IT Security März/April
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer! KI-basierte Angriffserkennung – Möglichkeiten und Grenzen RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren
Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer!
KI-basierte Angriffserkennung – Möglichkeiten und Grenzen
RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
- Keine Tags gefunden...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
20 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Anomalieerkennung<br />
KI-BASIERTE ANGRIFFSERKENNUNG:<br />
MÖGLICHKE<strong>IT</strong>EN UND GRENZEN<br />
Anomalieerkennung gilt als eine Methode<br />
der Angriffserkennung für die <strong>IT</strong>und<br />
OT-Sicherheit. Cyberkriminelle<br />
versuchen jedoch häufig,<br />
unter dem Radar solcher Systeme<br />
zu operieren. Was kann KI in<br />
diesem Zusammenhang leisten?<br />
Strom, Wasser, Lebensmittel oder Gesundheitsversorgung:<br />
Selbst kritische<br />
Infrastrukturen sind heute Bestandteil<br />
digitaler Ökosysteme. Mit zunehmender<br />
Digitalisierung und Vernetzung<br />
wächst deren Komplexität und damit<br />
die Verwundbarkeit gegenüber Cyberangriffen.<br />
Gleichzeitig steigt unsere Abhängigkeit<br />
von der Verfügbarkeit, Integrität<br />
und Vertraulichkeit solcher Systemlandschaften.<br />
Eine hohe Cyberresilienz<br />
wird damit zunehmend zur<br />
Grundlage einer stabilen Gesellschaft.<br />
Wichtiger Bestandteil dieser Widerstandsfähigkeit<br />
ist das Erkennen und die<br />
Abwehr von Angriffen. Dem trägt auch<br />
der Gesetzgeber immer mehr Rechnung<br />
und verpflichtet Betreiber von KRI-<br />
TIS-Anlagen mit dem <strong>IT</strong>-SIG 2.0 ab<br />
dem 1. Mai 2023 zum Einsatz von<br />
Systemen für die Angriffserkennung.<br />
Angriffserkennung vs.<br />
Anomalieerkennung<br />
Im Zusammenhang mit der<br />
Angriffserkennung wird oftmals<br />
der Begriff der Anomalieerkennung<br />
als Synonym verwendet. Allerdings<br />
ist eine Anomalie nur eine Abweichung<br />
von dem normal Erwarteten.<br />
Dabei kann es sich um eine Störung<br />
handeln, der kein Angriff zugrunde<br />
liegt, sondern zum Beispiel eine Fehlfunktion<br />
oder der Ausfall einer Komponente.<br />
Zwar ist es unter dem Aspekt einer<br />
hohen Verfügbarkeit und Integrität<br />
wichtig, derartige betriebliche Probleme<br />
frühzeitig zu erkennen und zu behandeln,<br />
sie sind aber nicht Bestandteil<br />
der Abwehr von Cyberangriffen.<br />
Im Gegensatz zu solch sporadisch auftretenden<br />
Fehlfunktionen mit klarem<br />
Fehlerbild versuchen Angreifer gezielt,<br />
ihre Cyberattacken unter<br />
dem Radar klassischer<br />
Anomalieerkennung<br />
durchzuführen. Eine generische<br />
Anomalieerkennung<br />
ist damit als primäres Mittel<br />
einer Angriffserkennung eher ungeeignet.<br />
Stattdessen sind Systeme erforderlich,<br />
die explizit auf die Erkennung<br />
von Angriffen ausgelegt wurden.<br />
Regelbasiert vs. KI-basiert<br />
Ein klassischer Ansatz bei Angriffserkennungssystemen<br />
ist die Nutzung manuell<br />
bzw. semi-automatisch erstellter kuratierter<br />
Regeln auf Basis von Expertenwissen<br />
und Datenanalysen. Dazu gehören<br />
die in Intrusion-Detection-Systemen<br />
genutzten Signaturen bekannter Angriffspakete.<br />
Aber auch Schwellwerte<br />
für Paketgrößen oder Paketmengen,<br />
deren Überschreiten einen Angriff nahelegt,<br />
oder komplexere Heuristiken zur<br />
Erkennung von Aufklärungstechniken<br />
wie Portscanning, können mit geeigneten<br />
Regelwerken abgebildet werden.<br />
Derartige Regeln sind im Allgemeinen<br />
auf klare Angriffsmuster fokussiert. Ihre<br />
Bedeutung ist dadurch selbst für<br />
Nicht-Experten zu verstehen und auf ein<br />
durch die Regel gemeldetes Ereignis<br />
kann entsprechend zügig und fokussiert<br />
reagiert werden. Allerdings haben diese<br />
aufwändig kuratierten Systeme Probleme<br />
mit den zunehmend komplexen<br />
Daten umzugehen und müssen bei Änderungen<br />
der Umgebungen erneut manuell<br />
angepasst werden. Auch lassen<br />
<strong>März</strong>/<strong>April</strong> 2023 | www.it-daily.net