Das Internet hat sich mit einer beispiellosen Geschwindigkeit in den
Lebensalltag integriert. Umfangreiche Dienste ermöglichen es,
Bestellungen, finanzielle Transaktionen, etc. über das Netz
durchzuführen. Auch traditionelle Dienste migrieren mehr und mehr in das
Internet, wie bspw. Telefonie oder Fernsehen. Die finanziellen Werte,
die hierbei umgesetzt werden, haben eine hohe Anziehungskraft auf
Kriminelle: Angriffe im Internet sind aus einer sicheren Entfernung
heraus möglich, unterschiedliches IT-Recht der verschiedenen Länder
erschwert die grenzüberschreitende Strafverfolgung zusätzlich.
Entsprechend hat sich in den letzten Jahren ein milliardenschwerer
Untergrundmarkt im Internet etabliert. Um Systeme und Netze vor
Angriffen zu schützen, befinden sich seit über 30 Jahren Verfahren zur
Einbruchsdetektion in der Erforschung. Zahlreiche Systeme sind auf dem
Markt verfügbar und gehören heute zu den Sicherheitsmechanismen jedes
größeren Netzes. Trotz dieser Anstrengungen nimmt die Zahl von
Sicherheitsvorfällen nicht ab, sondern steigt weiterhin an. Heutige
Systeme sind nicht in der Lage, mit Herausforderungen wie
zielgerichteten Angriffen, verschlüsselten Datenleitungen oder
Innentätern umzugehen. Der Beitrag der vorliegenden Dissertation ist die
Entwicklung einer Architektur zur Ein- und Ausbruchserkennung in
verschlüsselten Umgebungen. Diese beinhaltet sowohl Komponenten zur
Erkennung von extern durchgeführten Angriffen, als auch zur
Identifikation von Innentätern. Hierbei werden statistische Methoden auf
Basis einer verhaltensbasierten Detektion genutzt, so dass keine
Entschlüsselung des Datenverkehrs erforderlich ist. Im Gegensatz zu
bisherigen Methoden benötigt das System hierbei keine Lernphasen.
Ausgehend von einem Szenario der IT-Struktur heutiger Unternehmen werden
die Anforderungen an ein System zur Ein- und Ausbruchserkennung
definiert. Da eine Detektion die Kenntnis entsprechender, messbarer
Ansatzpunkte benötigt, erfolgt eine detaillierte Analyse ein