MyMz

Informatik

Gemeinsam stark gegen Cyberangriffe

Im Projekt DINGFEST bündeln drei Unis und vier Unternehmen ihre Kompetenzen. Ziel ist ein Open-Source-Werkzeugkasten.
Von Louisa Knobloch, MZ

08. August 2016 06:30 Uhr
Angriffe visuell erkennen, digitale Beweismittel sichern und IT-Sicherheitsvorfälle melden – das ist die Kernaufgabe von DINGFEST. An dem Verbundprojekt sind drei Universitäten und vier Unternehmen beteiligt. Illustration: Sabri Hassan/Petra Sauer/Lehrstuhl für Wirtschaftsinformatik I
Angriffe visuell erkennen, digitale Beweismittel sichern und IT-Sicherheitsvorfälle melden – das ist die Kernaufgabe von DINGFEST. An dem Verbundprojekt sind drei Universitäten und vier Unternehmen beteiligt. Illustration: Sabri Hassan/Petra Sauer/Lehrstuhl für Wirtschaftsinformatik I

Regensburg. Computerkriminalität wird für die deutsche Wirtschaft immer mehr zum Problem: Laut einer Studie des Wirtschaftsprüfungsunternehmens KPMG zu „e-Crime“ aus dem Jahr 2015 waren 40 Prozent der Unternehmen betroffen – bei der Vorgängerstudie aus dem Jahr 2013 waren es nur 27 Prozent. Daten werden ausgespäht oder gestohlen, Konto- und Finanzdaten manipuliert oder die Unternehmen mit sogenannter „Ransomware“ erpresst. Dabei werden Daten verschlüsselt oder anderweitig gesperrt und nur gegen ein Lösegeld wieder freigegeben. Für den Studienzeitraum von zwei Jahren gehen die Experten von einer Gesamtschadenssumme von 54 Milliarden Euro für die deutsche Wirtschaft aus.

Wie Unternehmen Cyberangriffe und Cyberspionage rechtzeitig erkennen und so möglicherweise verhindern können, ist Thema eines neuen Forschungsprojekts, das vom Lehrstuhl für Wirtschaftsinformatik I an der Universität Regensburg koordiniert wird. Am Verbund DINGFEST sind insgesamt drei Universitäten – neben Regensburg auch Passau und Erlangen-Nürnberg – sowie vier regionale Unternehmen beteiligt. Das Bundesministerium für Bildung und Forschung (BMBF) finanziert das Verbundprojekt in den kommenden drei Jahren mit über 2,4 Millionen Euro.

DINGFEST steht für „Detektion, Visualisierung, forensische Aufbereitung von Sicherheitsvorfällen“. Noch vor wenigen Jahren seien IT-Systeme vornehmlich isoliert und innerhalb leicht zu schützender Grenzen betrieben worden, erläutert Projektkoordinator Prof. Dr. Günther Pernul von der Universität Regensburg. „Diese Systeme konnten nur innerhalb eines einzelnen Unternehmens oder in einem festen Organisationskontext kommunizieren.“ Die Situation habe sich jedoch stark verändert: Heutige IT-Systeme nutzten vielfältige, flexible, virtualisierte und hochgradig vernetzte Anwendungen. Stichwort Cloud Computing: „Die Anwendungen laufen auf Rechnern, die nicht mehr im Unternehmen, vielleicht nicht einmal mehr in Deutschland stehen“, beschreibt Pernul.

Bei DINGFEST steht die anwendungsorientierte Forschung im Mittelpunkt. Die Unternehmen R-KOM aus Regensburg und Innowerk aus Passau stellen für die Forscher an realen Fällen orientierte Testdaten bereit – etwa Statusinformationen von Betriebssystemen, Laufzeitparameter von Anwendungen oder Daten aus dem Betrieb virtueller Maschinen. Diese werden über Konnektoren gesammelt in einen kontinuierlichen Datenstrom eingespeist. Mit dem Thema Datenakquisition beschäftigen sich vor allem die Projektpartner von der Universität Passau.

IT-Forensiker auf Spurensuche

In einem nächsten Schritt wird der Datenstrom mit Metadaten der Laufzeitumgebung, Daten aus den Sicherheitsrichtlinien und Identitätsdaten der Benutzer angereichert. So lässt sich etwa feststellen, ob das Verhalten eines Nutzers von der Norm abweicht. Diesen Part übernimmt die Regensburger Firma Nexis, eine Ausgründung von Pernuls Lehrstuhl, die sich vor allem mit dem Identitäts- und Zugriffsmanagement befasst.

