www.lrz.de/presse/ereignisse/2022-06-26-CSIRT-dt

Offene Wissenschaft intelligent gesichert

sicher

IT-Security. Foto: Fly d'Art/Unsplash

Künstliche Intelligenz unterstützt die Sicherheit: Das Leibniz-Rechenzentrum (LRZ) lässt die Computersysteme und Netzwerke von smarten Programmen überwachen. In den Protokollen zu den Zugriffen aufs Münchner Wissenschaftsnetz (MWN) und Signaturen suchen sie permanent und automatisch nach vorgegebenen Mustern. Und erkennen daran, ob ein Mensch nur einen IT-Dienst benötigt oder ob etwa ein Botnet Systeme attackiert. Diese bestehen aus bereits infizierten Geräten und werden ferngesteuert, um Spam oder Schadsoftware zu verbreiten, die Steuerung von Computern zu übernehmen oder diese mit sinnlosen Aufgaben zu überlasten. In diesem Fall schlagen die smarten Programme Alarm – und das Computer Security Incident Response Team (CSIRT) bekommt alle Hände voll zu tun: „In nur wenigen Minuten kann ein Sicherheitsvorfall den Betrieb unserer Rechner und Systeme stören“, erklärt Stefan Metzger, Diplom-Informatiker und Leiter des Teams. „Wir analysieren den Incident, schützen sofort unsere Ressourcen, informieren die beteiligten Institutionen, vor allm unsere Kund:innen und sorgen dafür, dass die Dienste wieder zuverlässig funktionieren.“ Dank eingespielter und dokumentierter Prozesse war der SuperMUC-NG nach einem schweren Angriff 2020 relativ schnell wieder arbeitsbereit, trotz notwendiger Abstimmungen mit externen Stellen wie Ermittlungsbehörden.

Offene Wissenschaft gegen Sicherheitsstrategien

Vor etwa zehn Jahren wurde das CSIRT am LRZ ins Leben gerufen, aus der Aufgabe für eine Person ist ein Team aus zehn IT-Spezialist:innen gewachsen. „Bei uns sammeln sich Erfahrungen zu Betriebssystemen, Netzen, Hard- und Software, damit wir selbst komplexe Vorfälle abdecken können“, so Metzger. „Waren Hochschulen und Forschungsinstitutionen eher selten Ziele für Angreifer, werden sie inzwischen gezielt attackiert, um den Betrieb zu stören oder um Forschungsergebnisse zu stehlen. Je sensibler die gespeicherten Daten, umso größer die Risiken“ Das CSIRT achtet daher auf den Schutz der Zugänge zu Gebäuden wie etwa dem Rechnerwürfel des LRZ, vor allem aber sichert es die elektronischen Kommunikationswege gegen Eindringlinge ab. Mehrmals in der Woche melden die smarten Systeme Angriffe aufs MWN, mit denen Computer missbraucht und lahmgelegt, Daten abgegriffen oder die Systeme des LRZ gescannt werden, um mehr angreifbare Geräte aufzuspüren.

„Sicherheitsmaßnahmen schränken ein“, gibt Metzger zu und beschreibt damit auch einen grundlegenden Konflikt: „Unsere Kund:innen erwarten aber Freiheiten.“ In einer offenen Wissenschaft muss der Datenaustausch einfach, die Netze und Computerressourcen folglich unkompliziert zugänglich sein. Daher agieren Hochschulen und deren Institute im MWN weitgehend autonom, das LRZ stellt ihnen Technik und IT-Services, doch um die Sicherheit ihrer Computer und lokalen Netze kümmern sie sich meistens selbst. Verwenden die Adminstrator:innen aber alte Software-Versionen und Sicherheits-Protokolle, vereinfacht das Attacken. Verbote begrenzen Austausch, stattdessen setzt das LRZ auf sichere Dienste wie LRZ Sync + Share für den Informationsaustausch, Firewalls und Virtual Private Networks (VPN) für gesicherte Verbindungen zum MWN und zu Systemen. Weitere Werkzeuge stammen aus Technologie-Partnerschaften, etwa mit dem pan-europäischen Netz Géant, dem Verein Deutsches Forschungsnetz (DFN), der Globus Alliance oder Diensten wie URLhaus, einer Datenbank für schädliche Internetadressen, die das LRZ regelmäßig aus seinem Monitoring füllt.

Wissen teilen und sich gegenseitig stärken

Aufklärung ist eine weitere Maßnahme, denn raffinierte Angriffstaktiken sind bislang eher selten: „Viel öfter wollen sich Unbefugte mit Hilfe von einfach zu erratenden Passwörtern oder kompromittierten Kennungen Zugang zu Systemen oder Postfächern verschaffen“, beobachtet das CSIR-Team. Laut Datenbank HaveIbeenpwned, auch mit dieser kooperiert das LRZ, sind aktuell rund 7 Prozent oder 25.124 von 315.183 Passwörtern kompromittiert – ihre Besitzer:innen werden informiert, dass sie ihre Zugangsdaten ändern sollen. Auch die Universitäten werden regelmäßig über kompromittierte Kennungen informiert. Spätestens zwei Wochen danach verlieren diese ihre Gültigkeit.

Mehr Sicherheit bietet außerdem eine Zwei- oder Mehr-Faktoren-Authentifizierung, die das Security- und Identity-Management-Team in Zusammenarbeit im LRZ 2021 aufgebaut hat. Neben einem persönlichen Passwort wird für die Nutzung eines Dienstes ein weiterer Code verlangt, am LRZ wird dieser auf einem separaten Gerät erzeugt. Was im MWN für Sicherheit sorgt, kann auch die bayerische Hochschul- und Forschungslandschaft stärken: Das LRZ berät In Sachen Mehr-Faktoren-Authentifzierung inzwischen seine Kundschaft und unterstützt sie aktiv bei der Einführung und bringt seine Erfahrungen in das Projekt Bayern2MFA ein. Außerdem arbeitet das LRZ am Aufbau der hochschulübergreifenden IT-Security-Community HITS in Bayern mit. Wissen und Erfahrungen teilen. Das war schon immer die intelligentere Strategie gegen Angriffe. (vs)

Zum Weiterlesen:

• Albrecht Ude (Hrsg.): Sicherheit in vernetzten Systemen. Hamburg 2022, im Tagungsband zur 29. DFN-Konferenz 2022 finden sich Beiträge von IT-Security-Spezialist:innen des LRZ, etwa zur Mehrfaktoren-Authentifizierung, zu einem Dokumentationssystem sowie zur Sicherheit in vernetzten Systemen.  

• S. Metzger, W. Hommel, H. Reiser: Integriertes Management von Sicherheitsvorfällen, München 2011