Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software

Die Erfindung betrifft Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software.

Angriffe mit Schadcode (engl. Malware-Programme), die unberechtigt auf Rechnersysteme übertragen werden, in der Absicht, die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten, Anwendungen oder des Betriebssystems auf diesem Rechnersystem zu schädigen, sind über die letzten Jahre eine ernsthafte Bedrohung geworden. Bekannte Typen von Malware sind Viren, Würmer, Trojanische Pferde, Rootkits und Spyware . Die Verbreitung bzw. Infizierung mit Schadcode kann über E- Mail, Web-Sites, Datei-Downloads und FileSharing sowie Peer- to-Peer-Software, Instant-Messaging und auch durch direkte persönliche Manipulation von Rechnersystemen erfolgen.

Zur Lösung dieser Angriffe sind Realisierungen bekannt. Beispielsweise beschreibt ein deutsches Gebrauchsmuster

DE 10 2010 008 538 AI mit einem Titel „Verfahren und System zum Erkennen einer Schadsoftware" eine Lösung zum Erkennen von Schadsoftware in einem Computerspeichersystem. Ein weiteres deutsches Gebrauchsmuster DE 20 2013 102 179 Ul mit dem Titel „System zum Detektieren von durch eine Maschine ausgeführtem Schadcode" beschäftigt sich mit einem System zum Detektieren von Schadsoftware, deren Code durch eine virtuelle Maschine ausgeführt wird.

Ferner werden heute sicherheitskritische Systeme, die in Sondernetzen betrieben werden, nicht direkt mit dem Internet verbunden, sondern sind zunächst nur über ein weiteres Netzwerk, z.B. ein Büronetzwerk oder Netzwerk zum Konfigurieren des Sondernetzes, erreichbar. Geschützte Sondernetze sind dabei Computernetzwerke, die durch geeignete technische Maßnahmen, wie z.B. Firewall (Schutzwall) oder air-gap (Luftspalt) , von anderen Netzen wie Büronetzwerken und dem Internet getrennt sind. Beispiele für betrachtete Systeme sind Industriesteueranlagen z.B. in kritischen Infrastrukturen oder Systeme zur Verarbeitung sensibler Daten .

Ein Beispiel für ein Sondernetz ist ein Automatisierungsnetz einer Fertigungsstraße, in der die Fertigungsroboter Sicherheitskritische Systeme darstellen. Somit wird durch die „Abkopplung" vom öffentlichen Netz ein Schutz des Sondernetzes vor einem aus dem öffentlichen Netz startenden Malwareangriff ermöglicht. Zudem werden auf den sicherheitskritischen Systemen in dem Sondernetz auch traditionelle Erkennungsmechanismen wie Anti-Virus eingesetzt.

Jedoch zeigt sich, dass die Abkopplung des Sondernetzes und Überwachung von Malwareangriffen im laufenden Betrieb des Sondernetzes keinen absolut zuverlässigen Schutz vor gezielten Angriffen bieten, da bspw. durch Nutzer infizierte Daten aus dem weiteren Netzwerk in das Sondernetz übertragen werden können. Selbst bei einer physikalischen Trennung des weiteren Netzwerks und des Sondernetzes können infizierte Daten über mobile Datenträger, wie z.B. USB-Sticks (USB - Universal Se- rial Bus) , in das Sondernetz und somit auf die sicherheitskritischen Systeme gelangen. Dies tritt unter anderem bei autonomer, selbst-propagierender Schadsoftware auf.

Es ist daher eine Aufgabe der Erfindung, eine Erkennung von Angriffen, insbesondere durch selbst-propagierende Schadsoftware, auf ein sicherheitskritisches System in einem Sondernetzen zu verbessern.

Die Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen. Die Erfindung betrifft ein Verfahren zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung gekoppelt ist, mit folgenden Verfahrensschritten: a) Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;

b) Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten von zumindest einer zweiten Recheneinheit in dem zweiten Netzwerks spezifiziert;

c) Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;

d) Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator,

e) Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis ein festlegbarer Schwellwert überschritten wird.

