Sicherheitsanbieter werden nicht müde, auf die wachsenden Bedrohungen im Internet hinzuweisen. Immer mehr Menschen sind online, bevölkern soziale Netzwerke, nutzen mobile Endgeräte und legen bei allen ihren Aktivitäten eine anhaltend hohe Sorglosigkeit an den Tag. Gleichzeitig werden auch die Angriffe professioneller und perfider, so dass es nicht übertrieben scheint, von organisierter Kriminalität in diesem Bereich zu sprechen.
So richtig in den Griff kriegen das weder Anwender noch Anbieter von Sicherheitslösungen. Viren und Schadprogramme werden oft erst entdeckt, wenn sie sich im System ausbreiten - allen Schutzprogrammen und Firewalls zum Trotz. Und dann ist es in der Regel zu spät.
Einen anderen Ansatz als diese traditionellen Sicherheitslösungen verfolgt ein Forschungsprojekt des Technologie-Zentrums Informatik und Informationstechnik (TZI) an der Universität Bremen. Zusammen mit verschiedenen Projektpartnern und vom Bundesministerium für Bildung und Forschung mit rund drei Millionen Euro ausgestattet, durchläuft dort gerade die Alarmanlage "FIDeS" die ersten Praxistests.
"Uns geht es darum, Gefahrenlagen zu erkennen, bevor sie im System Schaden anrichten", erläutert der technische Projektleiter Karsten Sohr im CIO-Gespräch. "Dafür ziehen wir verschiedene Quellen wie Firewalls, Log-Dateien oder Informationen über Netzverbindungen heran." Anschließend, und das ist das eigentlich Neue an FIDeS, werden diese Informationen mit komplexen Abfragen aus dem Werkzeugkasten der Künstlichen Intelligenz analysiert.
"Wir werten die unterschiedlichsten Quellen und modellieren dafür Pattern, die angeben, was im Netzwerk normal, also unbedenklich ist und was potenziell Gefahr birgt", so Projektmitarbeiter Carsten Elfers, der sich im Projekt mit den KI-Fragen beschäftigt. Schon das ist nicht trivial, denn in Firmennetzen fallen täglich viele Tausend bis Millionen Transaktionen an, die es zu untersuchen gilt.
System schlägt dem Administrator Lösungen vor
Ist etwas anders, als es soll, schlägt das System Alarm, benennt die möglichen Angriffspunkte und macht dem Systemadministrator Vorschläge, wie er das Problem beheben kann. Zu spät ist es dann noch nicht für wirksame Gegenmaßnahmen. Angriffe, so die beiden Wissenschaftler, kündigten sich in gewisser Weise schon vorher an: Viele Schadsoftware suche sich zunächst schwächer gesicherte Rechner aus, um ins System zu gelangen, und breitete sich erst danach auf besser geschützte Systeme aus. Wenn man die ersten Anzeichen für einen Angriff erkenne, könne man den Gefahren wirkungsvoll begegnen.
Automatismen bei der anschließenden Bekämpfung der Eindringlinge gibt es dabei aber nicht: "Solche Automatismen wären auch nicht unproblematisch", so sein Kollege Sohr. Schließlich handele es sich ja nicht immer um schadhafte Dateien, so dass man der Anwendung nicht auch die Lösung eines möglichen Problems überlassen könne.
Systembedingt gibt es bei solchen Überwachungsprogrammen - besonders am Anfang - eine Vielzahl von Fehlalarmen, weil nicht jede Auffälligkeit einen Angriff auf die IT-Infrastruktur bedeutet. "Aber unser System ist lernfähig", betont Karsten Sohr: "Es nimmt Informationen auch über solche Fehlalarme auf und lernt daraus, wie es beim nächsten Mal besser reagieren kann."
Bisher haben die Wissenschaftler FIDeS nur mit Versuchsdaten ausprobiert. Nun - zur Halbzeit des auf drei Jahre angelegten Projekts - läuft die Testphase unter realen Bedingungen und mit Echtdaten an, etwa beim Automobilzulieferer ZF Friedrichshafen. "Wir wollen unser geistiges Eigentum sichern, das Know-how erweitern und nach Möglichkeit eine Software exakt nach unserem Bedarf erhalten", erläutert ZF-Vorstandsmitglied Willi Berchtold, verantwortlich für den Bereich Informatik, die zentralen Gründe für das Engagement bei "FIDeS".
Eineinhalb Jahre haben die Projektpartner noch Zeit, die funktionierende IT-Alarmanlage zu entwickeln. "Die Chancen", heißt es in einem Pressetext zum Projekt, "stehen nicht schlecht".