Machine Learning-Verhaltensanalysen zur Erkennung von Gefahren aus dem Inneren der Infrastruktur im Smart City-Umfeld

Inhaltsverzeichnis

I Inhaltsverzeichnis

II Tabellenverzeichnis

III Abbildungsverzeichnis

IV Abkürzungsverzeichnis

1 Einleitung
1.1 Motivation und Zielsetzung
1.2 Pro jektrahmen
1.3 Aufbau der Arbeit

2 Grundlagen
2.1 Gefahren aus dem Inneren
2.1.1 Definiton
2.1.2 Gefahren von bösartigen Insidern
2.1.3 Unbeabsichtigte Insider Gefahren
2.1.4 Erkennung und Vorbeugung
2.2 Maschinelles Lernen in der Cybersicherheit
2.2.1 Definitionen
2.2.2 Verhaltensanalysen von Nutzern und Entitäten
2.2.3 Typische Anwendungsfälle von UEBA
2.3 Cybersicherheit in Smart Cities
2.3.1 IoT-Sicherheit
2.3.2 Datenschutz
2.4 Zusammenfassung und abgeleitete Thesen

3 Methodische Vorgehensweise
3.1 Fallstudie
3.2 Qualitative Inhaltsanalyse
3.3 Risikoprüfung

4 Analyse und Ergebnis
4.1 Fallinterne Analyse
4.1.1 Low Power WAN in Form von LoRaWAN
4.1.2 Intelligente Verkehrssteuerung
4.1.3 Digitales Krankenhaus
4.2 Fallübergreifende Analyse und Interpretation der Ergebnisse

5 Fazit

6 Literaturverzeichnis

Abstract

Die vorliegende Masterthesis gibt einen Überblick über den Einsatz von Machine Learning-Verhaltensanalysen zur Erkennung von Gefahren aus dem Inneren im Kon­text von Smart Cities. Dabei wurden im Rahmen einer Fallstudie drei verschiedene Digitalisierungspro jekte der Stadt Darmstadt („IoT-Netz LoRaWAN“, „Verkehrssteue­rungsnetzwerk“ und „digitales Krankenhaus“) auf Gefahren aus dem Inneren und auf die Anwendbarkeit von Nutzer- und Entitätsverhaltensanalysen (UEBA) überprüft und miteinander verglichen. Hierfür wurden Interviews mit Experten aus Darmstadt qualitativ nach Mayring 2010 ausgewertet und in die Form einer Risikoprüfung nach Nostro et al. 2013, 2014 gebracht. Zusätzlich wurden bei jeder Analyseeinheit verwandte Fallstudien und theoretische Werke hinzugezogen.

Das „digitale Krankenhaus“ ließ sich vor allem wegen der Eigenschaft als kritische Infrastruktur, der Verarbeitung und Erfassung sensibler Daten und dem hohen Grad der erforderten Analysekomplexität als am besten geeignet für den Einsatz von UEBA einstufen. Die größte Einschränkung ergab sich aus einer Ablehnung der Stakeholder ge­gen die Überwachung menschlicher Nutzer. Aus diesen Erkenntnissen wurde ein Modell entwickelt, mit dessen Hilfe Smart City-Entscheider den Einsatz der UEBA-Technologie zukünftig evaluieren können.

Der Anhang wurde aus datenschutzrechtlichen Gründen entfernt.

II Tabellenverzeichnis

Tab. 1 Anwendungsfälle von UEBA mit entsprechenden Datenquellen

Tab. 2 Merkmale der Systeme

Tab. 3 Gefahren der Systeme

Tab. 4 Gesprächspartner für diese Fallstudie

Tab. 5 Qualitative Inhaltsanalyse einleitendes Interview Sicherheit

Tab. 6 Qualitative Inhaltsanalyse einleitendes Interview Politik

Tab. 7 Qualitative Inhaltsanalyse Interview LoRaWAN

Tab. 8 Qualitative Inhaltsanalyse Interview Intelligente Verkehrssteuerung

Tab. 9 Projekte der Digitalstadt Darmstadt

Tab. 10 Gefahren aus dem Inneren: LoRaWAN

Tab. 11 Anwendungsmöglichkeiten UEBA: LoRaWAN

Tab. 12 Gefahren aus dem Inneren: Verkehrssteuerung

Tab. 13 Anwendungsmöglichkeiten UEBA: Verkehrssteuerung

Tab. 14 Gefahren aus dem Inneren: Digitales Krankenhaus

Tab. 15 Anwendungsmöglichkeiten UEBA: Digitales Krankenhaus

III Abbildungsverzeichnis

Abb. 1 Aufbau dieser Arbeit

Abb. 2 Mögliche Ausprägungen von Gefahren aus dem Inneren

Abb. 3 Vertrauensfalle bei Gefahren aus dem Inneren

Abb. 4 Abgrenzung Informationssicherheit / Cyber-Sicherheit

Abb. 5 CRISP-DM Prozess

Abb. 6 Visualisierung einer Verhaltensanomalie

Abb. 7 Niara analysis platform

Abb. 8 IoT-Sicherheits-Framework

Abb. 9 Zusammenfassung der Grundlagen

Abb. 10 Prozess zur Erstellung einer Fallstudie

Abb. 11 Logisches Modell dieser Arbeit

Abb. 12 NIST Risikoprüfung innerhalb des Cybersicherheits-Frameworks

Abb. 13 Gartner Framework der Analysekomplexität bei Security Use-Cases

Abb. 14 Aufbau LoRaWAN in Darmstadt

Abb. 15 Aufbau intelligenter Ampel- und Verkehrssteuerungssysteme

Abb. 16 Aufbau digitales Krankenhaus

Abb. 17 Evaluation von UEBA

Abb. 18 Modell zur Evaluation von UEBA in Smart City-Szenarien

IV Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

„Nun haben wir die Gelegenheit, in Darmstadt Zukunft zu erproben und Digitalisierung zu gestalten, anstatt sie mit uns geschehen zu lassen. Dabei haben wir immer den Bürgernutzen im Blick. Zugleich wollen wir digitale Möglichkeiten ausschöpfen, um den Al ltag in unserer wachsenden Stadt mit knappen Flächenressourcen und hoher Verkehrsdichte noch effizienter als heute zu organisieren.“ - Jochen Partsch, Oberbürgermeister der Stadt Darmstadt (vgl. [Dig18b]).

1.1 Motivation und Zielsetzung

Leistungsfähige Kommunikationsnetze bilden die Grundlage für eine funktionieren­de Gesellschaft und Wirtschaft im 21. Jahrhundert (vgl. [Bun17], S.4). Immer mehr kommunale Politiker sind daran interessiert, intelligente Konzepte für die Verwaltung von Energie, Wasser, Transport und Abfallentsorgung einzuführen, um diese Kern­dienstleistungen effizienter bereitstellen zu können. Die Einführung von Informations­und Kommunikationstechnik (IKT) in Form von Technologien wie „Cloud Computing“, „Big Data“ und dem „Internet der Dinge“ und der rasante Wandel dieser Technologien stellen diese entstehenden „Smart Cities“ allerdings vor große Herausforderungen (vgl. [EL14]). Jede neue Technologie und jedes neue Gerät im Netzwerk vergrößert dabei die Angriffsfläche für potentielle Eindringlinge und erfolgreiche Attacken wie die auf Kiew's Smart Grid zeigen, wie verwundbar Smart Cities sind (vgl. [SK17]).

Nach wie vor begegnen die meisten Cybersicherheits-Initiativen der wachsenden Bedro­hung jedoch mit einer stärkeren Absicherung des „Perimeters“ durch Technologien wie „Firewalls“, „Intrusion Detection“ und „Anti Malware“. Bei Angriffen „aus dem Inneren“ der Infrastruktur (bzw. des Netzwerkes) von als vertrauenswürdig eingestuften Geräten und Nutzern mit privilegierten Zugriffsrechten sind diese Werkzeuge trotz alledem machtlos (vgl. [MD17]).

Um mit der zunehmenden Gefahr von Cyber-Angriffen schritthalten zu können, sollten bestehende Sicherheitsarchitekturen um Technologien erweitert werden, die den Fokus auf eben diese Gefahren aus dem Inneren der Netzwerkinfrastruktur legen. In diesem Kontext können Machine Learning (ML)-Algorithmen helfen, Anomalien im Verhalten der Geräte und Nutzer eines Netzwerkes festzustellen, um somit Angriffe und potentielle Gefahren aufzudecken (vgl. [Mah17]).