Das Verfahren zeigt den Vorteil, dass der spezifische Schadsoftwaretyp „autonome, selbstpropagierende Schadsoftware" dadurch erkannt werden kann, dass dieser auf zwei unabhängigen Recheneinheiten, die jeweils unterschiedlichen Netzen angehören, auftritt. Dieser Fall ist insbesondere im industriellen Umfeld von höchster Bedeutung, da dort in sogenannten Sondernetzen für Schadsoftware-Befall kritische Systeme sind, wie z.B. Fertigungsstraßen, Robotersysteme, Gelddruckmaschinen. Diese Sondernetze können von anderen Netzen, wie Büronetz mit Computern zur Datenverarbeitung, physikalisch getrennt oder zumindest durch elektronische Zugangskontrollen derart entkoppelt sein, dass ein Datenaustausch nur in besonderen Fällen stattfinden kann.

Das Verfahren ist für jede Art von autonome, selbstpropagierender Schadsoftware universell einsetzbar, so dass auch für unbekannte Schadsoftware des genannten Typs eine hohe Er- kennungsrate erzielt werden kann. Unter dem Begriff Verhalten wird im Rahmen dieser Beschreibung ein oder mehrere Aktivitäten verstanden, die die jeweilige erste bzw. zweite Recheneinheit durchführt, wie beispielsweise Schreiben oder Lesen von Daten oder bestimmten Dateinamen auf bzw. von eine der jeweiligen Recheneinheit zugeordneten Speichereinheit, Starten, Pausieren, Stoppen oder Beenden von Prozessen, z.B. mit jeweils bestimmten Prozessnamen/ oder -identifikatoren . Das Verhalten kann zu einem bestimmten Zeitpunkt einen Zustand der jeweiligen Recheneinheit bzw. der zugeordneten Aktivitäten und/oder über einen Zeitraum Veränderungen der jeweiligen Aktivitäten beschreiben.

In vorteilhafter Weise wird durch das erste Netzwerk ein System zur Überwachung und/oder Steuerung technischer Prozesse von Industrieanlagen und durch das zweite Netzwerk ein Bürokommunikationsnetz gebildet. Gerade hierbei ist der Einsatz des Verfahrens besonders wirkungsvoll, da das Büronetz aufgrund seiner Verbindung zu anderen Netzen, wie das Internet, zum Austausch von Informationen mit Externen, in besonderer Weise anfällig für autonome, selbstpropagierende Schadsoftware ist. Zudem benutzen dieselben Personen jeweilige Recheneinheiten im ersten und zweiten Netzwerk, sodass durch einen Datenaustausch ein hohes Gefährdungspotential durch autonome, selbstpropagierende Schadsoftware im ersten Netzwerk, also im Sondernetzwerk, besteht.

In einer optionalen Weiterbildung der Erfindung wird durch den zumindest einen ersten Indikator und den zumindest einen zweiten Indikator das jeweilige Verhalten in Bezug auf zumindest eine der folgenden Informationen der zumindest einen ersten Recheneinheit und der zumindest einen zweiten Recheneinheit bestimmt:

- Zumindest ein Dateiname auf einem Speichermedium;

- Zumindest ein Name eines laufenden oder gestoppten Prozesses;

- Zumindest ein Ergebnis eines Intrusion-Detection-Systems ; - Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks.

Die Verwendung zumindest einer dieser Informationen ist vorteilhaft, da die jeweilige Information ohne großen technischen Aufwand ermittelt werden kann und zudem in einfacher Weise einen Nachweis für ein Vorhandensein von autonomer, selbstpropagierender Schadsoftware ermöglicht.

In einer Weiterbildung wird der zumindest eine erste Indikator und der zumindest eine zweite Indikator in Abhängigkeit von einer Änderung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, bestimmt. Hierdurch lassen sich in vorteilhafter Weise zeitliche gehäufte Anomalien, wie gehäuftes Auftreten eines bestimmten Verhaltens der jeweiligen Recheneinheit, oder zeitliche Abläufe bestimmter Informationen in zuverlässiger und einfacher Weise ergründen.