Nun folgt die Datenanalyse: Experten der Universität Erlangen-Nürnberg untersuchen den Datenstrom nach bestimmten Mustern und gleichen diese mit einer Threat-Datenbank, in der bereits bekannte Bedrohungs-Muster gespeichert sind, ab. Die hier erkannten Verdachtsfälle werden nun in einen kleineren Datenstrom geleitet. Die Regensburger Arbeitsgruppe beschäftigt sich mit Möglichkeiten der visuellen Analyse. „Im Rahmen einer Zeitreihenanalyse kann man beispielsweise vergleichen, wie die Daten von heute im Vergleich zu denen von vor einer Woche aussehen und ob es Abweichungen gibt“, sagt Pernul. Die Forscher wollen auch Datenbanken zur dauerhaften Ablage und Sicherung solcher verdächtiger Datenströme entwickeln.

Prof. Dr. Günther Pernul (r.) und sein Mitarbeiter Stefan Meier vom Lehrstuhl für Wirtschaftsinformatik I der Universität Regensburg
Prof. Dr. Günther Pernul (r.) und sein Mitarbeiter Stefan Meier vom Lehrstuhl für Wirtschaftsinformatik I der Universität Regensburg Foto: Knobloch

Haben sich die gefundenen Verdachtsfälle durch die visuelle Analyse erhärtet, geht es darum, diese auch vor Gericht belegen zu können. Wie in der Rechtsmedizin werden auch in der IT forensische Analysen genutzt, um Verbrechen – in diesem Fall Computerkriminalität – aufzudecken. Experten der Universität Erlangen-Nürnberg gehen mit Mitteln der IT-Forensik auf Spurensuche und greifen zur Beweissicherung bei Bedarf auf weitere der zu Beginn gesammelten Daten zu. „Vor Gericht geht es beispielsweise darum, zu belegen, dass etwa Logdaten nicht im Nachhinein verändert worden sind“, erklärt Pernul. Dazu werden diese Daten mit einem Zeitstempel versehen und versiegelt – damit sind sie „gerichtsfest“.

In einem letzten Schritt geht es um das neue Gesetz zur Erhöhung des Sicherheit informationstechnischer Systeme – kurz IT-Sicherheitsgesetz –, das am 25. Juli 2015 in Kraft getreten ist. Es sieht vor, dass Betreiber sogenannter Kritischer Infrastrukturen verpflichtet sind, erhebliche IT-Sicherheitsvorfälle – etwa einen Hackerangriff – an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zum Teil versuchten Unternehmen aber, einen solchen Angriff geheim zu halten, da sie einen Imageschaden befürchteten, sagt Pernul. Zwar könne die Meldung laut Gesetz auch anonym erfolgen – die Anonymisierung sei aber gar nicht so einfach. Er und seine Mitarbeiter wollen daher entsprechende Strukturen entwickeln, mit denen man zugleich auch den Grad der Anonymisierung messen kann, sowie Anreize für eine solche Meldung finden – etwa den strukturierten Austausch von Informationen. „Wenn zum Beispiel eine Bank aus Bayern einen Schadensfall meldet, wäre es für sie hilfreich zu wissen, dass auch eine Bank in Hamburg einen ähnlichen Schaden gehabt hat und wie sie damit umgegangen ist“, beschreibt Pernul die Idee.

Ein modularer Werkzeugkasten

In das Projekt ist auch die Regensburger Rechtsanwaltskanzlei „Paluka Sobola Loibl & Partner“ eingebunden. Sabine Sobola ist Expertin für IT-Recht und wird sich insbesondere mit datenschutzrechtlichen Fragen befassen. Insgesamt sechs Dissertationen zu den einzelnen Bestandteilen des Projekts sind geplant, davon drei an der Universität Regensburg. Neben den Publikationen sollen aber auch Forschungsprototypen von Software-Tools entwickelt werden. „Dabei wollen wir auf bestehende Komponenten aus der Open-Source-Community zurückgreifen und unsere Werkzeuge wiederum als Open-Source der Gemeinschaft zur Verfügung stellen“, sagt Pernul. Das bedeutet, die einzelnen Module des „Werkzeugkastens“ werden mit offenen Schnittstellen ausgestattet, die Dritte an eigene Anforderungen anpassen können. Insbesondere kleine und mittelständische Unternehmen sollen von diesem Angebot profitieren.

Mehr Nachrichten aus der Wissenschaft lesen Sie hier.

Sie sind noch nicht registriert?

Neu registrieren

MessageBox

Nachricht