Erkennen einer fortgeschrittenen, andauernden Bedrohung in der öffentlichen Verwaltung unter Einsatz von Honeytoken und Honeypots

Master-Studiengang Information Security

Dipl.-Ing. Michael Eichinger, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage

Im Leitbild der IT-Sicherheit des Bundesministeriums für Inneres ist das Bekenntnis zur Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit, Verbindlichkeit und nicht zuletzt die Rechtsstaatlichkeit als fester Bestandteil verankert. Kriminelle Akteure nutzen immer mehr das Internet und werden zunehmend zur Bedrohung auch für staatliche Einrichtungen. War es in der Vergangenheit das Ziel der Kriminellen, durch Industriespionage oder den Einsatz von Erpressungstrojanern, rasch an Geld zu gelangen, haben heute immer mehr mutmaßliche staatlich nahestehende Organisationen die Bedeutung der politischen Einflussnahme durch kriminelle Aktivitäten im Internet erkannt. Als prominentestes Beispiel wird hier nur der Präsidentschaftswahlkampf 2016 in Amerika genannt, der bis heute in den Medien präsent ist. Selbst unser Nachbarland Deutschland schaffte es die letzten Jahre mit dem Cyberangriff auf den deutschen Bundestag immer wieder in die Medien. Damit fest verbunden ist auch der sogenannte Advanced Persistent Threat oder abgekürzt APT. In Deutsch bedeutet dies so viel wie fortgeschrittene, andauernde Bedrohung. Große und namhafte Hersteller versuchen mit technischen Lösungen gegen derartige Bedrohungen anzukämpfen. Das schwächste Glied in der Verteidigungskette gegen Cyber Angriffe ist der Mensch und hier kann nur sehr schwer technische Abhilfe geschaffen werden.

Ziel

Am Beispiel der IKT-Infrastruktur des Bundesministeriums für Inneres in Vertretung für die gesamte öffentliche Verwaltung wird versucht eine Lösung zu zeigen, wie und wo Honeytoken und Honeypots platziert werden müssen, um so effektiv wie möglich eine weitere Verteidigungslinie gegen Cyber-Angriffe zu schaffen.

Ergebnis

In der vorliegenden Arbeit wird anhand der eigens entwickelten APT-Detection mit den dazugehörigen Honeypot-Sensoren gezeigt, wie zusätzliche Unterstützung im Kampf gegen Cyber Bedrohungen geschaffen werden kann. Es werden Möglichkeiten aufgezeigt, wie durch die Verteilung von unterschiedlichen Honeytoken und Honeypotarten in einem Netzwerk, zur Erhöhung der Sicherheit im Kampf gegen fortgeschrittene, andauernde Bedrohungen beigetragen werden kann.