Gefahren noch früher erkennen
Projekt für neuartiges IT-Alarmsystem
"Wir werten die unterschiedlichsten Quellen und modellieren dafür Pattern, die angeben, was im Netzwerk normal, also unbedenklich ist und was potenziell Gefahr birgt", so Projektmitarbeiter Carsten Elfers, der sich im Projekt mit den KI-Fragen beschäftigt. Schon das ist nicht trivial, denn in Firmennetzen fallen täglich viele Tausend bis Millionen Transaktionen an, die es zu untersuchen gilt.
System schlägt dem Administrator Lösungen vor
Ist etwas anders, als es soll, schlägt das System Alarm, benennt die möglichen Angriffspunkte und macht dem Systemadministrator Vorschläge, wie er das Problem beheben kann. Zu spät ist es dann noch nicht für wirksame Gegenmaßnahmen. Angriffe, so die beiden Wissenschaftler, kündigten sich in gewisser Weise schon vorher an: Viele Schadsoftware suche sich zunächst schwächer gesicherte Rechner aus, um ins System zu gelangen, und breitete sich erst danach auf besser geschützte Systeme aus. Wenn man die ersten Anzeichen für einen Angriff erkenne, könne man den Gefahren wirkungsvoll begegnen.
Automatismen bei der anschließenden Bekämpfung der Eindringlinge gibt es dabei aber nicht: "Solche Automatismen wären auch nicht unproblematisch", so sein Kollege Sohr. Schließlich handele es sich ja nicht immer um schadhafte Dateien, so dass man der Anwendung nicht auch die Lösung eines möglichen Problems überlassen könne.
Systembedingt gibt es bei solchen Überwachungsprogrammen - besonders am Anfang - eine Vielzahl von Fehlalarmen, weil nicht jede Auffälligkeit einen Angriff auf die IT-Infrastruktur bedeutet. "Aber unser System ist lernfähig", betont Karsten Sohr: "Es nimmt Informationen auch über solche Fehlalarme auf und lernt daraus, wie es beim nächsten Mal besser reagieren kann."
Bisher haben die Wissenschaftler FIDeS nur mit Versuchsdaten ausprobiert. Nun - zur Halbzeit des auf drei Jahre angelegten Projekts - läuft die Testphase unter realen Bedingungen und mit Echtdaten an, etwa beim Automobilzulieferer ZF Friedrichshafen. "Wir wollen unser geistiges Eigentum sichern, das Know-how erweitern und nach Möglichkeit eine Software exakt nach unserem Bedarf erhalten", erläutert ZF-Vorstandsmitglied Willi Berchtold, verantwortlich für den Bereich Informatik, die zentralen Gründe für das Engagement bei "FIDeS".
Eineinhalb Jahre haben die Projektpartner noch Zeit, die funktionierende IT-Alarmanlage zu entwickeln. "Die Chancen", heißt es in einem Pressetext zum Projekt, "stehen nicht schlecht".