In einer Variante der Erfindung wird der zumindest eine erste Indikator und der zumindest eine zweite Indikator in regelmäßigen Abständen generiert. Hierdurch wird gewährleistet, dass eine kontinuierliche Überwachung der ersten und zweiten Recheneinheiten auf autonome, selbstpropagierende Schadsoftware durchgeführt und somit eine hohe Zuverlässigkeit bei dem Erkennen dieses Schadsoftwaretyps ermöglicht wird. Insbesondere wird hierdurch ein früheres Erkennen der autonomen, selbstpropagierenden Schadsoftware gewährleistet, wodurch ein durch die Schadsoftware verursachter Schaden klein gehalten werden kann. Zudem kann auch eine „Verseuchung" weiterer Recheneinheiten vermieden oder zumindest die Verbreitung der Schadsoftware eingedämmt werden.

In einer weiteren Variante der Erfindung wird durch den zumindest einen ersten Indikator ein erster Typ von Verhalten in einem ersten Zeitintervall und durch den zumindest einen zweiten Indikator der erste oder weiterer Typ von Verhalten in einem zweiten Zeitintervall angezeigt, wobei das zweite Zeitintervall zeitlich vor dem ersten Zeitintervall angeordnet wird. Hierdurch lassen sich in vorteilhafter Weise Verhaltensmuster der autonomen, selbstpropagierenden Schadsoftware erkennen, womit eine Detektion der Schadsoftware verbessert wird. Beispielsweise ist eine Aktivität der Schadsoftware nach einem Befall der jeweiligen Recheneinheit besonders hoch und nimmt dann exponentiell ab. Somit kann das Vorhandensein dieser Schadsoftware auf der ersten und zweiten Recheneinheit nicht zum selben Zeitpunkt aber zu zwei unterschiedlichen Zeitpunkten sehr gut nachgewiesen werden.

In einer optionalen Weiterbildung der Erfindung wird zumindest einer der Schritte a) , c) , d) , e) des Verfahrens erst durchgeführt, nachdem zumindest ein Datenwort von der zumindest einen zweiten Recheneinheit an die zumindest eine erste Recheneinheit übertragen wurde. Hierdurch wird in vorteilhafter Weise erreicht, dass bis auf Verfahrensschritt b) weitere Verfahrensschritte erst dann durchgeführt werden müssen, wenn ein Datenverkehr, d.h. eine Datenlieferung von der zweiten Recheneinheit zu der ersten Recheneinheit, z.B. mittels USB Stick, erfolgt ist. Der Datenverkehr wird durch die Übertragung zumindest eines Datenworts gebildet, wobei das Datenwort ein oder mehrere Bytes umfassen kann, wie bspw. alle Bytes einer Datei, die in die erste Recheneinheit eingespeist wird.

Die Erfindung betrifft auch eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung koppelbar ist, mit folgenden Einheiten:

a) Erste Einheit zum Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;

b) Zweite Einheit zum Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit des zweiten Netzwerks spezifiziert; c) Dritte Einheit zum Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;

d) Vierte Einheit zum Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator, e) Fünfte Einheit zum Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis der festlegbare Schwellwert überschritten ist.

In vorteilhafter Weise sind die erste Einheit und die zweite Einheit zum Generieren des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators des jeweiligen Verhaltens in Bezug auf zumindest eine der folgenden Informationen ausgebildet:

- Zumindest ein Dateiname auf einem Speichermedium,

- Zumindest ein Name eines laufenden oder gestoppten Prozesses,

- Zumindest ein Ergebnis eines Intrusion-Detection-Systems ,

- Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks.

Zudem können die erste Einheit und die zweite Einheit das Generieren des zumindest einen ersten Indikators und des zumin- dest einen zweiten Indikators in Abhängigkeit von einer Ände- rung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, durchführen .

In einer optionalen Weiterbildung der Vorrichtung führen die erste Einheit und die zweite Einheit das Generieren des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators in regelmäßigen zeitlichen Abständen durch .

In einer vorteilhaften Weiterbildung der Erfindung sind durch den zumindest einen ersten Indikator ein erster Typ von Ver- halten in einem ersten Zeitintervall und durch den zumindest einen zweiten Indikator der erste oder ein weiterer Typ von Verhalten in einem zweiten Zeitintervall anzeigbar, wobei das zweite Zeitintervall zeitlich vor dem ersten Zeitintervall angeordnet ist.

