Definition „Nutzerverhaltensanalyse“ Was ist User Behavior Analytics?

Von Gedeon Rauch

Software kann unterschiedliche Sicherheitslücken aufweisen, einige davon lassen sich auf Fehleingaben oder unerwartetes Nutzerverhalten zurückführen. User (Entity) Behavior Analytics kann solche Schwachstellen frühzeitig erkennen.

Auswirkungen von Software-Schwachstellen lassen sich mittels User Behavior Analytics eindämmen und mitigieren.
Auswirkungen von Software-Schwachstellen lassen sich mittels User Behavior Analytics eindämmen und mitigieren.
(Bild: Gerd Altmann (geralt) / Pixabay)

Nicht immer liegen die Software-Probleme in der Syntax und im Verhalten einer Anwendung selbst. Dass auch User häufig die Ursache für Probleme und den Verlust sensibler Daten sein können, liegt auf der Hand.

Eine Möglichkeit, Probleme durch den Gebrauch einer Software oder eines Systems, frühzeitig zu erkennen und bereits vor dem Auftreten zu verhindern, liegt in User Behavior Analytics (kurz UBA). Mit User Behavior Analytics (oft auch User Entity Behavior Analytics) wird ein durchschnittliches Profil für „normale“ Aktivitäten erstellt. So können Abweichungen besser erkannt oder sogar ausgeschlossen werden.

Was genau ist User Behavior Analytics?

User Behavior Analytics ist ein Prozess, bei dem unterschiedliche Technologien der Automation zum Einsatz kommen. Basierend auf der Quantität der Datensätze von Big Data und der smarten Auslesung durch Machine Learning kann ein durchschnittliches Verhalten erstellt werden, während ein Prozess Abweichungen in Echtzeit erkennt.

Unterschieden wird also live zwischen legitimer Nutzung eines Systems oder aber einer Insider-Bedrohung. Diese Bedrohung kann dabei sowohl vorsätzlich wie auch fahrlässig erfolgt sein. Vor allem Angriffe auf IT-Systeme oder das Abgreifen von Daten lassen sich auf diese Weise verhindern oder erschweren. UBA-Systeme können grundsätzlich wie eine stille Alarmanlage reagieren und etwa IT-Operations in Kenntnis setzen oder aber den Zugriff sofort blockieren und Nutzerinnen oder Nutzer (temporär) sperren.

Typische Bedrohungen – wonach User Behavior Analytics sucht

Natürlich gibt es Unterschiede zwischen den typischen Anomalien in einem System. Und auch UBA-Systeme können sich stark voneinander unterscheiden, in der Art der Risikobewertung wie auch in der genutzten Umgebung.

Zu den klassischen Beispielen, die risikobehaftete Anomalien darstellen, zählen:

  • Aktivität zu ungewöhnlichen Zeiten
  • Aktivität von ungewöhnlichen Endgeräten
  • Log-Ins über ansonsten nicht verwendete Systeme
  • Hohe Zahl an Log-In-Versuchen
  • Erhöhte Zahl an Datenzugriffen
  • Zugriffe durch einen gefährdeten Account
  • Ungewöhnliche Datenanfragen

Der Risk Score steigt hierbei je nach Zusammenfallen der Ereignisse, es wird also auch der Kontext analysiert. Der große Vorteil von User Behavior Analytics-Lösungen ist an dieser Stelle die Arbeit in Echtzeit, welche nur durch Machine Learning gewährleistet werden kann. So können Systeme rund um die Uhr geschützt werden – doch das bringt auch Kritikpunkte mit sich: Schließlich werden Nutzer und Nutzerinnen so rund um die Uhr überwacht.

Probleme und Schwachpunkte von User Behavior Analytics

Ganz unkritisch kann UBA als Disziplin also nicht betrachtet werden, da der Datenschutz nicht optimal gewährleistet werden kann. Das Verhalten der Anwenderinnen und Anwender wird in UBA vor allem in Betrieben untersucht, um den Angriff auf unternehmensinterne Systeme, Server und Software zu verhindern.

Analysiert würde hier nicht nur in größerem Umfang ein Arbeitsmuster der Angestellten im System, sondern die Arbeit müsste auch in Echtzeit überwacht werden. Diese haben aber aufgrund ihres Anstellungsverhältnisses nicht die gleichen Möglichkeiten des Widerspruchs wie Enduser von Software.

Entsprechend dürfen Betriebsräte und Personalverantwortliche mitentscheiden, ob die Daten überhaupt genutzt werden dürfen. Natürlich stellt sich in einem sicheren System, das die Zugriffsrechte der User hierarchisch ordnet, ohnehin die Frage nach der Sinnhaftigkeit einer flächendeckenden Analyse.

Eingeschränkte Lösungen finden sich beispielsweise in Privileged User Behavior Analytics (PUBA), einer knapperen Analyse all jener Fachkräfte mit IT-Privilegien (beispielsweise Admins).

Eine Geschichte im Marketing

Wer bei User Behavior Analytics zunächst an Marketing und Customer denkt, liegt nicht ganz falsch. Tatsächlich wurde UBA zunächst im Marketing entwickelt und sollte durch die Analyse des durchschnittlichen Verhaltens der Kundschaft und Nutzenden besser vorhersehen, wie diese sich in der Zukunft verhalten werden, um so die Umsätze zu steigern. Das Erstellen von Mustern und Beobachten von Nutzung in Echtzeit erlaubt flexibles Agieren – das gilt allerdings nicht nur für Sonderangebote, sondern auch für Cybersecurity.

Angriffe auf Systeme besser verhindern

IT-Systeme in Unternehmen sind nicht ausschließlich durch Außenstehende gefährdet. Das Bundesamt für Verfassungsschutz geht davon aus, dass der Großteil der IT-Angriffe von innen erfolgt. Das bedeutet im Umkehrschluss, dass DMZ oder Firewall nur eine sehr beschränkte Wirksamkeit aufweisen können, weil sie nur in der Mehrheit der Fälle gar nicht greifen. Solche Bedrohungen händisch zu erkennen, ist nicht nur in größeren Unternehmen unmöglich; auch KMUs haben kaum die Ressourcen für eine Verhaltensüberwachung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Genau hier kommt User Behavior Analytics zum Einsatz. Gefährliches Verhalten, ungewöhnliche Aktivitäten oder kritische Zugriffe können in Echtzeit erkannt und im Idealfall verhindert werden. Dabei müssen Betriebe nicht die Mitarbeitenden unter Generalverdacht stellen. Auch Zugänge, die durch Phishing-Versuche erbeutet wurden oder aber von verlorenen oder gestohlenen Endgeräten kommen, können so verhindert werden.

(ID:48542753)