Die Detektive im Firmennetz

Die IT-Sicherheit hat im Businessumfeld in letzter Zeit mehr und mehr Beachtung gefunden. Allerspätestens seit den großen Cyberangriffen im Jahr 2017 und der Datenschutz-Grundverordnung der EU steht die Sicherheit des Firmennetzwerks wieder weit oben auf der Prio­ritätenliste von Informatikverantwortlichen und Managern – nicht zuletzt auch aufgrund des massiven finanziellen Schadens, der durch einen Breach verursacht werden kann. Während sich jedoch "herkömmliche" Angriffe wie Ransomware-Attacken in der Regel mit einer guten IT- Security-Strategie weitgehend verhindern lassen, stellen sogenannte Advanced Persistent Threats – APT genannt – neue Herausforderungen an die Sicherheit von Unternehmen. Damit sind unauffällige, gezielte Angriffs- oder Ausspähversuche gemeint. Gelingt es Hackern, sich Zugang zu einer Organisation zu verschaffen, bewegen sie sich meist über längere Zeit innerhalb des Unternehmensnetzwerks, bevor sie schließlich die gesammelten Daten rauben.

Die IT-Sicherheit beschäftigt David Gugelmann schon seit Längerem. Er forschte an der ETH Zürich auf diesem Gebiet, 2015 publizierte er seine Doktorarbeit zum Thema Datenlecks und dem Verlust der Privatsphäre in Bezug auf den Webverkehr. Im selben Jahr wurde er zusammen mit Fabian Gasser und Bernhard Ager, beide ebenfalls von der ETH, sowie Vincent Lenders von Armasuisse an der "Digital Forensic Research Conference" in Dublin ausgezeichnet. Im Rahmen eines gemeinsamen Forschungsprojekts der ETH und Armasuisse skizzierten die vier eine neuartige Methode für die forensische Analyse von Netzwerkverkehrsdaten als Mittel gegen moderne Bedrohungen im Cyberspace. Das Paper "Hviz: HTTP(S) Traffic Aggregation and Visualization for Network Forensics" wurde an der Forschungskonferenz mit dem Best Paper Award ausgezeichnet.

Der innovative Ansatz zur Erkennung und Visualisierung von auffälligem Webtraffic im Firmennetz blieb nicht un­bemerkt. Ein Sicherheitsforscher von IBMs X-Force schrieb in einem Blog-Beitrag, dass "Hviz" Cyber-Security-Experten bei der Untersuchung des Webverkehrs unterstützen könne, um Malware oder bösartige Aktivitäten zu entlarven. Er resümiert: "It has the potential to be some of the most fascinating network forensics to come along in a good while."

Die Zeilen des Forschers ließen Gugelmann nicht kalt. Dennoch musste er die Geschäftsidee zunächst auf die lange Bank schieben – 2015 hatte für ihn der Abschluss seiner Doktorarbeit Priorität. Dass die Geschichte ein Jahr später wieder ins Rollen kam, verdankte er seinem späteren ersten Kunden. "Das Unternehmen fand den Ansatz ebenfalls spannend und fragte mich an, ob ich das Projekt nicht umsetzen wolle", erzählt Gugelmann. So kam es, dass er schließlich noch im selben Jahr Exeon Analytics gründete und den heutigen Chief Technology Officer Adrian Gämperli dazuholte. Das Management wurde später durch den Chief Research Officer Markus Happe komplettiert. Alle drei kannten sich bereits von ihrer Forschungszeit an der ETH.

In Punkto Finanzierung entschied sich das Gründerteam zu Beginn für das "Bootstrapping". Will heißen, das Start-up verzichtete zunächst auf Gelder von Investoren und finanzierte sich aus der eigenen Tasche. Möglich war dies laut Gugelmann, weil beim Start-up bereits einige Tage nach der Gründung der erste Vertrag auf dem Tisch lag. Dem ersten Kunden verkaufte Gugelmann noch kein fer­tiges Produkt, sondern führte für diesen verschiedene Forschungsprojekte durch. Mit den Aufträgen konnte die Firma rasch Einnahmen generieren. "Für uns war das eine relativ gute Ausgangslage, die uns zu dieser Zeit mehr Freiheit verschaffte", sagt Gugelmann. In den "klassischen" Start-up-Modus wechselte das Team vor rund einem Jahr. Anfang 2018 schloss Exeon Analytics mit VentureKick die Seed-Runde ab. Mit an Bord sind Investoren wie DIventures sowie auch einige Business Angels, beispielsweise Ariel Lüdi.

Laut Gugelmann ist das Grundproblem großer Firmen heute, dass in ihren Netzwerken täglich Millionen von Interaktionen stattfinden und Hunderttausende Webserver kontaktiert werden. Für Angreifer heißt das, dass sie sich zwischen Millionen ganz normaler Webaktivitäten unsichtbar machen können. "Das macht es extrem schwierig, diese aufzuspüren", sagt der Unternehmer. Hier kommt nun der Ansatz zum Zug, den Gugelmann im Paper zur Netzwerkforensik beschrieben hatte und später mit seinem Team bei Exeon Analytics weiterentwickelte.

