Systeme dieser Kategorie ziehen das Netzwerk, Dateien, Benutzer und Endgeräte (end points) in in ihre Analysen ein. Sie sind in der Regel typische Client-Server-Systeme; die Sensorik wird in den Client gepackt, und der Server-Teil fungiert als technisches Backend mit den Analyse- und Alarmfunktionen.
Einige Produkte analysieren zunächst über eine längere Zeit den kompletten Datenstrom, um eine sog. Baseline zu finden, die dann als Normalitäts-Profil dient. Diese Baseline soll auch ein Bild des für typisch erklärten Benutzerverhaltens umfassen.
Und genau an diesem Punkt ist Vorsicht und Umsicht geboten, will man nicht verängstigte Benutzer haben. Erhöhte Transparenz ist hier angesagt: Jede Person sollte eine klare Vorstellung davon haben, was im Sinne eines solchen Systems als normales bzw. abweichendes Benutzerverhalten verstanden wird.
An den Prüfstellen werden die Datenströme auf Anomalitäten (Check auf verdächtige Bitmuster und auf Abweichungen von der Baseline) untersucht. Maschinelles Lernen auf der Basis von Mustererkennung (pattern recognition) soll diese Analyse unterstützen; zu den dabei verwendeten Algorithmen geben bedauernswerterweise die Softwareanbieter keine weiteren Erklärungen. Festgestellte Abweichungen lösen Alarme aus, Unklarheiten kommen in einer sandbox sozusagen unter Quarantäne und können dort speziell behandelt werden.
In das Prüfkonzept können Stellen mit bekannten Sicherheitsdefiziten als sog. Honey Pots eingebaut werden, um Eindringlinge anzulocken und dann ihre digitale Identität dingfest zu machen.
Das Benutzerverhalten kann weiter gegen versuchten Diebstahl geistigen Eigentums, Sobotage, Betrug, Spionage und sonstige Anomalitäten gecheckt werden. Auch hier ist es wichtig, die zugrundeliegenden Regeln transparent zu machen.
Forensische Nachforschungen (advanced forensic investigations, so ein Hersteller) werden von den meisten Systemen unterstützt. Einige der angebotenen Programme wurden auch für Polizeieinheiten entwickelt.
Die von den Herstellern benannten Beispiele der Analyse des Benutzerverhaltens verdecken allerdings auch anderweitige Defizite im Security-Konzept. So gelten ungewohnte Bearbeitungszeiten, normalerweise nicht benutzte Endgeräte sowie normalerweise nicht benutzte Anwendungen als Verdachtsmomente, alles Themen, die vorzugsweise durch klare Regeln außerhalb eines technischen Systems festzulegen wären.
Allein um die Akzeptanz solcher Intrusion-Detection- oder -Response-Systeme zu erhöhen, sollte ihr Einsatz z.B. in einer Betriebsvereinbarung geregelt werden.
Karl Schmitz | Januar 2022 |