Das Marktforschungsunternehmen Gartner hat als Sammelbezeichnung für solche Lösun­gen den Begriff „ User and Entity Behavior Analytics (UEBA)“ geprägt (vgl. [BUP16]), welcher in dieser Arbeit vorrangig verwendet wird.

Bislang fokussiert sich der Einsatz und die Forschung von UEBA-Systemen hauptsäch­lich auf Unternehmensnetzwerke und damit verbundene Gefahren aus dem Inneren (vgl. [SSW16]). Ziel dieser wissenschaftlichen Masterarbeit ist es, mögliche Anwendungsfälle der UEBA-Technologie für die Erkennung von Gefahren aus dem Inneren im Smart City-Umfeld herauszuarbeiten und diese zu bewerten. Hierfür sollen im Rahmen einer Fallstudie verschiedene repräsentative Smart City-Pro jekte der im einleitenden Zitat referenzierten Stadt Darmstadt auf die Anwendungsmöglichkeiten von UEBA hin über­prüft werden. Daraus ergibt sich die folgende Forschungsfrage für diese Arbeit:

An welchen Stellen innerhalb einer Smart City kann die UEBA-Technologie am besten eingesetzt werden und welche Einschränkungen gibt es dabei?

Die Zielgruppe dieser Arbeit sind somit Entscheider in Smart City-Projekten auf der einen und strategische Geschäftsfeldentwickler („Business Development Manager“) von UEBA-Anbietern auf der anderen Seite. Smart City-Pro jektentscheider sollen über die Gefahren aus dem Inneren aufgeklärt und bei der Entscheidung darüber, in welche Pro jekte die begrenzten Mittel für UEBA am sinnvollsten investiert werden sollten, unterstützt werden. Für strategische Geschäftsfeldentwickler von UEBA-Anbietern ist das Ergebnis dieser Arbeit ebenso relevant, da sie darauf aufbauend ihre „Business Development“-Aktivitäten besser auf den tatsächlichen Bedarf von Städten anpassen und leichter ins Gespräch mit Pro jektentscheidern kommen können.

1.2 Projektrahmen

Der praktische Teil dieser wissenschaftlichen Arbeit wird sich in weiten Teilen auf die Smart City-Initiativen der Digitalstadt Darmstadt GmbH beziehen, welche gegründet wurde, um die Digitalisierungspro jekte in Darmstadt voranzutreiben und zu koordi­nieren. Darmstadt im Speziellen eignet sich aus diversen Gründen hervorragend als Forschungsob jekt auf dem Gebiet der Cybersicherheit im Rahmen von Smart Cities. Mit dem Fraunhofer Institut für sichere Informationstechnologie (SIT) und der Technischen Universität ist Darmstadt der größte Forschungsstandort für IT-Sicherheit in Europa (vgl. [KWB12]). Außerdem bekommt Darmstadt als Gewinner eines Wettbewerbs des Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) die nötigen finanziellen und fachlichen Ressourcen zur Verfügung gestellt, um eine Reihe von Digitalisierungspro jekten zu realisieren und sich so - wie im Einleitungszitat angesprochen - zu einer digitalen Modellstadt zu transformieren ([Bit17]).

Das Unternehmen Hew lett Packard Enterprise (HPE) bietet im Rahmen des Produkt­portfolios der Geschäftseinheit Aruba eine UEBA-Lösung an und ist als einer der Hauptsponsoren an dem Projekt „ Digitalstadt Darmstadt “ beteiligt. Das Ergebnis dieser Arbeit soll zunächst auf die Stadt Darmstadt angewandt werden, später aber auch als Orientierung für andere Städte und stadtnahe Organisationen verwendet werden. Insofern wird diese Arbeit von dem Unternehmen HPE, der Digitalstadt Darmstadt GmbH und dem Fraunhofer SIT durch fachliche Expertise unterstützt.

1.3 Aufbau der Arbeit

Im theoretischen Teil dieser Arbeit wird der Leser über die Definitionen und Grundlagen von Gefahren aus dem Inneren, IKT in Smart Cities, sowie über Machine Learning im Kontext von Cybersicherheit und UEBA informiert. Hierfür wird eine Literaturrecherche in Fachjournals, Monographien und internen Unternehmensquellen durchgeführt.

Im Kapitel „Methodik“ wird die methodische Vorgehensweise dieser wissenschaftlichen Arbeit erläutert. Konkret werden dabei die Grundlagen einer Fallstudie nach Yin 2014 (vgl. [Yin14]), sowie die Methode der qualitativen Inhaltsanalyse nach Mayring 2010 (vgl. [May10b]) und die Risikobewertung nach Ross 2012 (vgl. [Ros12]) und Nostro et al. 2013 (vgl. [NCBB13]) beschrieben.

Im darauffolgenden praktischen Teil, der gleichzeitig das Ergebnis dieser Arbeit darstellt, werden die Projekte „Low Power WAN in Form von LoRaWAN“, „Intelligente Verkehrs­steuerung“ und „Digitales Krankenhaus“ der Digitalstadt Darmstadt (stellvertretend für Smart City-Pro jekte im Allgemeinen) im Rahmen einer Fallstudie auf Gefahren aus dem Inneren und Anwendungsmöglichkeiten von UEBA untersucht und diesbezüglich miteinander verglichen. Das logische Modell des Praxisteils dieser Arbeit basiert dabei auf dem Konzept mehrerer Analyseeinheiten innerhalb einer Fallstudie. Die Datensamm­lung wiederum erfolgt im jeweiligen Kontext durch Analyse von verwandten Fallstudien und theoretischen Werken, sowie durch Dokumentanalysen und Interviews mit Experten aus Darmstadt.

Im letzten Kapitel werden die Ergebnisse dieser Arbeit zusammengefasst und ein Aus­blick für zukünftige Werke gegeben. Der Aufbau dieser Masterthesis wird in Abbildung 1 skizziert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Aufbau dieser Arbeit

2 Grundlagen

Im folgenden Kapitel werden die Grundlagen für das Verständnis dieser Arbeit gelegt. Dabei werden die Begriffe „Gefahren aus dem Inneren“, „Cybersicherheit“, „Machine Learning“, „Nutzer und Entitätsverhaltensanalysen“ und „Smart City“ definiert und im Hinblick auf den Praxisteil dieser Masterthesis erläutert.

2.1 Gefahren aus dem Inneren

Traditionelle Konzeptionen der Cybersicherheit legen einen Schwerpunkt auf den Schutz vor Angriffen, die von außen kommen (vgl. [NBL+ 14], S.214). Allerdings zeigen di­verse Studien, dass eine zunehmend größere Bedrohung für die Sicherheit von Cyber­Infrastrukturen aus dem Inneren kommen kann (vgl. [HWY17], [KPM17]). Ebenso wie die Gefahr selbst scheinen die Sorgen von Entscheidungsträgern zu „Gefahren aus dem Inneren“ kontinuierlich zu wachsen: 89% der Befragten einer Studie gaben an, mehr oder weniger gefährdet für Angriffe aus dem Inneren zu sein, wobei deutsche Führungskräfte mit einem entsprechenden Wert von 82% zumindest im internationalen Vergleich am wenigsten besorgt sind (vgl. [Vor15]). Im Verlauf der nächsten Seiten wird zunächst der Begriff „Gefahren aus dem Inneren“ im Sinne dieser Arbeit definiert. Daraufhin werden verschiedene Ausprägungen aufgezeigt und ein Ausblick auf Abwehrmaßnahmen gegeben, was den Bezug zum weiteren Verlauf dieser Arbeit herstellt.

2.1.1 Definiton

Das Computer Emergency Response Team (CERT) Insider Threat Center des Carnegie Mel lon's Software Engineering Institute widmet seine Forschung der Erkennung und Bekämpfung sogenannter „Insider Threats“. Zunächst unterscheidet das CERT Insider Threat Center bei der Definition zwischen „bösartigen“ („malicious“) und „unbeabsich- tigten“ („unintentional“) Insider Threats (vgl. [CMT12], S. 2):

„ Bösartige Insider Gefahren gehen von aktuellen oder ehemaligen Mitarbeitern, Auftragnehmern oder Geschäftspartnern aus, die Zugriff auf das Netzwerk, das System oder die Daten einer Organisation haben oder hatten und diese Zugriffsrechte absichtlich in einer Weise überschritten oder missbraucht haben, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen oder Informationssysteme der Organisation be­einträchtigt“ (vgl. [CMT12], S. xxi).

