Verhaltensbasierte Sicherheitstechnik identifiziert User

    IBM Trusteer Pinpoint Detect ist eines von mehreren Verfahren, das Online-Zahlungsvorgänge schützt.IBM hat die Sicherheitstechnik Trusteer Pinpoint Detect ange­kündigt. Sie kombi­niert Ma­chine Learning mit biome­trischen Verfahren. Damit sollen sich User zweifels­frei identi­fizieren lassen. Ein erstes Einsatz­gebiet ist der Schutz von Online-Banking-Kunden. Allerdings lässt sich die Technik auch in anderen Bereichen nutzen.

    Trusteer Pinpoint Detect erfasst, auf welche Weise ein legitimer Nutzer mit einer Web-Seite interagiert. Das kann beispielsweise ein Online-Shop sein, aber auch - wie erwähnt - ein Online-Banking-Account. Die Technik erfasst beispiels­weise, wie ein Nutzer normalerweise die Maus bewegt. Diese Bewegungsmuster werden jedes Mal analysiert, wenn ein User Online-Banking nutzt oder in einem Web-Shop einkauft.

    Problem: "Normales" Nutzerverhalten erkennen

    Mit der Zeit entsteht auf diese Weise ein biometrisches Muster, mit dessen Hilfe Nutzer mit einer hohen Wahrschein­lichkeit erkannt werden können. Ein Verfahren wie Trusteer Pinpoint Detect muss dabei bewerten, ob es sich bei Abweichungen vom üblichen Bewegungsmuster der Maus um zulässige Ausnahmen handelt. Ist ein User beispielsweise an einem Tag besonders nervös oder agiert er unter hohem Zeitdruck, können die Bewegungen anders ausfallen als gewöhnlich.

    Das Verfahren von IBM soll herkömmlichen Authenti­sierungs- und Authenti­fizierungs­verfahren ergänzen. Passwörter, PINs und Sicherheits­fragen haben sich als nicht sicher genug herausgestellt. Ab Dezember soll Trusteer Pinpoint Detect verfügbar sein.

    Balabits Ansatz identifiziert Administratoren

    Balabit Blindspotter identifiziert IT-User unter anderem anhand ihrer normalen Arbeitszeiten.Allerdings setzt nicht nur IBM auf verhaltens­basierte Sicherheits­techniken und biometrische Verfahren, um User zu identifizieren. Das ungarischen IT-Sicherheitsunternehmen Balabit hat mit Blindspotter ein ähnliches Verfahren entwickelt. Es dient dazu, die Accounts von IT-Usern mit erweiterten Zugriffsrechten zu schützen.

    Zu dieser Kategorie zählen beispielsweise Administratoren in der hauseigenen IT-Abteilung und von externen IT-Dienstleistern. Aber auch die Nutzerkonten von Abteilungsleitern, Geschäftsführern und Mitarbeitern in der Entwicklungsabteilung lassen sich mit Blindspotter absichern.

    Ebenso wie IBMs Technik nutzt Blindspotter maschinelles Lernen, um "merkwürdige" Verhaltensweisen von Usern zu erkennen. Die Sicherheitslösung ermittelt zunächst, wie sich ein Nutzer im Normalfall verhält. Als Grundlage dienen beispielsweise Informationen darüber, wann (Tage, Uhrzeit) er sich bei welchen Accounts einloggt, von welchem Ort aus und mit welchen IP-Adressen dies erfolgt und auf welche Server und Applikationen der Nutzer zugreift.

    Auch bei Balabit ist die Maus im Spiel

    Dieses Baselining wird durch biometrische Daten ergänzt. So erfasst Blindspotter wie IBMs Technik die Bewegungen der Computermaus. Auch Eingaben auf Keyboards werden ausgewertet, etwa wie schnell ein User schreibt und wie oft er sich dabei vertippt. Trusteer Pinpoint Detect nutzt nach Angaben von IBM dagegen "nur" die Mausbewegungen als Indikator.

    Balabit Blindspotter erzeugt "Heat Maps", die ungewöhnliche User-Aktivitäten transparent machen.IT-Sicherheitsfachleute werden informiert, wenn sich gravierende Abweichungen ergeben. Ein Beispiel: Eigenartig ist, wenn sich ein User plötzlich von einem asiatischen Land einloggt. In diesem Fall kann es sich um einen Hacker handeln, der die Account-Daten des Nutzers gestohlen hat.

    Schutz vor Insider-Angriffen

    Auch "Insider"-Angriffe lassen sich identifizieren. Wenn ein externer Systemverwalter plötzlich Versuche startet, auf die Server mit Kunden- und Entwicklungsunterlagen zuzugreifen, ist das verdächtig. Auch wenn er Angreifer dazu den Account eines anderen Mitarbeiters missbraucht, lässt sich anhand der biome­trischen Informationen ermitteln, dass nicht besagter Beschäf­tigter vor dem Rechner sitzt.

    Es ist davon auszugehen, dass verhaltens­basierte IT-Security-Techniken wie die von IBM und Balabit stark an Boden gewinnen. Die Frage ist nur, ob nicht auch Cyber-Kriminelle künftig auf maschinelles Lernen setzen, um ihre Attacken zu verfeinern.

    Keine Kommentare