Projekt HoneySens

Die IT-Systeme der Sächsischen Landesverwaltung unterliegen nicht nur Bedrohungen aus dem Internet, sondern können ebenso zum Ziel von Angriffen aus dem internen Netzwerk werden. Ausgangspunkt solcher Angriffe sind typischerweise mit Schadsoftware befallene Rechner. Aber auch unbemerkt in das Netzwerk vorgedrungene Angreifer oder Mitarbeiter, die sich über geltende Sicherheitsbestimmungen hinwegsetzen, stellen Gefahrenquellen dar. Klassische Sicherheitsmaßnahmen, wie zentrale Firewalls und Antivirussysteme, können diese Gefahrenquellen nicht oder nur sehr eingeschränkt ausschalten.

Um auf derartige Gefahren reagieren zu können, wurde vom Beauftragten für Informationssicherheit der Landesverwaltung Sachsen in Zusammenarbeit mit der Professur für Datenschutz und Datensicherheit der Technischen Universität Dresden im Rahmen einer Diplomarbeit das Projekt »HoneySens« entwickelt. Es sieht eine unter Berücksichtigung der Anforderungen des Sächsischen Verwaltungsnetzes (SVN) gestaltete Architektur vor, in der innerhalb gefährdeter Teilnetze platzierte Sensoren Informationen über alle ankommenden verdächtigen Datenpakete aufzeichnen und an eine zentrale Serverkomponente zur Verarbeitung weiterleiten. Administratoren können anschließend mit Hilfe einer komfortablen Web-Anwendung die aggregierten Daten auswerten und bei Bedarf entsprechende Gegenmaßnahmen einleiten.

Zur Erkennung potentieller Angriffe kommt auf den Sensoren Honey-pot-Software zum Einsatz, deren Zweck die Simulation typischer Netzwerkdienste und zugehöriger Sicherheitslücken ist. Je intensiver ein Eindringling mit diesen »Hackerfallen« kommuniziert, desto mehr Informationen können über dessen Motivation und Vorgehensweise gewonnen werden. Um ein möglichst umfassendes Bild über die Vorgänge innerhalb des Netzwerks zu gewinnen, können die Sensoren auch weitere Datenpakete aufzeichnen. Eine Erkennungsroutine für die von Angreifern häufig zur Informationsgewinnung genutzten Portscans erleichtert zudem die automatische Klassifikation der gesammelten Datenmengen.

Damit auch nicht im Bereich der Informationssicherheit geschulte Administratoren mit dem HoneySens-System arbeiten können, wurde bei der Entwicklung des Prototyps viel Wert auf eine leicht verständliche graphische Benutzeroberfläche gelegt. Die Web-Anwendung unterstützt deshalb die Benutzer sowohl bei allen anfallenden Arbeitsschritten, darunter die komfortable Integration zusätzlicher Sensoren und die Bereitstellung automatischer Updates der Sensor-Software, als auch bei der Auswertung aller gesammelten Daten. - -

Eine flexible Benutzerverwaltung stellt zudem sicher, dass nur berechtigte Personen Zugang zum System besitzen. Techniken des „Responsive Web Design" garantieren ferner, dass die Benutzerschnittstelle auch auf Mobilgeräten wie Smartphones und Tablets ohne Einschränkungen genutzt werden kann.- -

Auch bei der Konzeption der zentralen Serverkomponente wurden Möglichkeiten zur unkomplizierten Installation berücksichtigt: Die Bereitstellung der Software in Form von virtualisierbaren Containern assistiert beim flexiblen, transparenten Betrieb der Anwendung und vereinfacht zukünftige Updates.

Die prototypische HoneySens-Implementierung wurde im Rahmen der Diplomarbeit in einem mehrwöchigen Testzeitraum innerhalb des Sächsischen Verwaltungsnetzwerkes und in einem Teilnetz der TU Dresden erprobt und verbessert.

In einem nächsten Schritt wollen die Kooperationspartner den vorliegenden Prototyp für den Einsatz in komplexen Netzstrukturen weiterentwickeln und dabei auch weitere potentielle Anwender einbinden. Hauptaugenmerk ist dabei die Untersuchung und Bewertung der vielfältigen Anforderungen, die sich aus dem Einsatz innerhalb eines Verbunds aus zahlreichen heterogenen Teilnetzen ergeben.

Abschließend sollen die gewonnenen Erkenntnisse über sinnvolle Gestaltungs- und Anwendungsmöglichkeiten eines solchen Sensornetzwerks nicht nur für die Erhöhung der Informationssicherheit in Sachsen genutzt, sondern auch in die entsprechenden Gremien der Länder und des Bundes eingebracht werden.