Sankt Pölten - Eine Spionagesoftware, die in den vergangenen Jahren Informationen von Einzelpersonen, Behörden und Forschungseinrichtungen ausgespäht hat: das ist zum Beispiel Regin. "Ein hochkomplexer Trojaner, der von Experten für bestimmte Aufgaben in monatelanger Arbeit maßgeschneidert wurde. Code-Vergleiche legen nahe, dass es sich um ein Instrument der NSA handelt", erläutert Sebastian Schrittwieser, Dozent am Department Informatik und Security der FH Sankt Pölten. Nachdem Regin bekannt wurde, konnte er im Herbst 2014 auch auf Rechnern in Österreich identifiziert werden.
Um derartigen Angriffen in Zukunft besser begegnen zu können, startete nun an der FH Sankt Pölten das von Schrittwieser geleitete Josef-Ressel-Zentrum für die konsolidierte Erkennung gezielter Angriffe - das erste seiner Art in Niederösterreich.
Gemeinsam mit den Firmenpartnern Ikarus Security Software und SEC Consult sollen Strategien gefunden werden, um Spionage- und Sabotagesoftware frühzeitig zu erkennen. Im Rahmen von Ressel-Zentren fördert das Wissenschafts- und Wirtschaftsministerium anwendungsorientierte Forschungskooperationen zwischen FHs und Unternehmen. Vorbild sind die Christian-Doppler-Labore an Universitäten.
Konventionelle Viren sind auf eine rasche Verbreitung ausgerichtet. Sie sollen an möglichst vielen Computern Schaden anrichten. Einmal entdeckt, werden ihre Signaturen in die Datenbanken der Antivirenprogramme aufgenommen. Die Chance, spezialisierte Schadprogramme à la Regin zu enttarnen, ist aber durch deren geringe Verbreitung ungleich geringer, sagt Schrittwieser. In manchen Fällen werden sie etwa vor Ort per USB-Stick im gewünschten Netzwerk platziert. Außerdem sind die Trojaner natürlich darauf ausgerichtet, ihre Aktivitäten möglichst gut zu verstecken. Die konventionelle, signaturbasierte Methode greift bei diesen Attacken nicht.
Auf bösartige Absichten schließen
"Wir müssen also dahin kommen, das schädliche Verhalten eines Programms aufgrund seiner Auswirkungen auf das System zu erkennen", so Schrittwieser. Eine einzelne Aktion des Programms - etwa das Anlegen einer Datei oder der Verbindungsaufbau zu einem Server im Internet - mag für sich noch unverdächtig sein. Aus dem Zusammenspiel vieler kleiner Einzelereignisse inmitten der zigtausenden Prozesse, die in einem Computersystem täglich ablaufen, könne man aber gegebenenfalls auf bösartige Absichten schließen. "Wenn ein Programm von einem USB-Stick gestartet wird und gleich danach Daten auf einen externen Server geschickt werden, könnte das auf eine Spionagesoftware hindeuten", gibt der Informatiker ein einfaches Beispiel. Derartige verdächtige Kombinationen sollen systematisch modelliert werden.
Gemeinsam mit dem Firmenpartner Ikarus konzentrieren sich Schrittwieser und Kollegen auf die Analyse von Ereignissen in Unternehmensnetzwerken, mit SEC Consult will man sich auf die Suche von Schwachstellen und Hintertüren in Softwaresystemen begeben. (pum, DER STANDARD, 22.4.2015)