Unbeabsichtigte Insider-Gefahren gehen zwar von der selben Insider-Gruppe aus. Allerdings werden die Handlungen (oder Untätigkeiten), die zu einem Schaden führen oder die Wahrscheinlichkeit eines zukünftigen Schadens für die Vertraulichkeit, Integrität oder Verfügbarkeit der IKT-Systeme der Organisation erhöhen, ohne böswillige Absicht durchgeführt (vgl. [CER13], S.2f.).

Für diese wissenschaftliche Arbeit wird die vom CERT Insider Threat Center aktua­lisierte Definition verwendet, die sowohl bösartige als auch unbeabsichtigte Gefahren berücksichtigt ([Cos17], eigene Übersetzung):

„Die Möglichkeit für ein Individuum, das Zugriff auf die Assets einer Organisation hat oder hatte, seinen Zugriff böswillig oder unbeabsichtigt zu nutzen, um in einer Weise zu handeln, die sich negativ auf die Organisation auswirken könnte.“

Diese allgemeine Definition wurde gewählt, da sich andere Definitionen (vgl. bspw. [CMT12], [CINU05], [BG08], [PPHB10], [BA04]) häufig auf Unternehmen samt deren Vermögenswerten und Mitarbeitern beziehen, diese wissenschaftliche Arbeit aber Ge­fahren aus dem Inneren im Kontext von Smart Cities beleuchtet. Außerdem wird der Term „Insider Threats“ meistens pauschal mit „bösartigen Insidern“ assoziiert. Im Sinne dieser Arbeit sind aber viel eher „Gefahren aus dem Inneren“ („threats inside“) gemeint (für eine ausführichere Diskussion der beiden Begriffe siehe: [Chu16]).

Bei „Individuen“ muss es sich im Verständnis dieser Arbeit nicht zwingend um Personen handeln, was ein weiterer Unterschied zu herkömmlichen Definitionen ist. Eingeschlossen sind hierbei „vertrauenswürdige Entitäten“ wie Internet of Things (IoT)-Geräte in einer vernetzten Stadt, die von bösartigen Outsidern gehackt oder mit Malware infiziert
wurden. „Assets“ beziehen sich im Kontext dieser Arbeit vor allem auf Informationen und Systeme als Ganzes. Im Beispiel des „digitalen Krankenhaus“ (vgl. 4.1.3) können aber auch Menschen und Gebäude als „Assets“ eingestuft werden. Die verschiedenen Ausprägungen von „bösartigen und unbeabsichtigten Gefahren aus dem Inneren“ werden in den Kapiteln 2.1.2 und 2.1.3 genauer beleuchtet.

Eine umfangreiche aber nicht exhaustive Darstellung der möglichen Ausprägungen von „Individuen“, „Assets“, „böswilligen oder unbeabsichtigten Angriffsformen“ und „Auswirkungen auf die Organisation“ findet sich in Abbildung 2.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Mögliche Ausprägungen von Gefahren aus dem Inneren (in Anlehnung an [Cos17])

2.1.2 Gefahren von bösartigen Insidern

Laut dem CERT Insider Threat Center lassen sich bösartige Insider nicht nach de­mographischen, sondern vielmehr nach ihren angestrebten Zielen kategorisieren (vgl. [CMT12], S.1f.). Unterschieden wird hier zwischen „IT-Sabotage“ , „Diebstahl von geistigen Eigentum“ , „Betrug“ und „Spionage auf nationaler Sicherheitsebe­ne“ ([CMT12], S.xxi ff.).

IT-Sabotage

Unter IT-Sabotage werden alle Zwischenfälle zusammengefasst, bei denen der Insider mit Hilfe von Informationstechnologie bewusst Schaden für eine Organisation oder eine Person verursachen möchte (vgl. [CMT12], S.23). In Smart Cities sind kritische Infrastrukturen häufig Ziele von solchen Cyber-Angriffen (vgl. [Cer15]).

Fälle von IT-Sabotage sind besonders schwer zu verhindern oder zurückzuverfolgend, da sie häufig von technischen Spezialisten wie Systemadministratoren durchgeführt werden, die ohnehin über privilegierte Zugriffsrechte verfügen und somit bei der Vorbereitung eines Angriffes nicht gegen diese verstoßen (vgl. [MCT08], S.20). Keeney et al. 2005 und Moore et al. 2008 konnten in ihren Studien dennoch eindeutige Muster identifizieren, die bei fast jedem IT-Sabotagefall nachweisbar waren (vgl. [KKC+ 05], [MCT08]). Für diese Arbeit werden nur die Beobachtungen herangezogen, die im „digitalen Raum“ und damit von einer Maschine überprüfbar sind. Indikatoren wie Rachemotive oder physisches Fehlverhalten werden daher in der folgenden Aufzählung nicht berücksichtigt.

In der „ Management and Education of the Risk of Insider Threat (MERIT)-Datenbank“ listet das CERT Insider Threat Center sämtliche bekannten Vorfälle von Cyber-Attacken, die auf Insider-Gefahren beruhten (vgl. [Col13]). Laut Moore et al. 2008 trafen fast alle Angreifer in den IT-Sabotage-Aufzeichnungen dieser Datenbank technische Vorberei­tungen für ihre Attacke (vgl. [MCT08], S.22), womit der Großteil der Angriffsmuster von einem Computer-Programm zumindest theoretisch identifiziert werden könnte:

- Bei der Mehrheit der Fälle wurden kompromittierte Nutzer-Konten, unautorisierte „Backdoor Accounts“ oder gemeinsam genutzte Zugänge für die Angriffe verwendet, wobei die genutzten Zugangskonten in 92% der Fällen zuvor kein auffälliges Verhalten gezeigt hatten (vgl. [KKC+05], S.18).
- Der Großteil der bösartigen Insider hielt einmal Administratorrechte inne, wobei nur ein Bruchteil davon diese zu dem Zeitpunkt des Angriffs noch hatte (vgl. [KKC+05], S.17).
- Die meisten Attacken wurden aus der Ferne bspw. über einen Virtual Private Net­work (VPN)-Tunnel ausgeführt und fanden außerhalb der regulären Arbeitszeiten statt (vgl. [KKC+ 05], S.18).
- Fast alle Insider-Sabotagen wurden erst bemerkt, als Störungen im Informations­system auftraten oder das System unverfügbar wurde. Dabei waren es meistens Mitarbeiter oder Kunden außerhalb des Security-Personals, die die Zwischenfälle bemerkten (vgl. [KKC+05], S.19).
- Zwar unternahmen die meisten Insider Schritte, um ihre Spuren zu verwischen, dennoch konnten etwa 3/4 der Vorkommnisse im Nachhinein durch manuelle Investigationen zum Täter zurückverfolgt werden. Die wichtigsten Mechanismen zur Ermittlung waren dabei System-Log Dateien (vor allem Remote Access Logs, File Access Logs, System File Change Logs und Database/Application Logs) und die IP-Adresse (vgl. [KKC+05], S.19).
- Weitere Auffälligkeiten können das Abstellen des automatischen „Loggens“, das Ändern von Passwörtern oder die Nicht-Durchführung von Back-Ups betreffen (vgl. [CMT12], S.42).

Eine weitere Erkenntnis der Studie ist, dass es den Angreifern meist aus Rache vor allem darum ging, die üblichen Geschäftsabläufe der Organisation zu unterbinden, was zu Rufschäden und finanziellen Verlusten teilweise bis in sechsstellige Bereiche führte (vgl. [KKC+05], S.14ff.).

Die potentiellen Ausprägungen von IT-Sabotage reichen von Attacken auf Netzwer­ke, wie dem Ändern der Passwörter von Stadt-Netzwerken (vgl. [Kra08]) bis hin zu schweren Angriffen auf essentielle Versorgungsinfrastrukturen wie der Abschaltung von Stromnetzen in Smart Grids (vgl. [Lam07]).

