Am 6-7. Oktober fand in Potsdam das dritte KuVS Fachgespräch zum Thema “Machine Learning and Networking” statt. Genua berichtete mit ihrem Vortrag “Passive Investigation of Networks and Classification of the discovered Assets according to the IT Basic Protection of the BSI” über ihre im Rahmen von Wintermute gewonnenen Erkenntnisse betreffs geeigneter Charakterisierungen von Netzwerkteilnehmern.

Administratoren fällt es oft schwer, den Überblick über ihr Netzwerk zu gewinnen und die kommunizierenden Geräte in sinnvolle Gruppen einzuteilen. Bisherige Forschungsansätze dazu leiden oft an einem Mangel benutzten Domainwissens, scheitern an der fehlenden Akzeptanz der Gerätegruppierung oder bedürfen aktiver Scans. In unserem Ansatz soll diese Gruppierung gemäß der Bausteine des IT-Grundschutzes durch passive Beobachtung des Netzwerkverkehrs erreicht werden.

Eine solche Gruppierung ist aus mehreren Gründen sinnvoll. Der Administrator erhält einen unmittelbaren Überblick über Art und Eigenschaften der in seinem Netzwerk kommunizierenden Systeme. Darüber hinaus können wertvolle Informationen zur Sicherstellung der Compliance etwa im Rahmen einer Zertifizierung der IT-Landschaft bereitgestellt werden. Eine moderne Mikrosegmentierung des Netzwerkes kann vorbereitet und unterstützt und damit die Gesamtsicherheit des Netzwerkes erhöht werden: Aufgrund der so vergebenen Tags können mittels geeigneter Netwerkgeräte Policies zur Einschränkung der Kommunikation zwischen den Systemen durchgesetzt werden.

Ein einheitliches und zumindest teilautomatisiertes Vorgehen fördert hier die Effektivität, erfordert aber Fachwissen, das nicht in jeder Organisation in der erforderlichen Tiefe verfügbar ist. Hier wollen wir mit Expertensystemen und einem am IT-Grundschutz orientierten Vorgehen den Einstieg und den Alltag im Betrieb von Netzwerken erleichtern und nach den Anforderungen der Organisation sicher machen.