Vorteile und Erläuterungen zu den jeweiligen Ausbildungen der erfinderischen Vorrichtung sind analog zu den korrespondie- renden Verfahreneschritten . . Zudem können weitere vorgestellte

Verfahrensschritte mittels einer sechsten Einheit durch die

Vorrichtung realisiert und ausgeführt werden.

Die Erfindung und ihre Weiterbildungen werden anhand von Zeichnungen näher erläutert. Im Einzelnen zeigen:

Fig.l eine beispielhafte Darstellung einer beispielhaften

Ausführungsform der Erfindung

Fig.2 ein schematisches Ablaufdiagramm zur Durchführung der Erfindung

Fig. 3 eine Vorrichtung, die mit Hilfe mehrerer Einheiten die Erfindung realisiert ist.

Elemente mit gleicher Funktion und Wirkungsweise sind in den Figuren mit denselben Bezugszeichen versehen.

Nachfolgend wird ein Beispiel für die Erfindung anhand einer Industrieanlage für Fertigungsroboter eines Automobilherstellers gemäß Figur 1 beschrieben. Bei einem Automobilhersteller wird eine Fertigungsstraße bestehend aus mehreren Schweißrobotern und jeweils zugehöriger Steuerungseinheit, auch als erste Recheneinheiten RE1, REH, RE12, RE13 bezeichnet, betrieben. Die ersten Recheneinheiten sind über ein erstes Netzwerk NET1 miteinander verbunden. Das erste Netzwerk wird mittels LAN (LAN - Local Area Network - lokales Netzwerk) realisiert. Das erste Netzwerk stellt hierbei ein Sondernetz da . Der Automobilhersteller verfügt überdies über ein Büronetz- werk NET2, in dem zweite Recheneinheiten RE2, RE21, RE22 von Forschung, Vertrieb, Service und Marketing betrieben werden. Diese zweiten Recheneinheiten können in Form von Arbeits-PCs und/oder mobilen Endgeräten ausgebildet sein. Das Büronetzwerk NET2 wird auch als zweites Netzwerk NET2 bezeichnet. Das zweite Netzwerk ist über eine zweite Verbindung V2 mittels eines DSL-Modems (DSL - Digital Subscriber Line) mit dem Internet INT verbunden. Innerhalb des zweiten Netzwerks NET2 sind die jeweiligen zweiten Recheneinheiten in diesem Beispiel mittels LAN miteinander vernetzt.

Ein Servicemitarbeiter lädt über seinen Arbeits-PC im Internet INT ein Service Update SU von einem Webserver WS für eine der Steuerungseinheiten der Schweißroboter herunter. Dabei dringt vom Mitarbeiter unbemerkt Schadsoftware BD mit einem Namen „XXXX.exe" vom Webserver WS in den Arbeits-PC RE2 ein.

Nachfolgend möchte der Servicemitarbeiter eine neue Schweiß- Software in die Steuerungseinheit RE1 einspielen. Dafür lädt er sich die neue Schweißsoftware zusammen mit dem Service Update SU von seinem Arbeits-PC RE2 auf ein mobiles Speichermedium VI, z.B. einen USB-Stick. Der USB-Stick dient zur Datenübertragung von der zweiten Recheneinheit des zweiten Netz- werks zu der ersten Recheneinheit in dem ersten Netzwerk. Somit stellt das mobile Speichermedium VI eine erste Verbindung VI zwischen dem ersten Netzwerk und dem zweiten Netzwerk da. In einer Alternative kann die erste Verbindung durch ein drahtgebundenes Medium, z.B. einer LAN-Verbindung erfolgen.

Unbemerkt vom Servicemitarbeiter lädt sich die auf dem Service-PC vorliegende Schadsoftware BD auch auf den USB-Stick, z.B. als Teil des Service-Update SU. Nachfolgend dockt der Servicemitarbeiter den USB-Stick von dem Arbeits-PC ab und steck diesen in den USB-Port der Steuerungseinheit. Beim

Übertragen der neuen Schweißsoftware in die Steuerungseinheit kopiert sich auch die Schadsoftware BD in die Steuerungseinheit des Schweißroboters RE1. Zur Erkennung von autonomer, selbstpropagierender Schadsoftware werden der Arbeits-PC RE2 und der Schweißroboter RE1 überwacht. Hierzu ermittelt die Steuerungseinheit des