Diebstahl von geistigen Eigentum

Der Diebstahl von geistigen Eigentum durch Insider hat vor allem in der Wirtschaft eine hohe Relevanz, da hier immaterielle Vermögensgegenstände wie Quellcode von Soft­ware, Business-Pläne und -Stategien, sowie Kunden- oder Produktinformationen einen besonderen Stellenwert für die Organisation haben (vgl. [CMT12], S.61ff.). Zwar spielt die Spionage durch Insider allgemein eine eher geringe Rolle in öffentlichen Sektoren (mit Ausnahme von Nationalstaatlichen Institutionen), dennoch gibt es auch in Smart Cities schützenswerte, sensible Daten wie personenbezogene Informationen über die Bürger einer Stadt (vgl. [HDS+11], S. 4).

Insider-Diebstähle werden laut Capelli et al. 2012 am häufigsten von Vertriebsmitar­beitern, Ingenieuren oder anderen Facharbeitern im Rahmen ihrer Zugriffsrechte und zu den gewöhnlichen Arbeitszeiten durchgeführt. Außerdem gibt es keine technischen Vorbereitungen wie bei den Sabotage-Fällen, was die Entdeckung besonders schwierig gestaltet, da sich Auffälligkeiten erst zeigen können, wenn sich der Angriff schon in der Durchführung befindet (vgl. [CMT12], S.63f.).

Nichtsdestotrotz konnten Hanley et al. 2011 und Moore et al. 2011 Beobachtungen machen, die Diebstähle geistigen Eigentums durch Insider offenlegen könnten:

- In etwas mehr als der Hälfte der Fälle wurden die Daten über das Netzwerk, also über E-Mail, Remote-Zugriff oder Internetdienste heraus geschleust. Die am zweit häufigst eingesetzte Exfiltrations-Methode war der Download auf portablen Speichermedien wie USB-Sticks oder dem Endgerät selbst (vgl. [HDS+ 11], S.9ff.).
- Bei jedem zweiten Fall stand der Insider kurz davor, die Organisation zu verlassen oder hatte sie seit kurzem verlassen (vgl. [MCC+ 11], S.17f.).

Insider-Betrug

Unter „Betrug“ im Sinne einer Gefahr aus dem Inneren versteht man die unbefugte Ände­rung, Ergänzung oder Löschung von Daten einer Organisation (nicht von Programmen oder Systemen) zum persönlichen Vorteil oder zur Erleichterung einer „Identitätss­traftat“. Identitätsstraftaten in diesem Kontext bezeichnen kriminelle Aktivitäten, bei denen persönliche Identifikationsmerkmale missbraucht werden, um einen persönlichen Vorteil zu erlangen (vgl. [WMC+10], S.8).

Da Smart Cities und klassische Behörden viele solcher personenbezogener Daten sam­meln und verarbeiten, sind sie prädestiniert für Insider-Betrug und Identitätsstraftaten, was Prozesse zum Schutz und zur Sicherheit der Daten unvermeidbar macht (vgl. [Edw16]).

Laut Capelli et al. 2012 sind die Insider bei Betrugsfällen häufig nicht die eigentlichen Profiteure, sondern wurden als Komplize von einem „bösartigen Outsider“ („malicious outsider“) zur Tat angeheuert (vgl. [CMT12], S.102ff.). Interessante Fälle von Insider­Betrug aus der MERIT-Datenbank im behördlichen/städtischen Umfeld beinhalten unter anderem im Nachhinein gestattete Asylanträge, illegal ausgestellte Führerscheine und Zahlungen einer Stadt an „Scheinlieferanten“ (vgl. [CMT12], S.104f.).

Cummings et al. 2012 identifizieren in ihrer Studie Charakteristika von Insider-Betrugsfällen:

- Kriminelle, die einen Ansatz verfolgten, der darauf ausgelegt war, bewusst unter dem Radar von herkömmlichen Sicherheitssystemen zu bleiben, verursachten mehr Schaden und entgingen länger der Entdeckung (vgl. [CLM+ 12], S.12).

- Die Insider waren meistens die Anwender von Informationssystemen und für die Taten waren wenige technischen Kenntnisse notwendig (vgl. [CLM+ 12], S.16).
- Am häufigsten wurden Angriffe durch zufällige manuelle Kontrollen oder nach Hinweis eines Kollegen oder Opfers entdeckt, wobei sich die eingesetzte Betrugs­Überwachungssoftware nur in weniger als 10% der Fälle als nützlich erwies (vgl. [CLM+12], S.26).

2.1.3 Unbeabsichtigte Insider Gefahren

Teil dieser wissenschaftlichen Arbeit sind auch unbeabsichtigte Gefahren aus dem Inne­ren, also diejenigen, bei denen das vertrauenswürdige Individuum (menschlicher Insider oder Netzwerkentität) durch sein Handeln (bzw. seine Untätigkeit) der Organisation Schaden zufügt, ohne dass dies beabsichtigt ist (vgl. [CER13], S.2). CERT Insider Threat Center 2013 und Greitzer et al. 2014 kategorisieren solche unbeabsichtigten Insider Gefahren in vier „Bedrohungsvektoren“ (nicht „Angriffsvektoren“ wie in der allgemeinen Sicherheits-Terminologie üblich, da das Wort „Angriff “ eine bewusste Tat implizieren würde - vgl. [GSC+ 14], S.2026; alle Aufzählungspunkte vgl. [CER13], S.3):

- DISC („accidental disclosure“): Die versehentliche Weitergabe sensibler Informa­tionen, die öffentlich auf einer Website veröffentlicht, falsch behandelt oder per E-Mail an die falsche Partei gesendet werden.
- Unintentional Insider Threat (UIT)-HACK ( „malicious Code, Malware/S- pyware“): Der elektronische Zugriff eines Außenstehenden, der beispielsweise durch „Social Engineering“ erlangt und durch „Malware“ und „Spyware“ ausgeführt wird.
- PHYS („improper or accidental disposal of physical records“): Verlorene, verworfe­ne oder gestohlene nicht-elektronische Aufzeichnungen, wie z.B. Papierdokumente.
- PORT („portable equipment no longer in possession“): Verlorene, verworfene oder gestohlene Datenspeichergeräte wie Laptop, PDA, Smartphone, CD, Festplatte oder Datenband.

Für diese Arbeit ist vor allem der UIT-HACK relevant, weshalb auch nur dieser Be­drohungsvektor im weiteren Verlauf des Kapitels näher betrachtet wird. In jedem Fall von „UIT-HACK“ gibt es mindestens einen „bösartigen Outsider“, der sich dann (sobald er die Kontrolle über das Nutzerkonto oder das Gerät erlangt hat) wie ein „bösartiger Insider“ verhält und auch die in Kapitel 2.1.2 beschriebenen Ziele verfolgt (vgl. [CER13], S.29f.). Entgegen der Auffassung von CERT Insider Threat Center 2013 werden im Rahmen dieser Arbeit auch solche Fälle als „Gefahr aus dem Inneren“ angesehen, bei denen ein bösartiger Outsider die Kontrolle über ein IoT-Gerät übernimmt.

Variationen von UIT-HACK lassen sich auf drei verschiedene Grundmuster zurückfüh­ren, die jeweils unterschiedlich behandelt und vorgebeugt werden sollten (genaueres in Kapitel 2.2.3): unautorisierter Zugriff, Identitätsdiebstahl/Phishing und Schadsoftwa- re/Malware (vgl. [CER13], S.33).

2.1.4 Erkennung und Vorbeugung

Moore et al. 2008 sprechen ebenso wie Capelli et al. 2012 Empfehlungen dafür aus, wie Organisationen technische Vorboten von Gefahren aus dem Inneren erkennen können und wie sie mit ihnen umgehen sollten. Dabei wird Organisationen vor allem eine geziel­te technische Überwachung des Verhaltens derjenigen Insider nahegelegt, die gewisse Auffälligkeiten an den Tag gelegt haben und/oder über privilegierte Zugangskonten verfügen. Grundvoraussetzung hierfür ist allerdings, dass sämtliche digitalen Aktivitä­ten proaktiv protokolliert und gesichert werden, um sie entweder ebenfalls proaktiv zu überwachen oder, um eine nachträgliche Investigation zu ermöglichen. Hierbei soll vor allem die Erstellung unbekannter und verbotener Zugangswege erkannt werden (vgl. [MCT08], S.14f.; [CMT12], S.55ff.).

