Mit Honig lockt man Hacker - 1

Technische Universität Darmstadt

Cybersicherheit an der Technischen Universität (TU) Darmstadt

Was haben Lampe, Kaffeevollautomat und Autoschlüssel gemeinsam? Sie alle sind inzwischen fast selbstverständlich mit Chips ausgestattet und können mittels Smartphones gesteuert werden. Doch die Bequemlichkeit im Alltag birgt Gefahren: Organisierte Angriffe im Netz nehmen immer weiter zu – und gerade das ‚Internet der Dinge’ (IoT) öffnet Hackern Tür und Tor. Denn die Kapazität von Funksteckdosen und Co ist meist stark eingeschränkt, die Software wird von den Herstellern nicht gepflegt. Die Sicherheit ist so nicht gewährleistet. Das Botnetz Mirai zum Beispiel nutzt immer wieder gezielt diese Schwachstellen aus, um über einen Zusammenschluss vieler IoT-Geräte ganze Dienste wie Twitter lahmzulegen. Auch der Ausfall tausender DSL-Router der Telekom im November 2016 ging von Mirai aus. Man schätzt, dass mittlerweile mindestens drei Millionen IoT-Geräte weltweit infiziert sind. Tendenz stark steigend. Kriminelle bieten solche Netze bereits zur Miete an.

Das Fachgebiet Telekooperation an der TU Darmstadt unter Leitung von Prof. Max Mühlhäuser forscht über die Bedrohung durch Cyberangriffe allgemein – unter anderem mit dem „TU Darmstadt Cyber Incident Monitor“. Um Informationen über Angriffe und deren Vorbereitungen zu sammeln, haben die Darmstädter überall auf der Welt gezielt Köder ausgelegt, so genannte Honeypots. Das sind Rechner, die so tun, als wären sie ungeschützt, in Wirklichkeit aber eben die Strategien der Angreifer auslesen: „Wir schauen den bösen Jungs beim Hacken zu und zeichnen deren Kommandos so auf, als wären wir ein wirkliches Opfer“, erklärt Dr. Florian Volk, Research Strategy Coordinator. „So können wir schauen, was genau versucht wird und welche Art von Angriffen gerade angesagt ist.“ Dabei geht es weniger um gezielte Attacken, sondern vor allem um breit gestreute Aktionen nach dem Gießkannen-Prinzip. Sämtliche Informationen stellen die Forscher der Öffentlichkeit und anderen Wissenschaftlern live auf www.tracingmonitor.org zur Verfügung. So soll auch ein allgemeines Bewusstsein der Bedrohungslage etabliert werden.

Auf der Jagd nach Anomalien
Doktorand Carlos Garcia Cordero sucht auf Basis dieser Daten nach Methoden, um künftige Bedrohungen zu erkennen und geeignete Verteidigungsstrategien zu entwickeln. „Heute wissen wir, was ein Angreifer gestern gemacht hat. Ein Teil unserer Vision ist es aber, zumindest gleichziehen zu können.“ Um das zu erreichen, setzt Carlos auf künstliche Intelligenz: ‚Deep Learning’ ist das magische Wort und das zaubert dem schüchtern wirkenden Mexikaner ein Lächeln auf die Lippen. Denn diese Rechenverfahren orientieren sich grob an der Arbeitsweise des Gehirns und dem Prinzip, aus der Erfahrung zu lernen. Einfacher gesagt: Die Programme von Carlos erkennen Anomalien in Netzwerken und können sie als gut- oder eben bösartig einstufen – und entsprechende Gegenmaßnahmen ergreifen. Fernziel ist es, auch unbekannte Angriffe so zumindest als solche zu erkennen und sie zu vereiteln. Die Faszination für das Thema spürt man bei jedem Satz, jeder Erklärung von Carlos. Schon mit elf hat er mit dem Programmieren angefangen, nach Stationen in Schottland und seiner Heimat bewarb er sich bewusst in Darmstadt: „Ich wollte ganz gezielt hierher, weil in Darmstadt ein starkes Team vorhanden war und man hier etwas bewegen kann.“

In Kürze folgt Teil 2