Content uploaded by Eckehard Hermann
Author content
All content in this area was uploaded by Eckehard Hermann on Apr 15, 2015
Content may be subject to copyright.
DuD
t
Datenschutz und Datensicherheit 4 | 2011 285
GATEWAY
Eckehard Hermann, Markus Zeilinger
IT Frühwarnung
Die Gefahr aus dem Netz
Längst hat eine neue Art der Bedrohung
Unternehmen, Regierungen und Militärs
rund um den Globus alarmiert. Die Ge-
fahren, gegen welche man sich zu wapp-
nen versucht, sind zwar virtuell, aber doch
sehr real und können ganze Unterneh-
men und selbst Nationen gefährden. Dis-
tributed Denial-of-Service (DDoS) At-
tacken auf die Internetseiten von Mas-
tercard und Paypal oder der Computer-
wurm Stuxnet, der speziell für Angriffe
auf Systeme zur Überwachung und Steu-
erung technischer Prozesse (SCADA-Sys-
teme) der Firma Siemens entwickelt wur-
de, haben dies in jüngster Vergangenheit
gezeigt. Hinter solchen Angriffen können
reine Sabotage-, aber auch Spionageaktivi-
täten oder militärische Aktionen (Cyber-
war) stecken.
Besonders gefährdet sind hierbei Orga-
nisationen und Einrichtungen mit wichti-
ger Bedeutung für das staatliche Gemein-
wesen. Bei deren Ausfall oder Beeinträch-
tigung würden nachhaltige Versorgungs-
engpässe, erhebliche Störungen der öf-
fentlichen Sicherheit oder andere drama-
tische Folgen eintreten. Diese Organisati-
onen werden als kritische Infrastrukturen
bezeichnet [1].
Je früher Bedrohungen erkannt werden,
desto größer sind in der Regel die Mög-
lichkeiten Gegenmaßnahmen einzuleiten
und den Schaden, der aus diesen Bedro-
hungen resultiert, gering zu halten oder
gänzlich zu vermeiden.
Frühwarnung
Unter Frühwarnung werden im Allge-
meinen alle Aktivitäten verstanden, wel-
che das frühzeitige Erkennen von Bedro-
hungen ermöglichen. Basierend auf dem
Erfassen und Auswerten erster Anzei-
chen, die auf ein bevorstehendes Ereig-
nis mit negativen Auswirkungen schlie-
ßen lassen, wird eine Warnung ausge-
sprochen, um ein möglichst frühes Ein-
leiten von Gegenmaßnahmen zu ermög-
lichen [3]. Ziel ist es, den bevorstehenden
Schaden möglichst gering zu halten oder
gänzlich zu vermeiden [2].
Frühwarnsysteme kommen in den un-
terschiedlichsten Bereichen zum Einsatz.
So warnen Frühwarnsysteme z.B. küsten-
nahe Bewohner vor drohenden Tsunamis,
in der Nähe eines Vulkans vor dessen Aus-
brechen oder Unternehmen vor negativen
wirtschaftlichen Entwicklungen. Mögli-
che Reaktionen auf eine solche Warnung
können die Evakuierung der Bevölkerung,
die vorsorgliche Alarmierung von Hilfs-
kräften oder entsprechende unternehme-
rische Gegen maßnahmen sein.
IT-Frühwarnung
Mit Hilfe der IT-Frühwarnung wird der
Grundgedanken der Frühwarnung in
den Bereich der Informations- und Kom-
munikationstechnologie übertragen. Ins-
besondere kritische Informationsinfra-
strukturen (IT als kritische Infrastruktur
an sich) sollen damit vor Cyber-Angriffen
geschützt werden.
Aktuelle Arbeiten verfolgen hierbei zur-
zeit im Wesentlichen drei unterschiedli-
che Ansätze:
Systeme zur Beobachtung des Daten-
verkehrs im Netzwerk: Hierbei wer-
den Sonden im Netzwerk des zu schüt-
zenden Systems oder global im Inter-
net verteilt. Durch das Beobachten be-
stimmter Netzwerkeigenschaften sollen
Angriffe und anomales Verhalten er-
kannt werden. Je nach Granularität der
von den Sonden gelieferten Daten (z.B.
Flow-, Payload-, statistische Daten) las-
sen sich hierbei (D)DoS Angriffe, Bot-
nets und Probing-Aktivitäten erkennen.
Systeme zur Sammlung und Analyse
von Malware: Hierbei werden zunächst
mit verteilten Honeypots/-nets ver-
dächtige Dateien-Samples gesammelt
und anschließend in einer gesicherten
Umgebung ausgeführt. Die Aktivitäten
(z.B. Datei-/Registry-Zu griffe, System
Calls, …) dieser Samples werden auf-
gezeichnet und auf verdächtige Muster
analysiert.
Kooperative Informations- und Melde-
systemen: Diese Systeme arbeiten auf
Basis unterschiedlichster Quellen, wie
z.B. einschlägige Foren, Hotlines oder
der Analyse von Internetseiten [2]. Ziel
dabei ist es, durch kooperative Bemü-
hungen die Informationen Einzelner zu
einem größeren Gesamtbild zu aggre-
gieren und damit einen Mehrwert für
alle zu erzeugen.
Diesen Ansätzen ist gemein, dass sehr gro-
ße Mengen von oft unstrukturierten Da-
ten analysiert und korreliert werden müs-
sen. Frühwarnsysteme sind nur dann
nützlich, wenn sie ihre Ergebnisse (War-
nungen) sehr zeitnah (in Echtzeit) liefern
können. Diese Kriterien stellen große He-
rausforderungen für Forschung und Ent-
wicklung in diesem Umfeld dar.
Fazit
Da der Bereich der IT-Frühwarnung ein
vergleichsweise junges Gebiet ist, sind
noch erhebliche Anstrengungen insbeson-
dere bei der Erfassung, der Aufbereitung
und der Analyse von Daten und Informa-
tionen aus den unterschiedlichsten Quel-
len erforderlich. Insellösungen sind hier-
bei sicherlich nicht erfolgsversprechend.
Eine effektive IT-Frühwar nung erfordert
eine organisationsübergreifende und in-
ternationale Zusammenarbeit bei der
Forschung nach Lösungen sowie der Ent-
wicklung und dem Betrieb von IT-Früh-
warnsystemen und ständigen Wissens-
austausch zwischen allen Beteiligten.
Literatur
[1] Bundesamt für Sicherheit in der Informations-
technik, Schutz Kritischer Infrastrukturen in
Deutschland, September 2007,
http://www.bsi.bund.de/fachthem/ kritis/in-
dex.htm
[2] Eckehard Hermann, Markus Zeilinger, Schutz
kritischer Infrastrukturen mittels IT-Früh-
warnung, Datenschutz und Datensicherheit
– DuD, Volume 33, Number 1, 42-46,
[3] Ennen, G., Nationales IT-Frühwarnsys-
tem, in Tagungsband zum 10. Deutschen IT-
Sicherheits kongress „Innovationsmotor IT-Si-
cherheit“, 2007, Bundesamt für Sicherheit in
der Informationstechnik, 13-20