Kategorie Innovation & Technologie - 18. September 2015

Virtuelle Fahndung nach unbekannten Tätern

Wien – Im Kampf gegen Cyberkriminalität vollzieht sich momentan ein Paradigmenwechsel: Statt der Vermeidung von Cyberattacken gewinnt die Reaktion auf bereits erfolgte Einbrüche immer mehr an Bedeutung. Dahinter steht die Annahme, dass ab einer gewissen Größe der Cyberinfrastruktur erfolgreiche Hackerangriffe unvermeidbar sind.

Mit welchen Schutzmechanismen auf neue Cybergefahren reagiert werden kann, wurde letzte Woche beim Workshop „Cybersecurity-Technologien made in Austria“ des Austrian Institute of Technology (AIT) und des Österreichischen Verbands für Elektrotechnik am Tech Gate Wien diskutiert. Ausgangspunkt waren zwei Forschungsprojekte, die im Rahmen der Kiras-Sicherheitsforschung vom Verkehrsministerium gefördert werden und an denen neben dem AIT die Forschungsförderungsgesellschaft FFG und die Fachhochschule St. Pölten beteiligt sind.

Anfällige Systeme

Die Bedrohung durch Cybergefahren spitzt sich auf zwei Ebenen zu: Einerseits gibt es mit E-Government, E-Health, E-Mobility und E-Energy eine zunehmende Vernetzung von Infrastruktur, Verwaltung und Gesundheit, wodurch die Systeme anfälliger werden. Andererseits sind die Cyberangriffe ihrerseits immer raffinierter.

Während in der Vergangenheit vor allem Einzeltäter, von technischem Interesse angetrieben, Schadsoftware in die Welt setzten, stehen heute oftmals kriminelle, wirtschaftliche oder militärische Absichten hinter Cyberangriffen – und vielfach hochprofessionell agierende Kollektive, sagte Roman Fiedler, Forscher am AIT.

„Die Bedrohung geht nicht mehr von einzelnen, isoliert arbeitenden Hackern aus, sondern von organisierten Strukturen mit beträchtlichen Investitionen“, schreiben Helmut Leopold, Leiter des AIT-Departments Digital Safety & Security, und Kollegen in der kürzlich erschienenen Springer-Publikation Cyber Attack Information System, die aus dem gleichnamigen Kiras-Projekt hervorging.

Firewalls, Filter und effiziente Updates waren bisher die erste Wahl im Schutz gegen Cyberattacken. Bei dieser Strategie geht man davon aus, dass die möglichen Gefahren bekannt sind und abgewehrt werden können, noch bevor ein Angriff erfolgreich ist. Diese Taktik scheitert aber, wenn die Angriffe auf den ersten Blick unverdächtig erscheinen und so durch die Filter rutschen – beispielsweise gefakte E-Mails mit Betreffzeilen wie „A1-Rechnung“, „DHL-Lieferung“ oder „Amazon-Bestellung“ von Absendern, die seriös erscheinen, auch wenn sie gar nicht tatsächlich von A1 und Co. versendet wurden und womöglich im Anhang Schadsoftware enthalten.

Die zweite Form von Schutzmechanismen, die immer mehr an Bedeutung gewinnt, sind Mechanismen, die auf bereits erfolgreiche Angriffe reagieren, wie etwa Anti-Viren-Programme oder Detektionssysteme. Die Schwierigkeit dabei: Die potenziellen Bedrohungen sind oftmals nicht bekannt.

Ein Ansatz, der am AIT verfolgt wird, um mögliche Attacken zunächst zu erkennen und dann effektiv zu bekämpfen, beruht auf der Erkennung von Anomalien, also Abweichungen vom herkömmlichen Prozessverlauf.

Abweichung vom Alltäglichen

Florian Skopik, Senior Scientist am AIT, dazu: „Anomalieerkennung beschäftigt sich mit der Entdeckung von Ereignissen, die sich von alltäglichen Situationen unterscheiden.“ Für das System ist es dabei irrelevant, um welche Art von Bedrohung es sich handelt, es stellt nur fest, wenn Abläufe sich plötzlich anders als gewohnt abspielen. Das kann etwa die Frequenz von Abfragen betreffen oder die Häufigkeit von Eingaben.

Im Fall der gefakten „A1-Rechnung“-E-Mail würde das System bemerken, dass einer echten A1-Rechnung eine interne Berechnung der Telefonkosten vorausgeht, erst dann wird die Rechnung versendet. Bei der gefakten „A1-Rechnung“ wird dagegen eine E-Mail ohne vorausgehende Berechnung verschickt – aufgrund dieser Anomalie würde das neue System Alarm schlagen, wenn es aufgrund einer Cyberattacke auf A1 zu gefakten E-Mails kommt.

Über die Erkennung von Anomalien sollen künftige Cybersecuritysysteme so programmiert werden, dass sie selbstlernend nach unbekannten Sicherheitslücken fahnden, denn die Anzahl der ständig neu aufkommenden Gefahren ist längst zu groß, um sie einzeln manuell zu erfassen. Leopold: „Ein Virenschutzprogramm muss heute an die 240 Millionen verschiedene Malware-Signaturen erkennen.“ Und jeden Tag kommen circa 160.000 neue Bedrohungen dazu. (Tanja Traxler, 18.9.2015)