Forensische Netzwerkanalyse mittels Complex Event Processing (ForCEPs)

Unsere Forschungsgruppe freut sich, ein neues, kooperatives Forschungsprojekt namens „Forensische Netzwerkanalyse mittels Complex Event Processing (ForCEPs)“ akquirieren zu können. Gemeinsam mit der Hochschule Darmstadt (h_da) und zahlreichen Projektpartnern aus dem akademischen und privatwirtschaftlichen Bereich betreibt die Forschungsgruppe dieses Projekt im Zeitraum vom 1. September 2017 bis 31. August 2021. Gefördert wird dieses Projekt vom Bundesministerium für Bildung und Forschung.

Inhaltlich beschäftigt sich das neue Forschungsprojekt mit der forensischen Analyse von Netzwerkdaten. Trotz des Einsatzes aktuellster Techniken zur Erkennung und Verhinderung von Angriffen ist eine vollständige Absicherung der IT-Infrastruktur in Unternehmen und anderen Einrichtungen unmöglich. Insbesondere zielgerichtete Attacken, beispielsweise durch ausländische Geheimdienste oder Wirtschaftsspionage, nutzen oft Wissen über spezifisches Nutzerverhalten aus. Dadurch werden die bekannten Verfahren zur Erkennung und Verhinderung von Angriffen ausgehebelt. Die so in das Computernetzwerk eingeschleuste Schadsoftware verhält sich oft unauffällig, um sich unbemerkt in der IT-Infrastruktur ausbreiten zu können. Wenn der Angriff bemerkt wird, ist oft eine große und zunächst nur schwer eingrenzbare Zahl an IT-Systemen betroffen. Ein aktuelles Beispiel ist der Angriff auf die IT-Infrastruktur des Deutschen Bundestages.

Im Gegensatz zur nachträglichen Untersuchung von Computern, bei denen der aktuelle Zustand zum Zeitpunkt der Entdeckung einer Schadsoftware eingefroren werden kann, um danach Spuren sicherzustellen, ist die Analyse von befallenen Netzwerken nur sehr eingeschränkt möglich. Die dafür benötigten Informationen sind aufgrund der sehr großen Datenmenge meistens entweder bereits gelöscht oder wurden nicht gespeichert.

Das Projekt „Forensische Netzwerkanalyse mittels Complex Event Processing (ForCEPs)“ erforscht mit Hilfe des „Complex Event Processing (CEP)“ – einer Technologie zur Verarbeitung großer Datenmengen – Verfahren, die die nachträgliche Aufklärung von Angriffen auf Computernetzwerke ermöglichen. Dies wird durch die Entwicklung neuartiger Methoden geschehen, die hohe Datenmengen in Netzwerken analysieren und die wichtigen Informationen extrahieren sowie speichern können. Die damit verfügbaren Daten können einen wichtigen Beitrag für die Untersuchung von Angriffen und zur Aufklärung leisten.

Ebenfalls wird ein Vorgehensmodell auf Basis des Leitfadens „IT-Forensik“ erstellt (herausgegeben durch das Bundesamt für Sicherheit in der Informationstechnik), das Unternehmen und anderen Einrichtungen hilft, strukturiert, effizient und effektiv Untersuchungen von Angriffen auf Netzwerke durchzuführen. Dieses Vorgehensmodell erweitert die einzelnen Untersuchungsstufen des Leitfadens mit den notwendigen Schritten, um die mit ForCEPs erstellten Ergebnisse einsetzen zu können.

Das Projekt wird gefördert vom Bundesministerium für Bildung und Forschung im Rahmen des Förderprogramms Forschung an Fachhochschulen unter dem Förderkennzeichen 13FH019IA6.