Der Feind in meinem Netz

Mit zwei neuen Forschungsprojekten will die DARPA künftig Dateneinbrüche durch Insider, wie sie Cablegate und dem Stuxnet-Wurm vorangingen, verhindern.

Unternehmen und Behörden setzen bei der IT-Sicherheit meist auf eine Teilung ihrer Netzwerke: ein inneres, das vertrauenswürdig ist, und ein äußeres, das im Prinzip offen ist. Zwischen beiden wird dann eine virtuelle Wand errichtet, um Daten, die von außen kommen, abzuschirmen. Daten im inneren Netzwerk gelten hingegen automatisch als sicher.

Die Realität sieht leider anders aus: Einige der schwerwiegendsten Einbrüche in vertrauliche Datenbestände in der letzten Zeit wurden von Insidern vorgenommen. So gelangten etwa bei „Cablegate“ die berüchtigten Depeschen des US-amerikanischen diplomatischen Korps, die Wikileaks im vergangenen Jahr veröffentlichte, aus der US-Armee selbst heraus. Und selbst wenn durch derartige Vorgänge keine Personen gefährdet werden, lassen sich doch Mitarbeiter immer wieder von Angreifern dazu verführen, Schadsoftware herunterzuladen, die damit die Firewall durchbricht.

„Anfang der 2000er Jahre haben sich noch viele Organisation ausschließlich auf Externe als Gefahrenquelle konzentriert“, sagt Joji Montelibano. Er leitet im CERT-Programm der Carnegie Mellon University die Gruppe, die sich mit Insider-Bedrohungen befasst. „Nun, da Informationstechnik alles durchdringt, haben sich die Möglichkeiten, dass ein Insider Schäden verursacht, drastisch vervielfacht.“

Um diese Entwicklung anzugehen, hat die DARPA – die Forschungsagentur des US-Verteidigungs ministeriums – Forschungsprojekte ausgelobt, die Behörden die Identifizierung einer inneren Bedrohung ermöglichen sollen. Die DARPA verfolgt dabei zwei Schienen. Zum einen startete sie im August 2010 das Projekt Cyber Inside Threat (CINDER). Es soll Technologien entwickeln, um bereits erfolgte Einbrüche in ein Netzwerk aufzuspüren. Zum anderen will das zwei Monate später gestartete Projekt Anomaly Detection at Multiple Scales (ADAMS) Mitarbeiter ausfindig machen, bevor sie zur Tat schreiten.

Die ADAMS-Technologie soll das Verhalten von Netzwerknutzern modellieren und Alarm schlagen, wenn es vom Normalprofil abweicht. Im Falle von „Cablegate“ wäre einem solchen System aufgefallen, dass anders als zuvor plötzlich ein einziger Rechner auf Tausende diplomatischer Depeschen zugreift – eine Tat, die vom Pentagon dem US-Gefreiten Bradley Manning zur Last gelegt wird.

„Wenn ich Informationen aus meiner Firma nach draußen schaffen will, fange ich wahrscheinlich auf dem untersten Level an und arbeite mich dann hoch. Ich probiere es also erst mit einer Email an mich selbst, dann mit dem Hochladen von Daten auf eine Website und schließlich mit dem Einspeisen der Daten in ein Peer-to-Peer-Netzwerk“, sagt Daniel Guido, Berater bei iSec Partners, die IT-Sicherheitssysteme von Unternehmen testen. Wenn man sich in den Datendieb hineinversetze, seien die Chancen größer, ihn zu erwischen.

Das Problem werde aber immer komplizierter, je mehr Variablen man berücksichtige, gibt Malek Ben Salem, Informatikerin an der Columbia University, zu bedenken. Ben Salem versucht, das Suchverhalten von Nutzern zu modellieren, um anhand dessen Unregelmäßigkeiten festzustellen. Da manche Angreifer beispielsweise das Dateisystem eines Netzwerks nicht so gut kennen wie autorisierte Nutzer, neigen sie dazu, aufwändige Suchabfragen durchzuführen. In Experimenten konnte Ben Salem Verschleierungsversuche bei solchen Abfragen fast immer korrekt ermitteln. Nur in einem Prozent der Fälle habe es sich um falschen Alarm gehandelt.

Das CINDER-Projekt soll dann greifen, wenn der Angriff bereits erfolgt ist. Ein Beispiel ist der Stuxnet-Wurms, der im vergangenen Herbst mutmaßlich iranische Urananreicherungsanlagen lahmlegte. Hier müsste eine CINDER-Technologie in der Lage sein, Änderungen an Systemdateien und Netzlaufwerken festzustellen.

„CINDER wird versuchen, einige Schwächen gegenwärtiger Nachweissysteme zu beheben, indem es den Auftrag des Angreifers und nicht diesen selbst modelliert“, formuliert Peiter Zatko, Manager des CINDER-Projekts bei der DARPA, den Anspruch an die Technologie. Ausgangspunkt hierfür sei immer die Annahme, dass der Angriff bereits stattgefunden habe.

IT-Sicherheitsfirmen integrieren in ihre Produkte zunehmend Funktionen, die auch Angriffe durch Insider feststellen sollen. So überprüfen Firewalls inzwischen auch, ob verschlüsselte Emails herausgehen. Einige Firmen legen Datenköder aus, auf die kein Mitarbeiter zugreifen darf. Probiert es doch jemand, wird Alarm ausgelöst. Kombiniere man Datenköder und Modelle legitimen Nutzerverhaltens, könne man damit schon eine ganze Reihe von Angriffsszenarien abdecken, sagt Malek Ben Salem.

Joji Montelibano glaubt allerdings, dass bessere Netzwerkfunktionen allein keine Gewähr gegen Angriffe von innen sind. Wichtig seien auch Sicherheitskonzepte, die zum Beispiel die Anzahl der Mailanhänge begrenzen oder nur bestimmte Anwendungen im Netzwerk zulassen.

„Das wichtigste Ergebnis unserer bisherigen Arbeit ist, dass Bedrohungen durch Insider nicht nur ein technisches Problem sind“, hebt Montelibano hevor. „Es gibt nach wie vor Organisationen, die das Problem mit massiven technischen Mitteln lösen wollen. Bevor Mitarbeiter aber technisch aktiv werden, verhalten sie sich bereits so auffällig, dass man dies beobachten kann.“ (nbo)