Schweißroboters RE1 z.B. sekündlich die auf ihrer Recheneinheit während der letzten Sekunde gestarteten Programme, beispielweise alle gestarteten Programme mit einer Dateinamenendung „.exe", die sie in Form einer Liste als erster Indikator II ablegt. Analog dazu ermittelt der Arbeits-PC jede Sekunde die auf seiner Recheneinheit in der letzten Sekunde gestarteten Programme, beispielweise alle gestarteten Programme mit einer Dateinamenendung „.exe", die er in Form einer Liste als zweiten Indikator 12 ablegt. Der erste Indikator II und der zweite Indikator 12 werden an eine Korrelationskomponente KK übermittelt. Die Korrelationskomponente ist ein Rechner, der sich bspw. außerhalb des ersten und zweiten Netzwerks befindet. Eine Übertragung des ersten und zweiten Indikators erfolgt über WLAN (WLAN - Wireless LAN, drahtloses LAN) .

Der erste Indikator II umfasst bspw. folgende Dateinamen:

D1519.exe

G011A.exe

XXXX.exe

Der zweite Indikator 12 umfasst bspw. folgende Dateinamen:

NN4711.exe

MCHP.exe

DD22DD0a.exe

XXXX.exe

D55.exe

Die Korrelationskomponente vergleicht die jeweiligen Listen des ersten und zweiten Indikators und stellt eine Übereinstimmung bzgl . des Dateinamens XXXX.exe fest. Somit wird durch den Vergleich der Listen ein Korrelationsergebnis KE erzeugt, das die Datei XXXX.exe anzeigt. Ein festlegbarer Schwellwert SW, der ein Erkennen der autonomen, selbstpropagierenden Schadsoftware anzeigt, ist in diesem Beispiel derart definiert, dass der Schwellwert überschritten ist, falls das Korrelationsergebnis mindestens einen Dateinamen anzeigt.

Da das Korrelationsergebnis den Dateinamen XXXX . exe anzeigt, ist ein festlegbarer Schwellwert SW überschritten, sodass ein Hinweissignal HS ausgegeben wird. Hierdurch wird einem

Sicherheitsbeauftragten das Erkennen einer Schadsoftware in dem ersten und zweiten Netzwerk anzeigt. Die Anzeige erfolgt mittels einer Hinweisleuchte HS, gesteuert durch eine fünfte Einheit E5.

Zur Reduzierung von Fehlalarmen werden in einer Weiterbildung des Ausführungsbeispiels durch die erste bzw. zweite Recheneinheit bzw. durch die Korrelationskomponente aus dem ersten und/oder zweiten Indikator II, 12 diejenigen Dateinamen bzw. Informationen entfernt, die gemäß einer Vorkenntnis über das auf der jeweiligen Recheneinheit eingesetzte Betriebssystem und/oder ohne Schad-Software installierter Programme auf der jeweiligen Recheneinheit erwartet werden. Beispielsweise wird angenommen, dass die erste und die zweite Recheneinheit nach der ersten Installation ohne autonome, selbstpropagierende Schadsoftware installiert werden. Anschließend werden bspw. für 2 Tage die Listen für den ersten und zweiten Indikator erzeugt. Als nächstes werden in der jeweiligen Recheneinheit und/oder Korrelationskomponente Basis-Listen mit zumindest einem Teil der in dem jeweiligen Indikator enthaltenen Informationen erzeugt. Die Erstellung des Korrelationsergebnisses und der Vergleich mit dem Schwellwert finden in dieser Initialisierungsphase nicht statt. Nach Abschluss der Initialisierungsphase steht für den jeweiligen Indikator eine Ausschlussliste mit Informationen zur Verfügung, wobei diese Informationen bei der Erstellung des Korrelationsergebnisses ausgeschlossen werden. Im obigen Beispiel umfasst die erste Ausschlussliste für den ersten Indikator die Dateinamen „D1519.exe" und „G011A.exe", sowie die zweite Ausschlussliste für zweiten Indikator den Dateinamen „N4711.exe. Hieraus ergibt sich für den ersten Indikator II „XXXX.exe" und für den zweiten Indikator 12 „MCHP.exe", „DD22DD0a.exe", „XXXX.exe" und „D55.exe". Die Überprüfung der Informationen dieser Indikator erfolgt analog zu dem obigen Ausführungsbeispiel.

