Verhaltensmuster erkennen
Identitätsdiebe rechtzeitig erwischen
von
Martin
Grauel - 10.05.2017
Foto: Foto: Shutterstock / jijomathaidesigners
Durch die Analyse des Nutzerverhaltens sollen Kriminelle in flagranti erwischt werden. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen.
Unternehmen und Organisationen haben immer stärker damit zu kämpfen, dass vertrauliche Daten entwendet werden. So ergab 2016 eine Umfrage bei europäischen und amerikanischen Unternehmen durch das Beratungshaus Ponemon Institute, dass rund 76 Prozent der Befragten innerhalb der vergangenen zwei Jahre den Diebstahl von Geschäftsinformationen hatten hinnehmen müssen.
Nach Einschätzung von 58 Prozent der befragten IT-Sicherheitsfachleute und CIOs geht die größte Gefahr für Unternehmen von externen Angreifern und Hackern aus, die sich Account-Daten von IT-Nutzern verschafft haben. Ein hohes Risiko entsteht laut der Studie auch durch illoyale eigene Mitarbeiter (22 Prozent) und durch die Beschäftigung von IT-Dienstleistern (36 Prozent).
Ein Fünftel der IT-Experten stuft zudem den Missbrauch von IT-Nutzerkonten mit erweiterten Rechten als besonders kritisch ein.
Verdächtiges Verhalten
IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme (IDS), Log-Management-Lösungen und SIEM-Systeme (Security Incident and Event Management) sind nicht primär dafür ausgelegt, Angreifer zu identifizieren, die bereits Zugang zum Unternehmensnetz haben. Daher schaffen sie für sich allein keine ausreichende Sicherheit.
Ein neuer Lösungsansatz ist die Analyse des Nutzerverhaltens, sogenanntes User Behavior Analytics, kurz UBA. UBA-Lösungen nutzen Algorithmen und Machine-Learning-Techniken, um von einem Nutzer einen digitalen Fingerabdruck zu erstellen. Dazu werden Informationen über seine Arbeitsgewohnheiten herangezogen, etwa wann und wie lange er für gewöhnlich an einem IT-System arbeitet, welche Applikationen er verwendet und auf welche Server und Datenbestände er zugreift. Dadurch lassen sich verdächtige Abweichungen vom Gewohnten automatisch erkennen.
Suspekt ist zum Beispiel, wenn ein Nutzer in der Regel nur eine Textverarbeitung und eine Tabellenkalkulation genutzt hat und nun plötzlich damit beginnt, auf Datenbanken mit Kundendaten zuzugreifen. In diesem Fall sollte die IT-Abteilung diese Aktivitäten genauer unter die Lupe nehmen.
Ein UBA-System erfasst außerdem, von welchem Standort aus und mit welchen Endgeräten ein Nutzer arbeitet. Dubios ist beispielsweise, wenn Zugriffe plötzlich von Computern in Fernost aus erfolgen oder wenn dies zu Zeiten geschieht, in denen am Arbeitsort tiefe Nacht herrscht. Dies können Hinweise sein, dass vor dem Rechner nicht der legitime Nutzer sitzt, sondern ein Hacker in einem anderen Land.
Auch biometrische Faktoren lassen sich für User Behavior Analytics heranziehen. Beispielsweise erfasst eine Sicherheits-Software über einen Zeitraum von 30 bis 90 Tagen, in welchem Rhythmus und wie schnell ein Nutzer die Tastatur bedient und welche Bewegungen er mit der Maus ausführt. Ändern sich diese Muster abrupt, sendet die UBA-Software eine Alarmmeldung an den zuständigen IT-Sicherheitsfachmann und unterbricht gegebenenfalls die Verbindung des verdächtigen Rechners zum Firmennetz. Denn ein stark verändertes Nutzerverhalten kann zwei Ursachen haben: Der Zugriff erfolgt durch einen Dritten, der sich als rechtmäßiger Nutzer ausgibt – oder der Mitarbeiter selbst tut etwas Außergewöhnliches, möglicherweise mit bösartiger Absicht.