Zweites Projekttreffen von GLACIER fand Ende Juli in Hannover statt

Das noch recht junge BMBF-Projekt GLACIER traf sich am 30. Juli bei dem Forschungspartner Hochschule Hannover, um die erreichten Ergebnisse aus den ersten Arbeitspaketen zu besprechen. Die DECOIT® GmbH, die dieses Projekt als Konsortialführer und Entwicklungspartner federführend begleitet, konnte ein positives Resümee der ersten Monate feststellen. Inzwischen wurde die Projektwebseite (www.glacier-project.de) relauncht, die Anforderungen an ein SIEM-System bei den assoziierten Partnern abgefragt und die Auswahl der Software-Komponenten begonnen. Das Projekt hat daher seine Arbeiten trotz Sommerferien mit Hochdruck aufgenommen.

Abbildung: Eingang der Hochschule Hannover am Ricklinger Stadtweg
Abbildung: Eingang der Hochschule Hannover am Ricklinger Stadtweg

Im ersten Arbeitspaket stand die Aufnahme der Anforderungen der assoziierten Partner auf der Agenda. Dazu wurde der Standort Seehausen der hanseWasser GmbH (www.hansewasser.de) besichtigt und erste Systemlogs bereitgestellt. Die Anforderungen wurden gesammelt, diskutiert und in einer Tabelle zusammengefasst. Ähnlich wurde mit dem zweiten assoziierten Partner Plate Büromaterial Vertriebs GmbH verfahren. Es muss nun zwischen den Entwicklungspartnern geklärt werden, welche Priorität die einzelnen Anforderungen in dem laufenden Projekt bekommen, da sich nicht alle gewünschten Funktionen während der Laufzeit umsetzen lassen werden.

Des Weiteren wurde bereits an den Komponenten getüftelt, die die zukünftige Architektur von GLACIER besitzen soll. Durch bereits in der Vergangenheit durchgeführte Projekte bestehen hier größere Erfahrungen der einzelnen Partner, die als Basis verwendet werden können. Daher werden nun aktuelle Open-Source-Projekte untersucht, die für die Architektur infrage kommen könnten. Wichtigstes Kriterium dabei: es muss eine Normalisierung der Daten möglich sein, um eine einheitliche Auswertung und Zuordnung von Ereignissen umsetzen zu können. Des Weiteren sollte eine automatisierte Installationsroutine mit eingeplant werden, um den späteren Prototypen einfach und schnell neu aufzusetzen.

GLACIER hat zum Ziel die Anomalie-Erkennung sicherheitsrelevanter Netzwerkdaten zu verbessern. Dafür sind Testdaten notwendig, die Anomalie-Daten beinhalten. Um diese zur Verfügung zu stellen wird gerade eine Laborumgebung beim Partner rt-solutions gmbh aufgebaut, die sog. Honeypots beinhaltet. Diese sollen interessante Daten sammeln und für Auswertungszecke zur Verfügung stellen. Damit dies Datenschutzkonform passiert, wird noch an dem entsprechenden Konzept gearbeitet. Grundsätzlich muss eine Datenanalyse sehr schnell ablaufen und zu diesem Zwecke eine Dimensionshierarchie beinhalten. Das heißt, zu jedem Event müssen entsprechende Metainformationen (z.B. IP-Adresse, Geolocation) hinterlegt werden. Dabei ist auch zu bedenken, dass nicht alle Anomalien gleichzeitig eine Bedrohung darstellen. Um das zu erkennen sollten die Daten vollständig vorliegen – keine triviale Aufgabe, an der die Hochschule Hannover arbeitet.

Im nächsten Schritt wird nun die High-Level-Architektur angegangen, die verschiedene Dienste, Funktionen und Datenbanken beinhalten wird. Neben dem Zusammenspiel der geplanten Komponenten muss dabei die Normalisierung der Daten beachtet werden. Das nächste Konsortialtreffen ist Anfang November in Köln bei der rt-solutions gmbh geplant. Bis dahin will man diesen Punkt abgeschlossen haben.

Zurück