In einem anderen Ausführungsbeispiel zeigen die jeweiligen Indikatoren an, welche Dateinamen in einem betrachteten Zeitraum, z.B. eine Minute, auf das zur jeweiligen Recheneinheit zugeordnete Speichermedium, neu geschrieben oder/und verändert worden sind.

Analog zum obigen Beispiel wird die Schadsoftware erkannt, falls identische Dateinamen durch die Indikatoren angezeigt werden .

Ein Ausschluss von bestimmten Dateinamen kann wie oben gezeigt erfolgen.

In einer weiteren beispielhaften Variante der Erfindung kann in den jeweiligen Recheneinheiten RE1 und RE2 die Häufigkeit eines Auftretens bestimmter Prozesse überwachen und als Information in Form des ersten und zweiten Indikators II, 12 an die Korrelationskomponente KK übermitteln.

Der erste Indikator II umfasst bspw. folgende Prozessnamen und deren Häufigkeit:

P1212, 125-mal

P7781N, 1-mal

Pbadl2X, 999-mal

Der zweite Indikator 12 umfasst bspw. folgende Prozessnamen und deren Häufigkeit:

NN4711p, 12-mal

MC1212, 22-mal DD22DD0a, 100

Pbadl2X, 1210

D55, 55-mal Die Korrelationskomponente erkennt, dass der Prozess

„Pbadl2X" sowohl in dem Arbeits-PC als auch in der Steuerungseinheit des Schweißroboters auftritt. Zudem tritt der besagte Prozess sehr gehäuft auf. Hieraus kann die Korrelationskomponente schließen, dass derselbe Prozess „Pbadl2X" in den zwei unterschiedlich ausgestalteten Recheneinheiten, Arbeits-PC und Schweißroboter, jeweils eine sehr dominante Rolle im jeweiligen Prozessablauf einnimmt. Hierdurch ergibt sich als Korrelationsergebnis, dass derselbe Prozess in dem Arbeits-PC und der Steuerungseinheit ein sehr ähnliches und auffälliges Verhalten anzeigt. So tritt der Prozess „Pbadl2X" im ersten Indikator mit einer Häufigkeit 999 / ( 999+1+125) = 88,8% und im zweiten Indikator mit einer Häufigkeit 1210 / (12+22+100+1210+55) = 86,5% auf. Der festlegbare Schwellwert zeigt an, dass der besagte Prozess in beiden Recheneinheiten mit einer Auftrittshäufigkeit von mehr als 85% auftritt.

Hierdurch wird der festlegbare Schwellwert SW, der eine Häufigkeit eines bestimmten Prozesses im Vergleich zu anderen Prozessen anzeigt, durch den ersten und weiten Indikator überschritten. In diesem Fall wird die Schadsoftware im Pro- zess „Pbadl2X" erkannt und ein Hinweissignal ausgegeben.

Eine weitere beispielhafte Ausführungsform der Erfindung kann über die Charakteristik von beobachteten Netzwerksverkehrsdaten erfolgen und betrifft alle Arten der unmittelbaren systematischen Datenerfassung, Protokollierung und Überwachung von Vorgängen oder Prozessen. Die Netzwerksverkehrsüberwachung der jeweiligen ersten und zweiten Netzwerken ausgehend von jeweiligen zweiten Recheneinheiten in Richtung erster Recheneinheiten wird dazu regelmäßig durchgeführt, um anhand von Korrekturen der Ergebnisse erkennen zu können, ob bestimmte Schwellwerte unter- bzw. überschritten werden. Bei einer weiteren beispielhaften Ausführung kann die Beobachtung von mehreren Indikatoren durchgeführt werden. Z.B. kann das Auftreten der im Ausführungsbeispiel betrachteten „XXXX.exe" in Kombination mit dem Speicherverhalten auf der jeweiligen Recheneinheit als ein Indikator gesehen werden.

