Datenschutz-respektierende Erkennung von Innentätern (DREI)

Motivation

Angriffe von Tätern aus den eigenen Reihen, sogenannten Innentätern oder Insidern, sind oft schwer zu erkennen. Gängige Sicherheitsanwendungen wie Firewalls, Intrusion-Detection-Systeme (IDS) oder Data Loss Prevention-Systeme (DLP) reichen hier nicht aus. Insider verfügen über umfangreiches Detailwissen und weitreichende Berechtigungen. Sie agieren unauffälliger als externe Angreifer. Sie umgehen Erkennungs- und Überwachungssysteme und verschleiern gegebenenfalls ihre Spuren durch die Manipulation von Log-Dateien. Deshalb können sie von den üblicherweise vorhandenen Perimeter-Sicherheitsanwendungen, die an den Netzgrenzen installiert sind, kaum erkannt bzw. abgehalten werden.

Ziele und Vorgehen

Um Insider-Angriffe zu erkennen, müssen existierende Sicherheitsinformations- und Ereignis-Management-Systeme (SIEM-Systeme) in erheblichem Maß weiterentwickelt werden. Dazu erforschen die Projektpartner im Verbundprojekt Datenschutz-respektierende Erkennung von Innentätern (DREI) eine organisationsinterne, verteilt implementierte Sicherheitszentrale zur Erkennung von Insider-Angriffen. Dabei werden auch die Rechtskonformität und Wirksamkeit der Maßnahmen unter realistischen Bedingungen untersucht. Für diese Sicherheitszentrale werden Verfahren entwickelt, die der datenschutzfreundlichen Erfassung und Speicherung von Sicherheitsereignissen dienen. Sie sollen über die Möglichkeit verfügen, bedarfsweise Identitäten offenzulegen und Anomalien zu erkennen, die zur Aufdeckung der Innentäter-Aktivitäten führen. Dies geschieht anhand anonymisierter bzw. pseudonymisierter Daten sowie der Analyse rechtlicher Datenschutzanforderungen. Daraus werden dann Prüfkriterien abgeleitet, die im Projekt auf ihre Sicherheit hin evaluiert werden.

Innovationen und Perspektiven

Die zentrale Innovation des Projekts DREI ist die Umsetzung einer ganzheitlichen Sicherheits-zentrale, die Insiderangriffe unter Berücksichtigung von physikalischen und IT-Ereignissen erkennt. Die Sicherheitszentrale kann durch eine spätere Integration in bestehende SIEM-Systeme die Auswirkungen von Innentäter-Angriffen erheblich reduzieren. Der Gesamtschaden für die deutsche Volkswirtschaft durch Wirtschaftsspionage alleine verursacht durch Innentäter wird auf wenigstens 25 Milliarden EURO pro Jahr geschätzt.

Allein in der deutschen Wirtschaft verursacht Computerkriminalität jährlich Schäden von mehr als 10 Milliarden Euro. Eine Absicherung der IT-Systeme gegen Cyberangriffe und Cyberspionage ist daher für die Wirtschaft und Gesellschaft entscheidend, um die Fortschritte und Chancen der Digitalisierung nutzen zu können. In den geförderten Vorhaben werden Verfahren erforscht, die auf der einen Seite mit innovativen forensischen Aufklärungsmethoden Angriffsszenarien untersuchen und verstehen. Auf der anderen Seite werden mit diesen Erkenntnissen neue Möglichkeiten geschaffen, wie solche Angriffe schon im Vorfeld und in Echtzeit erkannt und verhindert werden können.