Grundvoraussetzung für eine erfolgreiche Erkennung und Vorbeugung von Gefahren aus dem Inneren ist laut Collins 2016 eine sorgfältige Risikoprüfung („Risk Assessment“), bei der vor allem die kritischen Komponenten und Assets, die verarbeiteten Daten und die wichtigsten Nutzer eines Systems identifiziert werden sollten (vgl. [Col16], S.11f.). Aus diesem Grund ist die Risikoprüfung innerhalb der Fallstudie ein wesentlicher Bestandteil dieser wissenschaftlichen Arbeit (siehe Kapitel 3.3).

Falls es sich bei den Insidern um Personen handelt, stehen Organisationen vor einem Dilemma, welches Andersen et al. 2004 als „Vertrauensfalle“ („trust trap“) bezeichnen: Proaktive Überwachung ist demnach eine Voraussetzung, um Auffälligkeiten überhaupt feststellen zu können. Dem gegenüber steht aber, dass viele Führungskräfte aus guten Gründen (bspw. zur Steigerung der Motivation) ein vertrauensvolles Arbeitsumfeld schaffen wollen. Weniger Kontrollen führen allerdings laut Andersen et al. 2004 zu weniger wahrgenommenen Auffälligkeiten und letzten Endes zu einem geringer wahr­genommenen Risiko eines Angriffes, wodurch sich schließlich die Ausfallsicherheit der Organisation verschlechtert (vgl. [ACG+ 04]). Abbildung 3 skizziert die „Vertrauensfalle“. An dieser Stelle weist Collins 2016 darauf hin, dass die proaktive Überwachung vertrau­enswürdiger Zugangskonten nicht zwangsweise Misstrauen ausdrückt, sondern auch zur Erkennung unbeabsichtigter Gefahren aus dem Inneren (bspw. dem „UIT-Hack“ bei Account-Übernahmen) angewandt werden kann und damit im Sinne der privilegierten Nutzer sein kann (vgl. [Col16], S.93).

Für die Überwachung selbst werden meist die zum Zeitpunkt der Veröffentlichung der

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Vertrauensfalle bei Gefahren aus dem Inneren (in Anlehnung an [MCT08], S.10)

Studien üblichen Sicherheitsmechanismen empfohlen: Anti-Virus Programme, Intrusi­on Detection- und Prevention-Systeme (IDS/IPS), Firewalls, Backup-Systeme, Data Loss Prevention (DLP)- und Security Information and Event Management (SIEM)- Werkzeuge (vgl. ua. [CER13], S.34; [CMT12], S.223f.). Collins 2016 ist die erste Studie, die konkret Werkzeuge zur Erkennung von Anomalien im Verhalten der Nutzer und Entitäten vorschlägt (vgl. [Col16], S.93). Außerdem verweist die Studie an mehreren Stellen auf konkrete Vorgehensweisen zur Risikoprüfung von Gefahren aus dem Inneren (vgl. [Col16], S.11ff und S.47ff.). Im weiteren Verlauf dieses Kapitels wird es um solche Techniken und Plattformen gehen, die Verhaltensanomalien durch maschinelles Lernen detektieren können.

2.2 Maschinelles Lernen in der Cybersicherheit

Die Fachgebiete „Machine Learning“ und „Cybersicherheit“ werden normalerweise als getrennte Disziplinen betrachtet (vgl. [BG16], S. 1153). Dieses Kapitel hat den Anspruch ein interdisziplinäres Verständnis beim Leser zu schaffen und speziell die Anwendung von Machine Learning bei Verhaltensanalysen aufzuzeigen. Dabei soll dieses Kapitel jedoch nur für ein Grundverständnis sorgen und nicht technisch in die Tiefe gehen.

2.2.1 Definitionen

Der Begriff „ Cybersicherheit“ wird von der International Telecommunications Union folgendermaßen definiert (eigene Übersetzung nach [Int08]):

„Cybersicherheit ist die Sammlung von Tools, Maßnahmen, Sicherheitskon­zepten, Sicherheitsvorkehrungen, Richtlinien, Risikomanagementansätzen, Aktivitäten, Schulungen, Best Practices, Versicherungen und Technologien, die zum Schutz der Cyberumgebung und -organisation sowie der Vermögens- werte der Benutzer eingesetzt werden können. Zu den Vermögenswerten der Organisation und der Benutzer gehören angeschlossene Computer, Personal, Infrastruktur, Anwendungen, Dienste, Telekommunikationssysteme und die Gesamtheit der übertragenen und/oder gespeicherten Informationen in der Cyber-Umgebung. Cybersicherheit ist bestrebt, die Erreichung und Aufrecht­erhaltung der Sicherheitsziele der Organisation und der Vermögenswerte der Benutzer gegen relevante Sicherheitsrisiken in der Cyber-Umgebung zu gewährleisten. Die al lgemeinen Sicherheitsziele setzen sich wie folgt zusam­men: Verfügbarkeit, Integrität und Vertraulichkeit.“

Der Begriff „Informationssicherheit“ wird häufig synonym für „Cybersicherheit“ ver­wendet (vgl. [Sv13], S.97). Solms et al. 2013 argumentieren jedoch auf Basis des internationalen Standards ISO/IEC 27032:2012(E), dass Cybersicherheit nicht nur den Schutz des Cyber-Raums selbst, sondern auch die Sicherheit derjenigen umfasst, „die im Cyber-Raum agieren, inklusive ihrer Ressourcen, die über den Cyber-Raum erreicht werden können“ (vgl. [Sv13]; [Int12]). Dieses Verständnis wird auch auf diese wissenschaftliche Arbeit übertragen, da Menschen selbst Ziel von Cyber-Attacken sein können (vgl. Kapitel 2.1.3) und zudem ganze Systeme und Infrastrukturen (nicht nur die darin verarbeiteten Informationen) geschützt werden sollen.

Abbildung 4 skizziert die Abgrenzung der Begriffe „Informations- und Cybersicher­heit“, wobei für diese wissenschaftliche Arbeit der Begriff und das Verständnis der Cybersicherheit verwendet werden (inkl. der IKT-Sicherheit).

Grundsätzlich unterscheidet man zwischen „Netzwerk- und Host-basierten Cyber­Sicherheitssystemen“: Während Host-basierte Abwehrsysteme Datenströme über­wachen, die direkt auf dem Host (bspw. Workstation, Server oder mobiles Endgerät) von Firewall, Virenschutz und IDS/IPS erzeugt werden, überwachen Netzwerk-basierte Sicherheitssysteme in erster Linie die Ein- und Austrittspunkte des Netzwerks (vgl. [GTDVMFV09], S.19). Im Fokus dieser Arbeit liegen ausschließlich Netzwerk-basierte Systeme, die neben den Ein- und Austrittspunktes auch die Kommunikation zwischen den Endgeräten innerhalb des Netzwerks überwachen (siehe Kapitel 2.2.2).

Schutzmechanismen wie Firewalls oder herkömmliche IDS bieten unter anderem durch häufige Patches einen gewissen Schutz vor bekannten Angriffsmustern. Allerdings sind

Abbildung 4: Abgrenzung Informationssicherheit / Cybersicherheit (in Anlehnung an [Sv13], S.101)

es häufig neue, zuvor unbekannte Schwachstellen, die von Angreifern in sogenannten „ zero day-Attacken“ ausgenutzt werden. Cyber-Infrastrukturen generieren heutzutage große Datenmengen, die hochentwickelte Analysemethoden mit Hilfe von maschinellem Lernen nutzen können, um auch die bislang unbekannten Attacken zu erkennen und zu stoppen (vgl. [DD16], S.3ff.).