Bei einem weiteren Beispiel ist im Netzwerk NET1 und im Büronetz NET2 jeweils ein Intrusion Detection System (Netzwerks- eindringungserfassungssystem) installiert. Das Intrusion Detection System erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten der ersten und zweiten Recheneinheiten und schlägt Alarm, sobald es einen möglichen Angriff erkennt. Die Intrusion Detection Systeme der Netzwerke NET1 und NET2 senden die erfassten Ereignisse mittels der jeweiligen Indikatoren an die Korrelationskomponente KK, diese überprüft ob im Netzwerk NET1 einen Angriff und zeitlich ein gleicher oder ähnlicher Angriff im Büronetz NET2 voraus ging. Ist das der Fall, wird über den Hinweissignalgeber E5 ein Hinweissignal HS ausgegeben.

In den bisherigen Beispielen wurden jeweils nur eine erste und eine zweite Recheneinheit erläutert. So können die Beispiele dahingehend erweitert werden, dass mehrere erste und mehrere zweite Recheneinheiten vorliegen, die jeweils erste bzw. zweite Indikatoren an die Korrelationskomponente senden. Dabei kann eine Häufigkeit eines Auftretens einer Datei und/oder eines Prozesses auch dahingehend ausgewertet werden, dass die jeweilige Häufigkeit über alle ersten Indikatoren bzw. alle zweiten Indikatoren ermittelt wird. Hierbei wird neben eines Befalls einer jeweiligen ersten bzw. zweiten Recheneinheit mit der Schadsoftware auch der Befall einer Mehrzahl von ersten bzw. zweiten Recheneinheiten erfasst.

In Fig. 2 ist ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Erkennen von Schadcode dargestellt.

Das Verfahren startet mit dem Schritt SO. In Schritt Sl wird zumindest einer der ersten Indikatoren, welcher ein erstes Verhalten der ersten Recheneinheit spezifiziert, erfasst. In Schritt S2 wird zumindest einer der zweiten Indikatoren, welcher ein zweites Verhalten der zweiten Recheneinheit des zweiten Netzwerks spezifiziert, erfasst.

In Schritt S3 wird der erste Indikator und der zweite Indika- tor an eine Korrelationskomponente übermittelt.

In Schritt S4 wird das Korrelationsergebnis durch Korrelieren des ersten Indikators mit dem zweiten Indikator erzeugt. In Schritt S5 wird das Korrelationsergebnis mit einem festlegbaren Schwellwert verglichen. Wird der Schwellwert nicht überschritten, geht es mit Schritt S7 weiter. Wird der

Schwellwert überschritten, folgt Schritt S6. In Schritt S6 wird ein Hinweissignals ausgegeben und somit das Vorhandensein der Schadsoftware erkannt.

In Schritt S7 wird geprüft, ob ein vorgegebenes Zeitintervall abgelaufen ist. Ist das der Fall, erfolgt Schritt S8. Ist das nicht der Fall, erfolgt Schritt S2. Diese Schleife x wird solange durchlaufen, bis das vorgegebene Zeitintervall, z.B. 1 Minute, abgelaufen ist.

Das Verfahren endet in Schritt S8.

Die Erfindung betrifft auch eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung koppelbar ist, mit folgenden Einheiten, siehe Figur 3 : a) Erste Einheit El zum Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;

b) Zweite Einheit E2 zum Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit des zweiten Netzwerks spezifiziert;

c) Dritte Einheit E3 zum Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;

d) Vierte Einheit E4 zum Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator; e) Fünfte Einheit E5 zum Ausgeben eines Hinweissignals, falls bei einem Vergleich das Korrelationsergebnis den festlegbaren Schwellwert überschreitet.

Die jeweiligen Einheiten, sowie die Korrelationskomponente, können in Software, Hardware oder in einer Kombination aus Software und Hardware realisiert werden. Somit können die jeweiligen Einheiten über Ein- und Ausgabeschnittstelle zur Kommunikation untereinander ausgestaltet sein. Diese Schnittstellen sind direkt oder indirekt mit einer Prozessoreinheit gekoppelt, die für jeweilige auszuführende Schritte aus einer an die Prozessoreinheit angeschlossenen Speichereinheit codierte Anweisungen ausliest und verarbeitet.

Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Insbesondere können die einzelnen Beispiele beliebig kombiniert werden.