitsrechten zu verlässlichen und juristisch verwertbaren Dokumentationen gelangen oder einen entsprechenden Datenerhebungsprozess unterstützen;
  • Verfahren zur forensischen Analyse, die eine rechtssichere Gewinnung verwertbarer Ergebnisse auf der Basis von verschlüsselten oder pseudonymisierten Daten oder von Metadaten ermöglichen.

Die Relevanz und Umsetzbarkeit der Lösungskonzepte sollte sich durch die entsprechende Beteiligung von Unternehmen in der Verbundstruktur widerspiegeln. Die Verbünde sollten Expertise im Datenschutz und juristische Expertise mit einbinden. Die Lösungen sollten mit Anwendern zusammen erarbeitet werden und praktisch umgesetzt werden. Die skizzierten Lösungen müssen deutlich über den aktuellen Stand der Wissenschaft und Technik hinausgehen.

Weitere Informationen

nach oben