DuD Datenschutz und Datensicherheit 4 | 2011 285 GATEWAY Eckehard Hermann, Markus Zeilinger IT Frühwarnung Die Gefahr aus dem Netz Längst hat eine neue Art der Bedrohung Unternehmen, Regierungen und Militärs rund um den Globus alarmiert. Die Ge- fahren, gegen welche man sich zu wapp- nen versucht, sind zwar virtuell, aber doch sehr real und können ganze Unterneh- men und selbst Nationen gefährden. Dis- tributed Denial-of-Service (DDoS) At- tacken auf die Internetseiten von Mas- tercard und Paypal oder der Computer- wurm Stuxnet, der speziell für Angriffe auf Systeme zur Überwachung und Steu- erung technischer Prozesse (SCADA-Sys- teme) der Firma Siemens entwickelt wur- de, haben dies in jüngster Vergangenheit gezeigt. Hinter solchen Angriffen können reine Sabotage-, aber auch Spionageaktivi- täten oder militärische Aktionen (Cyber- war) stecken. Besonders gefährdet sind hierbei Orga- nisationen und Einrichtungen mit wichti- ger Bedeutung für das staatliche Gemein- wesen. Bei deren Ausfall oder Beeinträch- tigung würden nachhaltige Versorgungs- engpässe, erhebliche Störungen der öf- fentlichen Sicherheit oder andere drama- tische Folgen eintreten. Diese Organisati- onen werden als kritische Infrastrukturen bezeichnet [1]. Je früher Bedrohungen erkannt werden, desto größer sind in der Regel die Mög- lichkeiten Gegenmaßnahmen einzuleiten und den Schaden, der aus diesen Bedro- hungen resultiert, gering zu halten oder gänzlich zu vermeiden. Frühwarnung Unter Frühwarnung werden im Allge- meinen alle Aktivitäten verstanden, wel- che das frühzeitige Erkennen von Bedro- hungen ermöglichen. Basierend auf dem Erfassen und Auswerten erster Anzei- chen, die auf ein bevorstehendes Ereig- nis mit negativen Auswirkungen schlie- ßen lassen, wird eine Warnung ausge- sprochen, um ein möglichst frühes Ein- leiten von Gegenmaßnahmen zu ermög- lichen [3]. Ziel ist es, den bevorstehenden Schaden möglichst gering zu halten oder gänzlich zu vermeiden [2]. Frühwarnsysteme kommen in den un- terschiedlichsten Bereichen zum Einsatz. So warnen Frühwarnsysteme z. B. küsten- nahe Bewohner vor drohenden Tsunamis, in der Nähe eines Vulkans vor dessen Aus- brechen oder Unternehmen vor negativen wirtschaftlichen Entwicklungen. Mögli- che Reaktionen auf eine solche Warnung können die Evakuierung der Bevölkerung, die vorsorgliche Alarmierung von Hilfs- kräften oder entsprechende unternehme- rische Gegenmaßnahmen sein. IT-Frühwarnung Mit Hilfe der IT-Frühwarnung wird der Grundgedanken der Frühwarnung in den Bereich der Informations- und Kom- munikationstechnologie übertragen. Ins- besondere kritische Informationsinfra- strukturen (IT als kritische Infrastruktur an sich) sollen damit vor Cyber-Angriffen geschützt werden. Aktuelle Arbeiten verfolgen hierbei zur- zeit im Wesentlichen drei unterschiedli- che Ansätze:  Systeme zur Beobachtung des Daten- verkehrs im Netzwerk: Hierbei wer- den Sonden im Netzwerk des zu schüt- zenden Systems oder global im Inter- net verteilt. Durch das Beobachten be- stimmter Netzwerkeigenschaften sollen Angriffe und anomales Verhalten er- kannt werden. Je nach Granularität der von den Sonden gelieferten Daten (z. B. Flow-, Payload-, statistische Daten) las- sen sich hierbei (D)DoS Angriffe, Bot- nets und Probing-Aktivitäten erkennen.  Systeme zur Sammlung und Analyse von Malware: Hierbei werden zunächst mit verteilten Honeypots/-nets ver- dächtige Dateien-Samples gesammelt und anschließend in einer gesicherten Umgebung ausgeführt. Die Aktivitäten (z. B. Datei-/Registry-Zugriffe, System Calls, –) dieser Samples werden auf- gezeichnet und auf verdächtige Muster analysiert.  Kooperative Informations- und Melde- systemen: Diese Systeme arbeiten auf Basis unterschiedlichster Quellen, wie z. B. einschlägige Foren, Hotlines oder der Analyse von Internetseiten [2]. Ziel dabei ist es, durch kooperative Bemü- hungen die Informationen Einzelner zu einem größeren Gesamtbild zu aggre- gieren und damit einen Mehrwert für alle zu erzeugen. Diesen Ansätzen ist gemein, dass sehr gro- ße Mengen von oft unstrukturierten Da- ten analysiert und korreliert werden müs- sen. Frühwarnsysteme sind nur dann nützlich, wenn sie ihre Ergebnisse (War- nungen) sehr zeitnah (in Echtzeit) liefern können. Diese Kriterien stellen große He- rausforderungen für Forschung und Ent- wicklung in diesem Umfeld dar. Fazit Da der Bereich der IT-Frühwarnung ein vergleichsweise junges Gebiet ist, sind noch erhebliche Anstrengungen insbeson- dere bei der Erfassung, der Aufbereitung und der Analyse von Daten und Informa- tionen aus den unterschiedlichsten Quel- len erforderlich. Insellösungen sind hier- bei sicherlich nicht erfolgsversprechend. Eine effektive IT-Frühwarnung erfordert eine organisationsübergreifende und in- ternationale Zusammenarbeit bei der Forschung nach Lösungen sowie der Ent- wicklung und dem Betrieb von IT-Früh- warnsystemen und ständigen Wissens- austausch zwischen allen Beteiligten. Literatur [1] Bundesamt für Sicherheit in der Informations- technik, Schutz Kritischer Infrastrukturen in Deutschland, September 2007, http://www.bsi.bund.de/fachthem/ kritis/in- dex.htm [2] Eckehard Hermann, Markus Zeilinger, Schutz kritischer Infrastrukturen mittels IT-Früh- warnung, Datenschutz und Datensicherheit – DuD, Volume 33, Number 1, 42-46, [3] Ennen, G., Nationales IT-Frühwarnsys- tem, in Tagungsband zum 10. Deutschen IT- Sicherheitskongress „Innovationsmotor IT-Si- cherheit“, 2007, Bundesamt für Sicherheit in der Informationstechnik, 13-20