Verhaltensmuster erkennen

Identitätsdiebe rechtzeitig erwischen

von - 10.05.2017
Cyber-Sicherheit
Foto: Foto: Shutterstock / jijomathaidesigners
Durch die Analyse des Nutzerverhaltens sollen Kriminelle in flagranti erwischt werden. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen.
Unternehmen und Organisationen haben immer stärker damit zu kämpfen, dass vertrauliche Daten entwendet werden. So ergab 2016 eine Umfrage bei europäischen und amerikanischen Unternehmen durch das Beratungshaus Ponemon Ins­titute, dass rund 76 Prozent der Befragten innerhalb der vergangenen zwei Jahre den Diebstahl von Geschäfts­informationen hatten hinnehmen müssen.
Nach Einschätzung von 58 Prozent der befragten IT-Sicherheitsfachleute und CIOs geht die größte Gefahr für Unternehmen von externen Angreifern und Hackern aus, die sich Account-Daten von IT-Nutzern verschafft haben. Ein hohes Risiko entsteht laut der Studie auch durch illoyale eigene Mitarbeiter (22 Prozent) und durch die Beschäftigung von IT-Dienstleistern (36 Prozent).
Martin Grauel
Pre-Sales Manager
EMEA bei Balabit
„Gegen Angreifer, die sich bereits Zugang zum ­Unternehmensnetz verschafft haben, reichen ­Intrusion-Detection- und SIEM-Systeme nicht aus.“
Ein Fünftel der IT-Experten stuft zudem den Missbrauch von IT-Nutzerkonten mit erweiterten Rechten als besonders kritisch ein.

Verdächtiges Verhalten

IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme (IDS), Log-Management-Lösungen und SIEM-Systeme (Security Incident and Event Management) sind nicht primär dafür ausgelegt, Angreifer zu identifizieren, die bereits Zugang zum Unternehmensnetz haben. Daher schaffen sie für sich allein keine ausreichende Sicherheit.
Ein neuer Lösungsansatz ist die Analyse des Nutzerverhaltens, sogenanntes User Behavior Analytics, kurz UBA. UBA-Lösungen nutzen Algorithmen und Machine-Learning-Techniken, um von einem Nutzer einen digitalen Fingerabdruck zu erstellen. Dazu werden Informationen über seine Arbeitsgewohnheiten herangezogen, etwa wann und wie lange er für gewöhnlich an einem IT-System arbeitet, welche Applikationen er verwendet und auf welche Server und Datenbestände er zugreift. Dadurch lassen sich verdächtige Abweichungen vom Gewohnten automatisch erkennen.
Suspekt ist zum Beispiel, wenn ein Nutzer in der Regel nur eine Textverarbeitung und eine Tabellenkalkulation genutzt hat und nun plötzlich damit beginnt, auf Datenbanken mit Kundendaten zuzugreifen. In diesem Fall sollte die IT-Abteilung diese Aktivitäten genauer unter die Lupe nehmen.
Ein UBA-System erfasst außerdem, von welchem Standort aus und mit welchen Endgeräten ein Nutzer arbeitet. Dubios ist beispielsweise, wenn Zugriffe plötzlich von Computern in Fernost aus erfolgen oder wenn dies zu Zeiten geschieht, in denen am Arbeitsort tiefe Nacht herrscht. Dies können Hinweise sein, dass vor dem Rechner nicht der legitime Nutzer sitzt, sondern ein Hacker in einem anderen Land.
Auch biometrische Faktoren lassen sich für User Behavior Analytics heranziehen. Beispielsweise erfasst eine Sicherheits-Software über einen Zeitraum von 30 bis 90 Tagen, in welchem Rhythmus und wie schnell ein Nutzer die Tastatur bedient und welche Bewegungen er mit der Maus ausführt. Ändern sich diese Muster abrupt, sendet die UBA-Software eine Alarmmeldung an den zuständigen IT-Sicherheitsfachmann und unterbricht gegebenenfalls die Verbindung des verdächtigen Rechners zum Firmennetz. Denn ein stark verändertes Nutzerverhalten kann zwei Ursachen haben: Der Zugriff erfolgt durch einen Dritten, der sich als rechtmäßiger Nutzer ausgibt – oder der Mitarbeiter selbst tut etwas Außergewöhnliches, möglicherweise mit bösartiger Absicht.
Überflüssige Alarme vermeiden
Laut einer Studie des IT-Sicherheitsunternehmens FireEye ver­ursachen herkömmliche Security-Lösungen extrem viele Warnungen: Bei 37 Prozent der Unternehmen sind es über 10.000 pro Monat, also über 14 pro Stunde. Mehr als die Hälfte davon sind Fehlalarme, 64 Prozent sind redundant. Das bedeutet unnötigen Stress für die Sicher­heits­experten. Eine verhaltensbasierte Analyse hat diesbezüglich einen angenehmen Nebeneffekt: Sie orientiert sich am „Normalzustand“ und schlägt nur Alarm, wenn IT-User plötzlich abweichende Verhaltensmuster an den Tag legen. Dieser Ansatz ist deutlich effizienter, als ständig ­eine Unmenge potenziell gefährlicher Vorfälle untersuchen zu müssen.