Maschinelles Lernen ist dabei eine Methode von „ Data Mining“, welches wiederum als „ die Erkennung von Mustern aus Daten“ zusammengefasst werden kann (vgl. [WFHP17], S. 6). Der Begriff „ Machine Learning“ wurde zuerst 1959 von Arthur Samuel ver­wendet und bezeichnet seitdem die Verwendung statistischer Techniken, um Computer­systemen die Möglichkeit zu geben, mit Daten zu „lernen“ (d.h. die Leistung bei einer bestimmten Aufgabe schrittweise zu verbessern), ohne explizit programmiert zu werden (vgl. [Sam59]). Es existieren zwei Hauptformen von ML-Methoden: „Unsupervised-“ und „Supervised Machine Learning“ (etwa: „unüberwachtes bzw. überwachtes maschinelles Lernen“; vgl. [BG16], S.1155):

- Supervised ML: Beim überwachten Lernen werden Input- und Ziel-Output­Paare zum Trainieren einer Funktion vorgegeben, und ein Lernalgorithmus wird so trainiert, dass der Output der Funktion mit minimalen Aufwand vorhergesagt werden kann (d.h. gesucht wird ein Modell, welches die Daten am besten erklärt und zukünftigen Input möglichst genau klassifiziert; vgl. [MTR12], S.7). Anwendung findet Supervised ML in Cybersicherheitssystemen hauptsächlich bei sogenannten „ missbrauchs-basierten Analysen“ („misuse-based“, auch: „signature-based“). Hierbei werden Missbräuche anhand bekannter Angriffsmuster durch Regeln und „Signaturen“ aus Datenbanken erkannt, wobei diese regelmäßig aktualisiert werden müssen. Aufgrund dieser Eigenschaft können missbrauchs­basierte Analysen keine „zero day-Attacken“ detektieren, erzeugen allerdings für bekannte Angriffsmuster nur selten Fehlalarme (vgl. [DD16], S.57ff.).
- Unsupervised ML: Beim unüberwachten Lernen sollen versteckte Muster aus gegebenen Daten identifiziert werden, ohne vorher Paare von Input-Daten und zugehörigen Klassenbezeichnungen bereitzustellen. Durch dieses fehlende Training fällt eine quantitative Bewertung der Resultate des Algorithmus schwerer als beim überwachten Lernen (vgl. [MTR12], S.7).

Unsupervised ML wird bei Sicherheitsanalysen häufig für sog. „ Anomalie-basierte Techniken“ verwendet, um das gewöhnliche Verhalten des Netzwerks und dessen Akteure zu erkennen, sowie um diese Akteure in Gruppen („Cluster“) einzutei­len. Vorteile von Anomalie-basierten Techniken sind zum einen, dass auch zero day-Attacken erkannt werden können und zum anderen, dass sich das Standard­verhalten je nach Netzwerk und Nutzer unterscheiden kann, was es Angreifern erschwert, Aktivitäten „unter dem Radar“ auszuführen. Der größte Nachteil ist, dass jedes bisher ungesehenes (aber legitimes) Systemverhalten als Anomalie erkannt wird und dadurch unter Umständen viele Fehlalarme erzeugt werden (vgl. [DD16], S.87ff.).

In der Praxis werden meist beide Formen von ML, sowie Mischformen (sog. „ semi­supervised ML“) angewendet. Gleiches gilt für Missbrauchs- und Anomalie-basierte Analysen: Zumeist wird ein hybrider Ansatz gewählt, um zwar unbekannte Angriffs­muster aufzuspüren, aber dennoch die Fehlalarmrate niedrig zu halten (vgl. [BG16], S.1153ff.).

Da diese wissenschaftliche Arbeit keinen technischen Fokus hat, wird an dieser Stelle auf eine Erläuterung einzelner ML-Algorithmen verzichtet. Der Vollständigkeit halber werden jedoch die wichtigsten Verfahren aufgelistet (vgl. alle Aufzählungspunkte [DD16], S.24ff.):

- Assoziationsanalyse („Association Rule Classification“)
- Künstliches neuronales Netz („Artificial Neural Network“)
- Support Vector Machine
- Entscheidungsbäume („Decision Trees“)
- Bayes'sches Netz („Bayesian Network“)
- Hidden Markov Model
- K-Means Clustering
- Expectation-maximization
- Nächste-Nachbarn-Klassifikation („k-Nearest Neighbor“)

Typischerweise nutzen „Data Scientists“ (etwa: „Datenspezialisten“) ein Prozess-Modell, um Problemstellungen anzugehen. Die am häufigsten eingesetzte dieser Methodologien ist dabei der „ Cross-industry standard process for data mining (CRISP-DM)“ (vgl. [Pia14]). Bei CRISP-DM werden sechs Phasen durchlaufen, wobei zwischen den Phasen nach Bedarf hin- und hergewechselt werden kann (Abbildung 5 zeigt die Bezie­hung zwischen den einzelnen Phasen; alle Aufzählungspunkte vgl. [She00], S.15ff.):

- Business Understanding: In der ersten Phase geht es darum, die Pro jektziele und -anforderungen aus betriebswirtschaftlicher Sicht zu verstehen und dieses Wissen in eine Data Mining-Problemdefinition und einen vorläufigen Plan zur Zielerreichung umzusetzen.

- Data Understanding: Die Phase des Datenverständnisses beginnt mit einer ersten Datenerhebung und geht weiter mit Aktivitäten, um sich mit den Daten vertraut zu machen, Datenqualitätsprobleme zu identifizieren, erste Einblicke in die Daten zu gewinnen oder interessante Teilmengen zu entdecken, um Hypothesen für versteckte Informationen zu bilden.

- Data Preparation: Die Datenaufbereitungsphase umfasst alle Aktivitäten zur Erstellung des endgültigen Datensatzes (Daten, die aus den ursprünglichen Roh­daten in das Modellierungstool eingespeist werden sollen).
- Modeling: In dieser Phase werden verschiedene Modellierungstechniken bzw. Data Mining-Verfahren ausgewählt und angewendet und deren Parameter auf optimale Werte eingestellt.
- Evaluation: In dieser Pro jektphase geht es darum, das erstellte Modell vor der Einführung zu bewerten und hinsichtlich der betriebswirtschaftlichen Ziele hin zu überprüfen.
- Deployment: Die Erstellung des Modells ist in der Regel nicht das Ende des Pro jekts. Auch wenn der Zweck des Modells darin besteht, das Wissen über die Daten zu erweitern, muss das gewonnene Wissen so organisiert und präsentiert werden, dass es für die Zielgruppe nützlich ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: CRISP-DM Prozess (vgl. [She00], S.13)

Diese wissenschaftliche Arbeit beschäftigt sich vor allem mit der ersten Phase „Business Understanding“, wobei auf eine formale Problemdefinition und Planerstellung verzichtet wird. Da die Anwendbarkeit der Machine Learning-Verhaltensanalysen stark von den verfügbaren Daten abhängt, ist für diese Arbeit auch ein grundlegendes Verständnis der Daten in den einzelnen Smart City-Netzwerken notwendig. Dieses beschränkt sich jedoch lediglich auf die Art der Daten (nicht auf konkrete Datensätze).

Da detaillierte Daten die Grundlage für Data Mining und Machine Learning-Methoden bilden, kann es im Kontext von Smart Cities zu Datenschutzbedenken kommen (vgl. Ka­pitel 2.3.2). In der Forschung hat sich diesbezüglich ein Zweig gebildet, der Data Mining- Algorithmen aus der Perspektive des Datenschutzes betrachtet: Das sogenannte „ Pri­vacy Preserving Data Mining (PPDM)“ (vgl. [DD16], S. 178). PPDM-Methoden versprechen dabei die Gewinnung von Wissen unter Wahrung der Privatsphäre (vgl. [MV17]).

2.2.2 Verhaltensanalysen von Nutzern und Entitäten

Eine Art, Machine Learning in Sicherheitssystemen einzusetzen, ist die Erkennung von Anomalien durch Verhaltensanalysen der Nutzer und Entitäten im Netzwerk (vgl. [DD16], S.86). Diese Art von Analysen eignen sich besonders zur Erkennung von Ge­fahren aus dem Inneren, da die Insider (bzw. Angreifer über Insider-Konten oder vertrauenswürdige Geräte), wie in Kapitel 2.1 beschrieben, meistens zwar im Rahmen ihrer Zugangsrechte legitime, allerdings durchaus auffällige Aktivitäten bei der Vorbe­reitung oder beim Angriff selbst durchführen (vgl. [Mah17], S.8).

Der Begriff „ User and Entity Behavior Analytics“ wurde zuerst vom Markt­forschungsunternehmen Gartner folgendermaßen definiert (eigene Übersetzung nach [BUP16]):

„ Nutzer- und Entitätsverhaltensanalysen bieten die Möglichkeit der Profi­lerstellung und Anomalie-Erkennung basierend auf einer Reihe von Analyse­methoden, in der Regel mit einer Kombination von einfachen Analysemetho­den (bspw. Signaturregeln, Musterabgleiche und einfachen Statistiken) und erweiterten Analysen (bspw. supervised und unsupervised Machine Learning).

