Motivation

Angriffe von Innentätern (Insider) lassen sich mit in der Praxis verbreiteten Sicherheitsanwendungen, darunter Firewalls, Intrusion-Detection-Systeme (IDS) oder Antivirus-Software, nicht adäquat adressieren. Insider verfügen häufig über umfangreiches Detailwissen und weitreichende Berechtigungen. Sie können zudem weitaus unauffälliger agieren als externe Angreifer, ggf. Erkennungs- und Überwachungssysteme umgehen oder gar ihre Spuren durch die Manipulation von Log-Dateien verschleiern. Sie können deshalb von den üblicherweise vorhandenen Perimeter-Sicherheitsanwendungen, die an den Netzgrenzen installiert sind, kaum erkannt bzw. abgehalten werden. 

Ziele und Vorgehen

Um Insider-Angriffe erkennen zu können, müssen existierende Sicherheitsinformations- und Ereignis-Management-Systeme (SIEM-Systeme) in erheblichem Maß weiterentwickelt werden. Das Projekt zielt darauf ab, eine organisationsinterne, verteilt implementierte Sicherheitszentrale zur Erkennung von Insider-Angriffen zu entwickeln und deren Rechtskonformität und Wirksamkeit unter realistischen Bedingungen zu untersuchen. Dazu zählen die Entwicklung von Verfahren zur datenschutzfreundlichen Erfassung und Speicherung von Sicherheitsereignissen mit der Möglichkeit zur bedarfsweisen Identitätsaufdeckung, Entwicklung von Anomalieerkennungsverfahren zur Detektion von Innentäter-Aktivitäten anhand von anonymisierten bzw. pseudonymisierten Daten und Analyse von rechtlichen Datenschutzanforderungen und Ableitung von Prüfkriterien mit Anwendung der Kriterien innerhalb einer Sicherheitsevaluierung als Teil des Projekts. 

Innovationen und Perspektiven

Diezentrale Innovation des Projekts DREI ist die Umsetzung einer ganzheitlichen Sicherheitszentrale zur Erkennung von Insiderangriffen unter gleichzeitiger Berücksichtigung von physikalischen sowie IT-Ereignissen. Die im Projekt prototypisch umgesetzte Sicherheitszentrale kann durch eine spätere Implementierung in bestehende SIEM-Systeme die Auswirkungen von Innentäter-Angriffen erheblich reduzieren und so die wirtschaftlichen Schäden durch solche Angriffe verringern.