Big-Data-Technik schützt das Unternehmensnetz

Die klassische Abwehr von Schad-Software und Eindringlingen in Unternehmensnetzwerken ist Sache einer Client-Server-Lösung. Sie überwacht alle Ein- und Ausgänge, hält Ausschau nach Trojanern und anderen Schad-Tools und wehrt verdächtigen Code ab.

Dringt ein Cyberkrimineller allerdings mit gestohlenen oder gehackten Zugangsdaten in das Netzwerk ein, dann lässt er sich von normalen Nutzern nicht unterscheiden. So geschehen zum Beispiel beim Software-Unternehmen Citrix: Dort bewegten sich Eindringlinge von Oktober vergangenen Jahres bis März dieses Jahres unerkannt im Unternehmensnetzwerk.

Doch auch für solche Gefahren gibt es geeignete Maßnahmen. Eine Endpoint-Detection-and-Response-Lösung, kurz EDR, schützt ein Unternehmensnetz, indem sie Anomalien aufspürt. „Eine normale Endpoint-Lösung schützt zwar sehr gut vor Attacken von außen, aber sie kann keine Anomalien innerhalb eines Netzwerks erkennen“, beschreibt Florian Kellermann, Sicherheitsexperte bei F-Secure, den Unterschied zwischen EDR und regulären Sicherheitslösungen. Bei EDR werte ein Analysenetzwerk mit Hilfe von Machine Learning, Big Data und aktuellen Vorkommnissen die Ereignisse automatisiert aus.

In der Praxis fällt dann auf, wenn zum Beispiel ein Nutzer mit eingeschränkten Zugriffsrechten plötzlich viele Daten sammelt und sie durch das Netz transportiert. In einem solchen Fall wird entweder die automatische Überwachung ausgelöst oder der Zugang gesperrt. Das gesamte Verhalten des Nutzers wird aufgezeichnet - wohin er sich im Netzwerk bewegt und welche Prozesse und Dateien er genutzt hat.

Das alles läuft weitgehend automatisch ab, nur wenige erkannte Anomalien werden dabei noch von einem sogenannten Threat-Hunting-Team manuell untersucht und bewertet. „Mit EDR können IT-Manager Angriffspfade schnell und ohne Reverse Engineering analysieren und nachverfolgen“, erklärt Dan Schiappa, Senior Vice President und General Manager of Products bei Sophos.

Wird ein Einbruch ins Netzwerk bemerkt, so ist dieser nach der Datenschutz-Grundverordnung (DSGVO) meist auch meldepflichtig. Das ist zum Beispiel der Fall, wenn ein Unternehmen im Netzwerk mit Kundendaten arbeitet.

Eine der vielen Fragen, die bei der Meldung eines Einbruchs beantwortet werden müssen, lautet: Welche Daten sind aus dem Unternehmen abgeflossen? Normalerweise ist dies kaum detailliert zu beantworten. Eine EDR-Lösung schafft das hingegen sehr oft fast lückenlos. Wurde der Zugriff auf Daten von der EDR-Lösung frühzeitig bemerkt, so lässt sich für die Behörden genau belegen, welche Daten kompromittiert wurden. Für ein Unternehmen ist dabei wichtig, ob es möglicherweise nur einen Kunden oder aber alle Kunden über den Datenverlust informieren muss. Zudem ist sichergestellt, dass der zuvor gehackte Zugang fest verschlossen ist, da der Angreifer zweifelsfrei identifiziert wurde. Hat dieser etwa weitere Türen geöffnet, gefährliche Skripts abgelegt oder Dateien manipuliert, dann hat das die EDR-Software aufgezeichnet. Alles lässt sich Schritt für Schritt nachverfolgen und wieder in den Originalzustand versetzen. Die aufgezeichneten Bewegungen im Netzwerk und eventuell hinterlassene Zusatzwerkzeuge lassen vielfach auch Rückschlüsse auf das eigentliche Ziel des Angriffs und weitere vorhandene Sicherheitslücken zu.