Mit "Exeon Trace" ging Gugelmann im Frühling dieses Jahres auf den Markt. Die Lösung analysiert Log-Dateien von Secure Web Gateways und Firewalls – also dem gesamten ausgehenden Webtraffic, wie das Internetbrowsing der Mitarbeitenden oder der Verkehr der Server, die sich Updates herunterladen. Die Software nimmt dabei jeden Datenpunkt unter die Lupe und kann so die versteckten Databreaches finden, auch bei HTTP- und HTTPS-Verbindungen. Das Herzstück von "Exeon Trace" sind die Algorithmen, die für die Erkennung der bösartigen Aktivitäten zuständig sind. Sie analysieren und bewerten die einzelnen Datenpunkte anhand von rund 20 verschiedenen Features. Aufgrund vortrainierter Modelle, die Exeon Analytics mitliefert, kann die Machine-Learning-Komponente rekon­struieren, was zum normalen Webbrowsing gehört und was nicht. Was von der Norm abweicht, wird schließlich heraus­gefiltert und genauer untersucht. Wichtig ist bei der Erkennung laut dem CEO zusätzlich, dass die Algorithmen richtig ausgerichtet sind und nicht zu viele Fehlalarme produzieren. Je klarer aber die Daten, desto sicherer ist sich das System. Zudem lernen die Algorithmen ständig dazu.

Als Beispiel für einen APT-Angriff nennt Gugelmann die Attacke auf das Rüstungsunternehmen RUAG. Beim Konzern wurde täglich bis zu 1 GByte an Daten entwendet, insgesamt waren es 20 GByte. Der Konzern bemerkte dies jedoch während Monaten nicht, weil der Datenabfluss im regulären Webbrowsing unterging. "Natürlich kennen wir nicht alle Details zu diesem Fall. Ich würde aber behaupten, dass wir dies mit unserer Software innerhalb von ein bis zwei Tagen detektiert hätten", meint Gugelmann.

Mit seiner Lösung "Exeon Trace" will der Start-up-Gründer herkömmliche Antiviren-Software nicht ersetzen. "Die ist nach wie vor sehr nützlich, etwa zur Abwehr von Standardinfektionen", sagt er. "Wir detektieren die Breaches aber, nachdem die Infektion bereits stattgefunden hat. Unser Produkt ist also gewissermaßen ein Sicherheitsnetz, für den Fall, wenn eine Bedrohung an der Antiviren-Software vorbeikommt." So erkennen die in "Exeon Trace" eingebauten Detektoren die einzelnen Schritte, die Cyberkriminelle bei einem APT-Angriff nach einer Infektion machen – von der Bewegung im Unternehmensnetz bis zur Exfiltration der Daten. Mit dem Ziel, Letzteres zu verhindern.

Bei einer großen Schweizer Bank sowie einer großen staatlichen Organisation ist "Exeon Trace" nun bereits im Einsatz. Dass so schnell erste Projekte anlaufen, sei für den Security-Bereich nicht selbstverständlich, sagt Gugelmann. "Nicht selten geht es ein Jahr oder noch länger, bis Kunden überhaupt eine Zusage für ein Proof of Concept erteilen." Beim Start-up klappte es jedoch deutlich schneller. Gründe dafür sieht der Experte verschiedene: Die meisten Unternehmen würden die für die Analyse nötigen Daten sowieso schon aufzeichnen – Banken etwa aus Compliance-Gründen. "Sie haben also die Datengrundlage, nur fehlen ihnen die Algorithmen, um sich diese im Detail anzuschauen." Die Lösung könne dann on-top sehr einfach aufgesetzt werden. Zudem sei die Lösung schnell produktiv. Laut An­gaben des Gründers könne man bereits innerhalb eines Tages mit den ersten Insights rechnen.

Momentan arbeitet Exeon Analytics vorwiegend direkt mit Kunden zusammen. Parallel dazu ist das Unternehmen daran, Partnerschaften mit Consulting-Firmen aufzubauen. Auch an Interesse aus der Branche mangelt es nicht. "Mit vier sehr großen IT-Consulting-Unternehmen werden wir wohl bald Projekte lancieren." Auch habe das Start-up bereits Anfragen von einer großen Network-Security-Firma aus den USA und von einer aus China erhalten. "Das ist natürlich schön, momentan liegt für uns die Hauptpriorität jedoch bei den Partnerschaften mit den Consulting-Firmen und beim Aufgleisen neuer Kundenprojekte."

Als eines der siegreichen Jungunternehmen an der letzten Swisscom StartUp Challenge konnten Gugelmann und Gämperli kürzlich für ein Accelerator-Programm ins Silicon Valley reisen. Das sei für sie noch ein ziemlich hartes Pflaster. "Es gibt dort sehr viele Security-Start-ups, oftmals gegründet von jungen Leuten, die direkt mit einem Bachelor von der Uni kommen." Von diesen will sich der Gründer klar abgrenzen und bei den Investoren mit langjähriger Forschungs- und Industrieerfahrung punkten. "Das muss man ihnen aber erst mal klarmachen – am besten gelingt das, wenn man hochkarätige Kunden vorweisen kann."