Als Anomalien werden Systeme oder Ereignisse bezeichnet, die von einem gelernten Zustand signifikant abweichen. Insbesondere in Cyber Security Prozessen bezeichnet eine Anomalie z.B. einen Netzwerkteilnehmer, der zuvor unbekannt war. Das kann auch ein neues Kommunikationsverhalten eines Netzwerkteilnehmers sein.

Idealerweise werden Anomalien automatisch erkannt indem ein passives Monitoring System das erlernte Kommunikationsprofil permanent überwacht und bei Abweichungen einen Anwender oder Security Operation Center (SOC) über diesen Vorgang informiert.

Die Wichtigkeit dieser Funktion basiert darauf, dass nahezu alle Unternehmen von ihren funktionierenden Netzwerken abhängig sind und dafür eine Transparenz benötigen. Die Erkennung von Anomalien läuft in Echtzeit und wird in der Regel über das Lesen am Mirrorport des Switches realisiert.

Anomalien können ebenfalls z.B. durch Netzwerkprobleme, fehlerhafte Datenpakete o.ä. entstehen. Veränderte Kommunikationsmuster, Sabotage, bisher nicht verwendete Protokolle oder neue bzw. veränderte Datenpakete sollten ebenfalls aufmerksam machen. Eine Anomalie-Erkennung macht also in mehrfacher Hinsicht für jeden Anwender mit einem entsprechenden Netzwerk Sinn. Netzwerksicherheit und Netzwerkstabilität gehen dabei Hand in Hand. Die Herangehensweise ist je nach Produkt individuell. Vor einem Einsatz solcher Systeme kann eine Evaluierung des Netzwerkes sinnvoll sein.

Unsere Anomalie-Erkennung heißt IRMA®, kurz für Industrie Risiko Management Automatisierung, und arbeitet nach genau diesem Prinzip wie es im BSI Standard “BSI CS 134” beschrieben ist.