Begriff
UEBA (User and Entity Behavior Analytics)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Klassische Security (SIEM) basiert auf Regeln. "Wenn 5x falsches Passwort -> Alarm." Was, wenn ein Hacker das Passwort hat? (Phishing). Er loggt sich ein. Alles sieht normal aus. Dann lädt er nachts um 3 Uhr 5 GB Daten herunter. Regeln schlagen nicht an ("Download ist erlaubt"). UEBA lernt das Verhalten (Baseline) von jedem User (und jeder Maschine/Entity). "Hans arbeitet normalerweise 9-17 Uhr und lädt ca. 10 MB." "Heute: 3 Uhr nachts, 5 GB." -> ANOMALIE! Die KI erkennt den Hacker, weil er sich anders verhält als der User.
Merksatz: Eine Cybersicherheitslösung, die Machine-Learning-Algorithmen verwendet, um Anomalien im Verhalten von Benutzern (User) und Geräten (Entitys) zu erkennen, die auf Bedrohungen wie Insider-Attacken oder kompromittierte Konten hinweisen.
Ist oft Teil eines modernen SIEM (Splunk, Exabeam). Es generiert einen Risk Score pro User. Hans: Risk 10 (Normal). Fritz: Risk 95 (Critical). Der Admin schaut sich nur Fritz an.
1. Peer Group Analysis
Wenn Hans plötzlich auf den HR-Ordner zugreift. Ist das böse? UEBA vergleicht ihn mit seiner "Peer Group" (andere Entwickler). Greifen die auch auf HR zu? Nein. -> Verdächtig. Greifen sie auch zu? Ja. -> Wahrscheinlich neues Projekt. Das reduziert Fehlalarme massiv.
2. Entity
Nicht nur Menschen. Auch Server, Router, Drucker. Wenn der Drucker plötzlich anfängt, Port-Scans im Netzwerk zu machen, ist er gehackt. UEBA merkt das.
1. Isolation Forests & Zeitreihen
Wie lernt die KI das Verhalten? Oft nutzt man Isolation Forests. Anstatt zu lernen, was "normal" ist (sehr schwer), versucht der Algorithmus, Datenpunkte zu "isolieren". Anomalien sind Punkte, die man mit nur wenigen Schnitten im Entscheidungsbaum isolieren kann (weil sie weit weg von der Masse liegen). In der Produktion kombiniert man dies mit LSTM-Netzwerken (Long Short-Term Memory), um Zeitreihen zu verstehen: "Hans loggt sich IMMER erst nach 9 Uhr ein." Das Modell versteht also nicht nur den Wert, sondern den Rhythmus.
2. Behavioral Biometrics
Die Zukunft von UEBA. Man misst nicht nur, was der User tut, sondern wie er es tut.
Keystroke Dynamics: Wie schnell tippst du? Welche Pausen machst du zwischen "f" und "r"?
Musterantwort: Beginne mit dem konkreten Fall, prüfe die Fakten und erkläre den Begriff daran. Für diesen Abschnitt gilt: Ist oft Teil eines modernen SIEM (Splunk, Exabeam). Es generiert einen Risk Score pro User. Hans: Risk 10 (Normal). Fritz: Risk 95 (Critical). Der Admin schaut sich nur Fritz an.- Mouse Movement: Wie zittrig oder zielstrebig ist dein Cursor? Ein Hacker, der deinen Account übernimmt, hat eine andere Motorik. UEBA kann ihn innerhalb von Sekunden identifizieren, selbst wenn er das richtige Passwort und das Handy für 2FA hat.
3. Lateral Movement Detection
Hacker bleiben nie auf einem Rechner. Sie wandern durch das Netz (Lateral Movement). UEBA baut einen Graphen der Verbindungen auf. Wenn der Admin-PC plötzlich eine SSH-Verbindung zum Backup-Server aufbaut, die es noch nie gab, steigt der Risk Score für den gesamten "Blast Radius". In der Produktion ist dies die einzige Chance gegen APT (Advanced Persistent Threats), die oft monatelang unentdeckt im System bleiben und nur kleine, "normale" Aktionen ausführen.
Quick-Check
Braucht man Regeln?
Nein, das ist der Witz. Es ist Unsupervised Learning. Es findet Dinge, nach denen du gar nicht gesucht hast ("Unknown Unknowns").Datenschutz?
Extrem kritisch. "Leistungsüberwachung". Darf der Chef sehen, dass ich Mittagspause mache? In Deutschland oft nur pseudonymisiert erlaubt.Insider Threats?
UEBA ist die beste Waffe gegen den "bösen Mitarbeiter", der vor der Kündigung noch schnell die Kundendatenbank kopiert.