„Detection“ ist nun der gemeinsame Nenner all der genannten Abkürzungen. In der analogen Welt gibt es viele solcher Systeme: Bewegungsmelder sind zum Beispiel in Sicherheitsbereichen allgegenwärtig und schlagen Alarm, sobald sich etwas an Orten bewegt, an denen sich nachts niemand aufhalten sollte.
Das Konzept solcher reaktiven Sicherheitsmaßnahmen ist recht alt. Schon früher wurden Stolperdrähte als militärisches Alarmsystem genutzt. Interessanterweise hieß eines der allerersten Intrusion Detection Systeme in den 1990er Jahren „Tripwire“, zu Deutsch „Stolperdraht“. Es diente dazu, verdächtige Aktivitäten auf UNIX-Systemen wie Zugriffe auf das Dateisystem zu erkennen. Tripwire würde heute als Endpoint Detection and Response (kurz: EDR) klassifiziert, da es sich auf Endpunkte konzentrierte.
Als wir in den 1990er Jahren begannen, unsere Computer weltweit über das Internet zu vernetzen, schien es tatsächlich eine gute Idee zu sein, Aktivitäten auf diesen Systemen auf mögliche Angriffssignaturen zu überwachen. Aber wie bei den Stolperdrähten in der analogen Welt musste jemand nach dem Grund für den Alarm suchen: Am Ende war es dann vielleicht doch nur die Katze und nicht der Soldat einer feindlichen Armee. Dasselbe gilt für den eigenen Computer: Es könnte nur eine neue Anwendung installiert worden sein, die Zugriff auf Systemdateien erfordert.
Glücklicherweise können Computer programmiert werden und erscheinen dadurch intelligenter als Stolperdrähte.
Die erste Idee war also, regelkonformes Verhalten einer bestehenden Umgebung in einer so genannten Whitelist zu konfigurieren. Dagegen wurden Aktivitäten, die unter keinen Umständen stattfinden beziehungsweise generell verboten werden sollten, in einer Blacklist beschrieben. Diese Gegenmaßnahmen sind sicherlich ein guter Startpunkt, um Angriffe zu erschweren oder zumindest im Nachhinein zu erkennen. Je nach Situation könnte diese Art der Angriffserkennung auch zur Abschreckung dienen.
Der Anfang der Spirale
Mit dieser Entwicklung wurde allerdings auch der Grundstein für eine Innovationsspirale im Bereich der Angriffserkennung gelegt. Denn die grundlegende Frage lautet auch heute noch: Was ist eigentlich „normales Verhalten“ und wie können wir es modellieren? Zweite Frage: Wie sortiere ich Falschmeldungen aus? Und nicht zuletzt: Wie einfach ist es, die Stolperdrähte zu umgehen – entweder weil sie leicht zu sehen sind oder der Angreifer „systemkonformes Verhalten“ simulieren kann? Auch ein beliebtes Vorgehen: Angreifer schalten das Alarmsystem zunächst komplett aus und führen danach in aller Ruhe ihre Aktivitäten aus.
Angesichts der nun mehr 25-Jahre andauernden Innovationsspirale frage ich mich manchmal, ob man vielleicht die Probleme zu beheben versucht, die durch Lösungen der vorherigen Produktgeneration entstanden sind. Und dabei gerät aus dem Blick, vorbeugende Maßnahmen zu ergreifen und die Messlatte für Angriffe höher zu legen. Die ultimative Kapitulation schien mir der Begriff „Assume Breach“ zu sein.
Ich möchte erläutern, was genau ich mit Innovationsspirale meine.
Nachdem sich die frühen HIDS als nicht sehr skalierbar und „managebar“ erwiesen, war Network Intrusion Detection (NIDS) die Erfindung der Stunde. Das war clever, denn die Angriffe begannen über das (unsichere) Netz und nicht auf dem Rechner, auf dem meist vertrauenswürdige Benutzer angemeldet waren.
Signaturbasierte Systeme zu statisch
Es gibt tatsächlich eine Reihe von Angriffen, die auf diese Weise gut erkannt werden können, so dass diese Systeme durchaus einen gewissen Schutz bieten. Aber das grundsätzliche Problem sind die statischen Signaturen, etwa vergleichbar mit einem Virenschutz auf Netzwerkebene. Denn falls Sie es noch nicht gehört haben: „Antivirus-Software ist tot“ (Das sagen selbst deren Anbieter), da sie mit den ständig wechselnden Signaturen nicht mehr mithalten kann. Angreifer machen sich hier eines der oben genannten Probleme dieser Art von Stolperdrähten zu Nutze: Ganz leicht modifizierte Angriffssignaturen rutschen durch die Blacklist des Antivirus- resp. NIDS-Scanners.
Auf in die nächste Innovationsrunde. Die begann mit der automatischen Reaktion auf Angriffe – Intrusion Detection AND Response (IDR) war geboren. Reaktionen können vielfältig sein: Blockieren verdächtiger Pakete an der Firewall, Isolieren von Ports, Isolation des gesamten Netzwerks. Aber gleichzeitig wurde auch ein ernstes systematisches Problem erzeugt: Falschmeldungen oder sogar absichtlich platzierte Angriffssignaturen führen zu einem Denial-of-Service (DoS). Subtile Angreifer lassen dann die Alarmglocke permanent läuten, bis man so genervt ist, dass man die Angriffserkennung wieder ausschaltet.
Hinzu kommt das Skalierungsproblem statischer Black- oder Whitelists: Die Netzwerke wurden größer, der Netzwerkdurchsatz vervielfachte sich, und die Zahl der Endpunkte explodierte. Statische Whitelists konnten nicht mehr verwaltet werden, Blacklists verwaisten mit der Fülle an neuen Anwendungen und Netzwerkprotokollen. Glücklicherweise können Computer programmiert werden und erscheinen dadurch intelligenter als Stolperdrähte.
