Information und Bildungsarbeit von und für die SAP-Community

Big Data = Big Business?

Das Hype-Thema „Big Data“ macht natürlich auch vor der IT-Sicherheit nicht halt. Auch Insider wundern sich über die Zahl von Start-ups, die in den vergangenen drei Jahren mit Lösungen zu „Big Data based Threat Detection“ auf dem Markt aufgetaucht sind.
Raimund Genes, Trend Micro
1. September 2016
Security
avatar

Auf der vor Kurzem zu Ende gegangenen Black-Hat-Konferenz schien das neue Zauberwort „Artificial Intelligence“ zu sein, künstliche Intelligenz. Das Ziel ist es nicht mehr „nur“, mittels eines intelligenten Algorithmus verwertbare Daten aus den verfügbaren Datenquellen zu gewinnen – sondern auch das automatisierte (Er)finden des passenden Algorithmus.

Hintergrund ist sicherlich auch die Feststellung, dass sich die IT-Seite von Big Data skalieren lässt, die notwendige menschliche Kreativität und Erfahrung dagegen deutlich schwieriger.

Wohin die Reise gehen kann, zeigt die „Cyber Grand Challenge“, deren dem US-amerikanischen Verteidigungsministerium unterstehende Ausrichterin DARPA-Forschungsprojekte verwaltet.

Vereinfacht gesagt soll dieser Wettbewerb autonome Systeme schaffen, die Sicherheitslücken erkennen und schließen können. Was erst mal nach dem „nächsten Heiligen Gral“ der Abwehr von Angriffen auf Sicherheitslücken klingt, gewinnt deutlich an Brisanz, wenn man sich klarmacht, dass die Systeme in einem sogenannten Capture-the-Flag-Szenario gegeneinander antreten – und nicht nur versuchen, automatisiert Sicherheitslücken bei sich zu finden und zu schließen, sondern sie auch bei den anderen zu finden und auszunutzen.

Viele Technologien sind eben nicht eindeutig gut oder böse, entscheidend sind Einsatzszenario und Intention!

Doch auch trotz der Verbindung zum US-Verteidigungsministerium sollte man mit einem Generalverdacht vorsichtig sein. Immerhin entstanden aus öffentlichen ­DARPA-finanzierten Forschungsprojekten viele Technologien, die wir heute selbstverständlich als „gut“ wahrnehmen.

Prominentestes Beispiel ist das Internet.

Selbst wenn die Ergebnisse von der Cyber Grand Challenge beeindruckend waren, von einem autonomen System, das den Fähigkeiten eines Menschen „in Produktionsreife“ entspricht, sind wir noch weit entfernt. Viel weiter sind da schon die Dual-(Mis-)Use-Szenarien bei Big-Data-Technologien.

Phishing beispielsweise: Jeder kennt wahrscheinlich die gefälschten Mobiltelefonrechnungen oder Paketbenachrichtigungen, die unbedachte Nutzer auf Phishing-Seiten locken sollen.

Im Unternehmensumfeld sind sie sogar noch schlimmer als sogenannte ­Spear-Phishing-E-Mails – also E-Mails, die eine Person oder Gruppe auf Webseiten locken sollen. Meist als Vorstufe zu einem zielgerichteten Angriff.

Vor diesem Hintergrund verwundert es kaum, dass viele Lösungen für „Big Data based Threat Detec­tion“ sich die Erkennung von Phishing auf die Fahnen geschrieben haben. Man nutzt die Erkenntnisse aus Big-Data-Analysen, getreu dem Motto „Die Guten ins Töpfchen, die schlechten ins Kröpfchen“.

Allerdings lassen sich mit den gleichen Daten auch Rückschlüsse ziehen, welche Personen/Ziele besonders erfolgversprechend sind, welche Phishing-Inhalte besonders oft geklickt werden und in letzter Konsequenz von Sicherheitslösungen auch nicht entdeckt werden!

Genau dieses Szenario skizziert das auf der Black Hat vorgestellte Tool SNAP_R: Es generiert aus öffentlichen Twitter-Daten und einer Liste von Zielpersonen automatisch eine „Hitliste“ lohnenswerter Ziele – und, basierend auf Inhalten in deren Timeline, automatisch Tweets mit Links.

Diese werden nachweislich häufiger als vergleichbare Massen-­Phishing-Tweets angeklickt.

Obwohl SNAP_R als Automated-Spear-Phishing-Tool für Penetrationstester entwickelt wurde, sind dem (böswilligen) Einsatz keine Grenzen gesetzt. Unabhängig vom konkreten Werkzeug zeigt sich auch hier:

Eine Technologie ist oft weder eindeutig „gut“ noch „böse“.

Vielmehr lehrt uns die Geschichte, dass es vom Kontext und demjenigen abhängt, der sie einsetzt. Im Kontext der IT-Sicherheit gibt es (aktuell und zukünftig) Technologien, die einerseits helfen können, Angriffe besser zu erkennen und abzuwehren, andererseits aber dazu genutzt werden können, genau diese Angriffe gegen Abwehrmaßnahmen zu optimieren.

Bei aller Liebe zur Technologie sollten wir nicht auf den „Gral der IT-Sicherheit“ warten – sondern verfügbare Technologien nach einer Risikobewertung sinnvoll einsetzen.

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.