Institut für Internet-Sicherheit – if(is)

Intrusion-Detection-Systeme (IDS) sind heute ein weit verbreitetes Mittel, um Firmennetze zu schützen. Da sie Angriffe gegen Computersysteme aufspüren können, helfen sie unter anderem dabei, den Diebstahl von wichtigem Firmen-Know-How zu entdecken und zu unterbinden. Diese Systeme leiden allerdings zurzeit noch unter zwei großen Problemen: Zum einen arbeiten sie zum größten Teil signaturbasiert und können daher nur Angriffe entdecken, die bereits bekannt sind und für die eine Signatur vorliegt. Das zweite Problem: Durch die hohe False-Positive-Rate und die Masse der anfallenden Ereignisse, die diese Systeme liefern, sind Sicherheitsverantwortliche nicht in der Lage, alle Vorfälle ausreichend zu bearbeiten. Um den Angreifern auf die Schliche zu kommen, ist ein immenses und ständig wachsendes Expertenwissen nötig. Nur so können Ereignisse zu zusammenhängenden Szenarien zusammengefasst und mit weiteren Informationen wie Schwachstellen- oder Inventorydaten­banken korreliert werden. FIDeS soll an diesen beiden Problempunkten aufbauend auf abgeschlossenen Forschungsprojekten und mit Hilfe von neuen Ideen Lösungen entwickeln, die den Sicherheitsverantwortlichen bei seiner täglichen Arbeit unterstüt­zen. Ziel ist es, die Angriffserkennung und die anschließende forensische Analyse zu verbessern. Wenn möglich sollen sogar Vorhersagen getroffen werden können, um kritische Vorfälle von vornherein zu verhindern. Mithilfe dieser Ergebnisse können Informationen dann auch firmenübergreifend analysiert werden, um Angriffsszena­rien, die an einem einzelnen Standort eventuell nicht aufgefallen wären, im größeren Stil aufdecken zu können.

Das im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelten Internet-Analyse-System (IAS) vom Institut für Internet-Sicherheit soll als Basissystem zur statistischen Anomalie-Erken­nung in Netzwerkverkehr für FIDeS die Angriffe erkennen, die herkömmliche IDS nicht sehen können. Dazu überwacht das IAS eine große Menge an verschiedenen Parametern im Paketstrom von Netzwerkleitungen und bestimmt das Normalverhalten der Kommunikation. Abweichungen können dann als Anomalien gemeldet werden. Durch den Einsatz von Verfahren der künstlichen Intel­ligenz (KI) ist gewährleistet, dass die Bestimmung des Normalverhaltens sich an belie­bige Standorte und an größere Veränderungen im überwachten Netzwerk mit der Zeit anpassen kann und nicht aufwändig von Hand konfiguriert werden muss. Die erkannten Anomalien sollen dann von FIDeS ausgewertet und mit Ereignissen von vielfach produktiv eingesetzten IDS wie Snort und anderen Datenquellen abgeglichen werden. So könnten die Pläne der Angreifer noch während der Durchfüh­rung aufgedeckt und unterbrochen werden.

FIDeS soll das Rad nicht komplett neu erfinden, sondern an möglichst vielen Stellen etablierte Open-Source-Systeme und standardisierte, offene Formate zum Daten­austausch einsetzen. So können weitere Sensoren oder andere Komponenten an die Basisarchitektur angebunden werden und Anforderungen mit beliebigen Program­miersprachen umgesetzt werden. Im Mittelpunkt steht bei FIDeS der Benutzer, der bei seiner täglichen Arbeit, der Überwachung der Sicherheitslage, unterstützt werden soll. Aus diesem Grund soll ganz nach dem Motto „Usable Security“ besonderes Au­genmerk auf die Benutzerschnittstelle gelegt werden. Große Informationsmengen können so schnell und intuitiv erfasst werden und Entscheidungen für Gegenmaß­nahmen können rechtzeitig getroffen werden. Aktuelle Technologien aus dem Bereich Web 2.0 sollen zu diesem Zweck dabei helfen, das System gut handhabbar und kon­figurierbar zu machen.