Willkommen im Zeitalter der Datenanalyse, des Expertenwissens und von Big Data. Die Grundidee bestand darin,„ alles“ zu aggregieren und zu interpretieren: von Endpunktinformationen (Ereignisprotokolle) über Authentifizierung (Verzeichnis / IAM) hin zu Netzwerkzugangsinformationen (WLAN-Zugang, DHCP). Moderne Analyseplattformen bewältigen bis zu Terabytes pro Tag – für eine einzige Unternehmensbereitstellung. Das sind Petabytes pro Jahr!
Dieser Ansatz wurde zu einer eigenen Kategorie namens „Observability“, zu Deutsch „Beobachtbarkeit“. In immer komplexer werdenden Umgebungen ist das grundsätzlich eine sehr gute Idee. Ein ganzheitliches Lagebild hilft, Alarmmeldungen einzuordnen, Fehlalarme mit höherer Wahrscheinlichkeit zu erkennen und bestenfalls noch proaktive Maßnahmen zu ergreifen.
Doch wie gut die grafische Darstellung dieses Gesamtbildes auch sein mag: Um einen Angriff wirklich frühzeitig zu erkennen, braucht es viel Erfahrung in der Beobachtung von Mustern. SoCs (Security Operating Centers) und SIEM (Security Incident and Event Management) sind die nächste Stufe im Umgang mit diesem Problem.
Nun, Experten sind gut, aber leider rar. Deren Ausbildung braucht Zeit. Es gibt einen enormen Anstieg der Cyberkriminalität und die Menge an Analysedaten steigt explosionsartig an. Dazu kommt ein enormer Anstieg des Stresslevels bei der Situationsbewältigung. Und inzwischen ist daraus eine neue Krankheit geworden: Cybersecurity Burnout. Es ist erwiesen, dass der Anstieg der offenen Stellen in diesem Bereich in den letzten Jahren durch die Unattraktivität einer solchen Tätigkeit befeuert wurde.
Glücklicherweise können Computer programmiert werden und erscheinen dadurch intelligenter als Stolperdrähte.
Höchste Zeit für Künstliche Intelligenz! Wenn Menschen die Arbeit nicht mehr machen können, sollen es eben Computer tun. Auch hier ist der logische Weg, die Analysen zu automatisieren. All die Verbesserungen des maschinellen Lernens legen natürlich nahe, diese Möglichkeit zu nutzen, um das „große Ganze“ noch besser zu erfassen und zu verstehen. Genau dafür ist KI wie geschaffen und wird zweifelsohne dazu beitragen, die nächste Runde der Spirale zu skalieren.
Computer überwachen sich selbst
Aber Moment mal: War die ursprüngliche Idee unseres Tripwire-Ansatzes nicht, Computer im Fall eines Angriffs auf verdächtiges Verhalten zu überwachen? Jetzt lassen wir Computer sich selbst überwachen und letztlich sogar selbst entscheiden, ob sie angegriffen werden oder nicht? Die Ursachen des Problems verschwinden deswegen nämlich nicht. Zwei Aspekte sind wichtig:
Erstens: Wenn zu viele kränkelnde Personen vor der Notaufnahme warten, muss man entscheiden, wen man untersucht. Interessanterweise lautet der Begriff für diese Aufgabe „Triage“. Diesen Teil kann man an einen Algorithmus delegieren, was aus ethischer Sicht im Cyberspace natürlich viel einfacher ist als in der realen Notaufnahme. Das Gefühl, etwas Falsches zu tun, bleibt allerdings bestehen. Und wie im normalen Leben sollte man dann die Ursachen der Epidemie bekämpfen und nicht nur die Symptome.
Zweitens: Der Algorithmus selbst und seine Einbindung werden Teil der Sicherheitsgleichung. Der Schutz der Sicherheitssysteme vor Angriffen gewinnt immer mehr an Bedeutung. Die KI-Sicherheit steckt noch in den Kinderschuhen. Wir wissen noch nicht wirklich, wie wir diese Systeme vor Angriffen und Fehlfunktionen schützen können.
Für mich ist daher offen, ob wir uns in einer weiteren Runde der „Innovationsspirale“ befinden, oder inzwischen eher in einem Teufelskreis.
Verstehen Sie mich nicht falsch: „Detection“, also „Erkennung“, ist ein sehr nützlicher Mechanismus als Teil einer allgemeinen Sicherheitsarchitektur und eines Verbesserungsprozesses. Aber Feuermelder in einem leicht entzündlichen Haus sind nutzlos, da es schneller abbrennt, als man auf den Alarm reagieren kann. Wir müssen in die Verbesserung der Sicherheitsarchitekturen unserer Computersysteme und Netze investieren – und dabei gerne die Lehren von unseren zahlreichen Erkennungs- und Reaktionssystemen berücksichtigen. Zero-Trust-Architekturen können sehr hilfreich sein – wenn sie nicht als „Feenstaub“ verwendet werden.
Und da passt auch mein Hochhaus-Beispiel perfekt: Die Zeit der Feuersbrünste, die im Mittelalter ganze Städte niederbrannten, verschwand nicht durch die Erfindung eines Feuermelders, sondern durch die Verbesserung der inneren Widerstandsfähigkeit von Gebäuden gegen Ausbruch und Ausbreitung des Feuers. „Security by Design“ ist der Schlüssel, Detektion und Reaktion sind sehr wichtig – als zweite Verteidigungslinie und Lernmechanismus zur Verbesserung der Widerstandsfähigkeit.
Kai Martius ist Chief Technology Officer von Secunet Security Networks