Fast immer, wenn die Öffentlichkeit von Datendiebstählen oder Ausspäh-Attacken erfährt, können Forensiker relativ genau beziffern, welche und wie viele Datensätze gestohlen wurden und wie sich die Angreifer Zugriff auf das System verschafft haben. Auskunft geben vor allem die von den Servern aufgezeichneten Logfiles. Ernüchternder Gedanke: Die gleichen Daten, die Experten dazu dienen, den Schaden zu beziffern, hätten – frühzeitig ausgewertet – auch dazu dienen können, den Schaden zu verhindern.
Diesen Ansatz verfolgt das Unternehmen LogRhythm, über dessen Sicherheitsplattform sich Besucher der CeBIT informieren konnten. Die LogRhythm-Plattform wertet alle anfallenden Daten – neben Log-Dateien auch Event-, Anwendungs-, Flow- und weitere Daten, Paketinformationen, Prozessstarts und Ähnliches – in Echtzeit aus. Aus dem Start neuer Prozesse und anormalem Netzwerkverkehr erkennt sie die Aktivitäten maßgeschneiderter Schadsoftware. Auch auf Nutzer, deren Aktivitäten auffällig vom normalen Verhalten abweichen, wird die Plattform aufmerksam, ebenso wie auf den Abfluss geschäftskritischer Daten. Administratoren erhalten augenblicklich entsprechende Warnmeldungen, das System selbst kann mit zuvor festgelegten Maßnahmen auf den Sicherheitsbruch reagieren und damit meist den größten Schaden verhindern. (Quelle: LogRhythm/db)