Intrusion Detection/Prevention

Systeme dieser Kategorie ziehen das Netzwerk, Dateien, Benutzer und Endgeräte (end points) in in ihre Analysen ein. Sie sind in der Regel typische Client-Server-Systeme; die Sensorik wird in den Client gepackt, und der Server-Teil fungiert als technisches Backend mit den Analyse- und Alarmfunktionen.

Einige Produkte analysieren zunächst über eine längere Zeit den kompletten Datenstrom, um eine sog. Baseline zu finden, die dann als Normalitäts-Profil dient. Diese Baseline soll auch ein Bild des für typisch erklärten Benutzerverhaltens umfassen.

Und genau an diesem Punkt ist Vorsicht und Umsicht geboten, will man nicht verängstigte Benutzer haben. Erhöhte Transparenz ist hier angesagt: Jede Person sollte eine klare Vorstellung davon haben, was im Sinne eines solchen Systems als normales bzw. abweichendes Benutzerverhalten verstanden wird.

An den Prüfstellen werden die Datenströme auf Anomalitäten (Check auf verdächtige Bitmuster und auf Abweichungen von der Baseline) untersucht. Maschinelles Lernen auf der Basis von Mustererkennung (pattern recognition) soll diese Analyse unterstützen; zu den dabei verwendeten Algorithmen geben bedauernswerterweise die Softwareanbieter keine weiteren Erklärungen. Festgestellte Abweichungen lösen Alarme aus, Unklarheiten kommen in einer sandbox sozusagen unter Quarantäne und können dort speziell behandelt werden.

In das Prüfkonzept können Stellen mit bekannten Sicherheitsdefiziten als sog. Honey Pots eingebaut werden, um Eindringlinge anzulocken und dann ihre digitale Identität dingfest zu machen.

Das Benutzerverhalten kann weiter gegen versuchten Diebstahl geistigen Eigentums, Sobotage, Betrug, Spionage und sonstige Anomalitäten gecheckt werden. Auch hier ist es wichtig, die zugrundeliegenden Regeln transparent zu machen.

Forensische Nachforschungen (advanced forensic investigations, so ein Hersteller) werden von den meisten Systemen unterstützt. Einige der angebotenen Programme wurden auch für Polizeieinheiten entwickelt.

Die von den Herstellern benannten Beispiele der Analyse des Benutzerverhaltens verdecken allerdings auch anderweitige Defizite im Security-Konzept. So gelten ungewohnte Bearbeitungszeiten, normalerweise nicht benutzte Endgeräte sowie normalerweise nicht benutzte Anwendungen als Verdachtsmomente, alles Themen, die vorzugsweise durch klare Regeln außerhalb eines technischen Systems festzulegen wären.

Betriebliche Regelung

Allein um die Akzeptanz solcher Intrusion-Detection- oder -Response-Systeme zu erhöhen, sollte ihr Einsatz z.B. in einer Betriebsvereinbarung geregelt werden.

Dabei ist zunächst zu entscheiden, ob es erforderlich ist, jedes Endgerät mit einer Client-Software des System auszustatten oder ob es genügt, solche Client-Software nur an den Eintritts- bzw. Übergangsstellen ausgewählter Netzwerkzonen zu installieren.
Sofern das eingesetzte System über die Möglichkedit verfügt, den Hauptspeicher des Rechners zu inspizieren und es sich bei dem Rechner um ein Endgerät handelt, das einem Benutzer zugeordnet ist, sollte diese Funktion nur on demand benutzt werden, d.h. die prüfende Stelle wird nur tätig, wenn die Alarmfunktion eine ernsthafte Bedrohung meldet oder nachdem der Benutzer den Einsatz durch Bestätigung einer entsprechenden Anfrage frei gegeben hat.
Benutzer, die den Verdacht einer Infizierung ihres Rechners haben, sollten sich an eine zentrale Stelle wenden und eine Untersuchung beantragen bzw. veranlassen können.
Auf jeden Fall sollte das Unternehmen in geeigneten Merkblättern, Online-Dokumentationen und in speziellen Schulungen die Bedrohungs-Szenaren und die Verhaltensempfehlungen für die Vermeidung von Sicherheitsbedrohungen darstellen.

Karl Schmitz

Januar 2022