Die Anbieter verwenden paketbasierte Analysen, um die Aktivität von Be­nutzern und anderen Entitäten (Hosts, Anwendungen, Netzwerkverkehr und Datenspeicher) zu bewerten, um potenzielle Vorfäl le zu entdecken, die häufig als Aktivität dargestellt werden, die für die Standardprofile und das Verhalten von Benutzern und Entitäten anormal ist. Beispiele für diese Aktivitäten sind der ungewöhnliche Zugriff auf Systeme und Daten durch vertrauens­würdige Insider oder Dritte sowie Verstöße durch externe Angreifer, die sich präventiven Sicherheitskontrollen entziehen.“

Sadowski et al. 2018 definieren und beschreiben im aktualisierten „Market Guide for UEBA“ die drei Säulen von UEBA-Lösungen und die damit verbundenen Anforderungen (alle Aufzählungspunkte vgl. [SLBP18], S. 3f.):

1. Use-Cases: Die Haupt-Anwendungsfälle sind solche, bei denen die Überwachung der Nutzer und Geräte im Netzwerk („im Inneren“) Einblicke in deren Verhalten gibt, und dabei hilft, Anomalien zu erkennen (siehe Kapitel 2.2.3).
2. Analytics: Die Erkennung von Verhaltens-Anomalien findet mit Hilfe von ein­fachen und fortgeschrittenen Analysemethoden (zu denen ML zählt) statt und zudem werden einzelne Anomalien zu einem individuell-spezifischen Risikowert aggregiert.
3. Datenquellen: Nutzer- und Entität-spezifische Daten können entweder direkt oder indirekt über ein Verzeichnis (bspw. SIEM) aus den Datenquellen extrahiert werden und zudem mit Kontextinformationen in Form von strukturierten und unstrukturierten Daten (bspw. aus sozialen Medien, Gebäudeinformationen oder Personal-Verzeichnissen) angereichert werden.

Diese wissenschaftliche Arbeit beschäftigt sich im praktischen Teil hauptsächlich mit der ersten Säule „Use-Cases“, wobei die zugrundeliegenden Datenquellen dafür eine notwendige Voraussetzung sind.

Shashanka et al. 2016 beschreiben die „ Niara analysis platform “, die für diese wissen­schaftliche Arbeit exemplarisch für die Technologie allgemein herangezogen und im Folgenden näher beschrieben wird.

Dieses Netzwerk-basierte Sicherheitssystem wendet ML-Algorithmen auf verschiedene Datenquellen wie Netzwerkpakete und Protokolle an, um anomales Verhalten von Benut­zern, IP-Adressen und Geräten innerhalb eines Unternehmensnetzwerks zu identifizieren (vgl. [SSW16],S. 1867). Gemäß der ersten beiden Phasen des CRISP-DM-Prozess merken auch Shashanka et al. 2016 an, dass die wichtigste Voraussetzung für den Einsatz einer UEBA-Überwachung das genaue Verständnis darüber ist, welche Gefahren aufgespürt werden sollen (“Business Understanding“ nach [She00] bzw. „Use-Cases“ nach [SLBP18]) und wie die dafür benötigte Datengrundlage aussehen soll (“Data Understanding“). Darüber hinaus sollte bei der Auswahl der Daten sehr selektiv vorgegangen werden, um Fehlalarme zu vermeiden (vgl. [SSW16], S. 1867).

Grundsätzlich definieren Shashanka et al. 2016 eine Anomalie als „Abweichung von der Baseline“. Die „Baseline“ (etwa: „Ausgangslage“) kann sich dabei entweder auf das Verhalten des Nutzers / der Entität in der Vergangenheit (=“Historical Baseline“) oder auf das Verhalten der „Bezugsgruppe“ (bspw. Kollegen oder ähnliche Geräte) des Nutzers / der Entität beziehen (=“Peer Baseline“; vgl. [SSW16], S. 1868).

Abbildung 6 visualisiert das beispielhafte Verhalten eines Nutzers im Vergleich zu seiner Bezugsgruppe (obere Grafik) und im Vergleich zu seiner persönlichen Historie. Während das Verhalten verglichen mit der Bezugsgruppe anomal ist, ist es im Vergleich zur persönlichen Historie normal (bzw. nicht signifikant anormal).

Die Niara analysis platform beinhaltet vier Hauptbestandteile (siehe Abbildung 7; alle

Access Time Download Upload Duration

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Visualisierung einer Verhaltensanomalie ([SSW16], S. 1873)

Aufzählungspunkte vgl. [SSW16], S. 1871f.):

1. Datenfusion:

Zunächst werden Rohdaten aus einer Vielzahl von Netzwerk- und sicherheitstech- nischen Datenquellen (z.B. Pakete, Flows, Protokolle, Dateien, Alarme, Threat­Feeds) importiert. Während der Datenfusion werden die Rohdaten korreliert, um sie aussagekräftiger zu machen (z.B. findet eine Zuordnung von IP-Adressen zu den jeweiligen Nutzern statt) und in eine zusammenfassende Darstellung gebracht, die einen umfassenderen Kontext bietet (z.B. Authentifizierungs- und Geräte­nutzungsverlauf oder Port-Protokoll-Beziehungen). Da alle weiteren Schritte auf diesen Aktivitäten beruhen, ist essentiell, dass genügend passende Datenquellen bei den jeweiligen Anwendungsfällen vorhanden sind.

2. Analyse:

Die Analysemodule tragen zum Gesamtrisiko-Wert einer Entität bei, der über die Zeit verfolgt wird. Es gibt mehrere Analysemodule in der Plattform, die jedoch in zwei Kategorien unterteilt werden können - Verhaltensanalysen und sogenann­te „diskrete Analysen“. Die diskreten Analysemodule basieren auf überwachten maschinellen Lernalgorithmen und sind darauf ausgerichtet, die „bekannten Unbe­kannten“ zu erkennen und zu identifizieren (vgl. missbrauchs-basierte Analysen, die bspw. für das Erkennen von Malware-Infektionen verwendet werden). Die Verhaltensanalysen hingegen basieren auf unbeaufsichtigten maschinellen Lernal­gorithmen zur Anomalieerkennung, um das komplexere Problem der Erkennung „unbekannter Unbekannter“ (bspw. bösartige Insider, Account-Übernahmen oder zero day-Attacken) zu lösen.

3. „Entity360“ :

Das Kernstück der Plattform ist das Konzept „Entity360“. Alle Informationen zu einer bestimmten Entität werden dabei zu einem umfassenden Risikoprofil zusam­mengeführt und es wird eine kohärente, visuelle Darstellung aller angereicherten Sicherheitsinformationen einer Entität abgebildet. Der Vorteil für Sicherheitsana­lysten ist, dass sie schnell einen Einblick in das Verhalten der Netzwerkteilnehmer bekommen.

4. Events und Alarme:

Wenn ein Analysemodul erfolgreich Anomalien erkennt, löst es Events aus. Je­des Event ist mit einer oder mehreren Entitäten verbunden und enthält zwei Werte: Einen Schweregrad („Severity“), der vom Sicherheitsanalysten definiert wird, um den geschäftlichen Kontext und die Wichtigkeit anzuzeigen, und einen Vertrauensgrad („Confidence“), der vom Modul generiert wird und als Wahrschein­lichkeit angesehen werden kann, dass die Analyseergebnis korrekt ist (d.h., dass es sich tatsächlich um eine Anomalie handelt). Ereignisse mit einem Schwere- und Vertrauensgrad von größer als 60 werden als Alarme angezeigt. Alle Events und Alarme für eine Entität werden in der „Entity360“ zusammengeführt und zu einer einheitlichen Bedrohungsbeurteilung („Risk Score“) zusammengefasst, die der Priorisierung der Vorfälle dient.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Niara analysis platform (vgl. [SSW16], S. 1871)

Der Hauptunterschied von UEBA zu herkömmlichen Technologien wie SIEM ist, dass durch ML auch die bisher „unbekannten unbekannten“ Angriffe erkannt werden können und zudem weniger Fehlalarme erzeugt werden. Nichtsdestotrotz können bestehende Sicherheitsmechanismen als Datenquellen oder zusätzliche Schutzmaßnahmen eingesetzt werden (bspw. zur host-basierten Sicherheit oder zur Durchsetzung von Gegenmaß­nahmen; vgl. [AC17], S.1547). Die typischen Anwendungsfälle von UEBA werden im nächsten Abschnitt behandelt.

2.2.3 Typische Anwendungsfälle von UEBA

Wie bereits in Kapitel 2.1.4 angesprochen, empfiehlt das CERT Insider Threat Center eine Überwachung der Nutzer und Entitäten im Netzwerk, um Gefahren aus dem Inne­ren frühzeitig zu erkennen und zu verhindern (vgl. [Col16], S.93). Im Hinblick auf die in Kapitel 2.1 angesprochenen Ausprägungen und Absichten der Angreifer, bietet UEBA einen effektiven Ansatz zur umfassenden Steuerung und Überwachung von Risiken und unbekannten Bedrohungen innerhalb des Netzwerkes (vgl. [Mah17], S.9). Im folgenden Abschnitt werden Einsatzszenarien der UEBA-Technologie vorgestellt. Diese sollen im weiteren Verlauf der Arbeit auf die Anwendbarkeit im Smart City-Umfeld überprüft werden. Die folgende Aufzählung hat nicht den Anspruch vollständig zu sein, vielmehr geht es darum dem Leser einen groben Überblick über die Anwendungsbereiche der UEBA-Technologie zu geben.

Vor der Implementierung eines UEBA-Systems sollten Organisationen unbedingt An­wendungsfälle identifizieren und spezifizieren, um den Herausforderungen entsprechend fokussiert zu begegnen. Von unspezifischen Ansätzen, die alle Nutzer und Entitäten auf alle möglichen Gefahren hin überwachen, raten Analysten wie Sadowski et al. 2018 dringend ab, da die Fehlerrate gegebenenfalls zu groß wird und tatsächliche Gefahren nicht mehr von Fehlalarmen unterschieden werden können (vgl. [SBS18]).

Aus diesem Grund wird der praktische Teil dieser wissenschaftlichen Arbeit den Schwer­punkt auf die Identifizierung und Priorisierung der Anwendungsfälle im Kontext von Smart City-Pro jekten legen.

Account-Übernahme

Bei diesen Attacken nutzen Angreifer Schwachstellen durch Methoden wie „ Pass-the- Hash (PtH)“, „ Pass-the-Token (PtT)“, „Brute Force“ und „Remote Execution“ aus, um Zugriff auf Anmeldedaten (Passwörter oder „Hashes“) zu erhalten (vgl. [AC17], S.1547). Weitere Methoden, um an die Zugangsdaten zu gelangen, sind „Social Engineering“- Techniken, „Phishing“ und „Malware“. Die unberechtigte Nutzung fremder Zugangsdaten beruht in der Regel auf unbeabsichtigten Gefahren aus dem Inneren (UIT-Hack) und kann sowohl auf Sabotage, als auch auf Datendiebstahl und Betrug abzielen. Einmal im Netz, können die Angreifer lange unbemerkt bleiben und durchgehend Schaden

verursachen, was man gemeinhin als „ Advanced Persistent Threat (APT)“ (etwa: „fortgeschrittene, andauernde Bedrohung“) bezeichnet. Unabhängig von der angewandten Eindringungs-Methode können ML-Verhaltensanalysen Abweichungen im Verhalten der Nutzer erkennen (bspw. durch Zeitstempel, Orts- und Geräteinformationen oder IP-Adressen) und Sicherheitsanalysten können früh genug Maßnahmen einleiten, um schlimmere Folgen zu verhindern (vgl. [Aru17a]).

Bösartige Insider

Neben den unbeabsichtigten Insider Gefahren bestehen auch die in Kapitel 2.1.2 ange­sprochenen Risiken, die von bösartigen Nutzern (bspw. Mitarbeitern oder Geschäfts­partnern innerhalb des Netzwerkes) ausgehen. Technisch gesehen erfolgt hierbei die gleiche Überwachung wie zur Erkennung von Account-Übernahmen. Allerdings können in diesem Zusammenhang zusätzliche Informationen wie Social-Media- oder Personal­daten herangezogen werden, um Anomalien im „nicht-netzwerkbasierten“ Verhalten festzustellen (vgl. [SLBP18], S.7f.).

Hacking vertrauenswürdiger Hosts und Entitäten

Äquivalent zu den Nutzern bieten gerade vertrauenswürdige Geräte und Hosts im Kon­text von IoT eine breite und oft ungeschützte Angriffsfläche für bösartige Outsider (vgl. [Nay18], S. 75f. - siehe Kapitel 2.3.1). Anomalien können hier meistens mit grundlegen­deren Analysemethoden erkannt werden, da das Netzwerkverhalten von Geräten ohne menschliche Nutzer in der Regel vorhersagbarer ist als das von von Nutzern bedienten Geräten (vgl. [Aru17a]).

Lateral Movement

Sobald die Kontrolle über einen Account oder ein IoT-Gerät erlangt wurde, bewegen sich die Angreifer innerhalb des Netzwerks, um wertvolle Datenquellen zu entdecken und allgemein, um ihre Sichtweite zu vergrößern. Solche „Sichtungen“ gehen in der Regel über einen langen Zeitraum und sind schwer zu erkennen, da häufig legitime Tools und Methoden verwendet werden. Mittels UEBA können Angriffe dennoch auch auf dieser Stufe anhand ungewöhnlicher Netzwerkzugriffe und -Scans erkannt werden (vgl. [CDH14], S.68f.).

Zugriffsmissbrauch / Zugriffserweiterung

Wie in Kapitel 2.1.2 angesprochen, sind es häufig Nutzer mit Administratorrechten oder Zugriff auf Serviceaccounts, die IT-Systeme oder kritische Infrastrukturen sabotieren. In vielen Fällen geschehen selbsterteilte Erweiterungen der Zugriffsrechte, nach dem ein Account übernommen wurde und bevor das „lateral movement“ durchgeführt wird (vgl. [Cho11], S.724).

Durch UEBA in Kombination mit einem Network Access Control (NAC)-System kön­nen entsprechende privilegierte Konten identifiziert und auf verdächtige oder zugriffs­missbrauchende Aktivitäten hin (bspw. ungewöhnliche Datennutzungen und -zugriffe) überwacht werden. Des Weiteren können die Angreifer schon bei der Erweiterung ihrer Zugriffsrechte beispielsweise durch ungewöhnliche Account-Aktivitäten entdeckt und inaktive Konten mit mehr als den benötigten Zugriffsrechten identifiziert werden (vgl. [Nay18], S. 23f.).

Cyberbetrug

Betrug durch Insider oder Outsider, die Zugriff auf entsprechende Zugangsdaten haben, gehört mit zu den stärksten Motiven bei Cyberangriffen (vgl. [CMT12], S.8 - siehe Kapitel 2.1.2) . Ein UEBA-System, das mit Daten aus operativen Systemen gespeist wird, kann ungewöhnliche Veränderungen erkennen, zu Risikowerten aggregieren und gegebenenfalls Alarm schlagen (vgl. [Nay18], S. 79f.).

Datendiebstahl

Insbesondere in der freien Wirtschaft und auf nationaler Sicherheitsebene ist Datendieb­stahl ein beliebtes Motiv bei Angreifern (vgl. [CMT12], S.61ff. - siehe Kapitel 2.1.2).

Mit der Hilfe von ML-Verhaltensanalysen, die mit Informationen aus DLP- und Daten­klassifikationssystemen angereichert sind, können Sicherheitsanalysten den Zugriff auf wichtige Daten überwachen und im Falle eines Datendiebstahls früh genug intervenieren. Hinweise auf Datendiebstähle können darüber hinaus Muster über die Nutzung dieser, sowie die Auswertung von Domain Name System (DNS)- und E-Mail-Log Dateien liefern (vgl. [Aru17b]).

Command and Control Attacken

Sogenannte „Botnets“, über die bspw. Distributed Denial of Service (DDoS)-Attacken ausgeführt werden können, sind heutzutage einer der größten Cyber-Bedrohungen für IKT-Netzwerke. Um mit den einzelnen „Bots“ zu kommunizieren, nutzen Angreifer sogenannte „ Command and Control (C&C)“-Kanäle, die sich zwischen den verschiedenen Bots selten unterscheiden und daher das „schwächste Glied“ bei Botnets sind.

[...]