So hilft Data Fusion Sicherheitsbehörden und Militär bei der Analyse

AnalystInnen und ErmittlerInnen tragen Informationen oft aus einer Vielzahl von Quellen zusammen. Alle Daten manuell abzufragen und in einen kohärenten Bestand zu übertragen kostet Zeit. Effizienter ist eine Data-Fusion-Lösung, die auch das kollaborative Arbeiten ermöglicht. Aber wie funktioniert Data Fusion konkret?

Für die Attribution von Cyber-Threats werden leistungsstarke Systeme benötigt. (Pexels)

Der Fall ist fiktiv, könnte sich aber tatsächlich so zutragen: In einer Sicherheitsbehörde sind Erkenntnisse aufgetaucht, dass ein terroristischer Anschlag unmittelbar bevorsteht. Sofort wird eine Besondere Aufbauorganisation (BAO) aus Analysten und Analystinnen gebildet. Die BAO versucht, alle verfügbaren Informationen zusammenzuziehen. Die Datenquellen sind dabei sehr verschieden: Chatverläufe aus sichergestellten Smartphones, Berichte aus dem Fallbearbeitungssystem, Social-Media-Postings. Alle Informationen manuell abzufragen und zusammenzutragen kostet Zeit. Und die ist in solch einer Bedrohungslage knapp.

„Analystinnen und Analysten sind heute umgeben von Daten“, sagt Robert Schwerdtner, Teamleiter im Innovationsteam bei rola. „Diese Daten liegen in unzähligen Formaten vor und stammen aus verschiedensten Quellen.“ Das ist die Ausgangslage, bei der die meisten Analysen in Sicherheitsbehörden und Militär heute starten.

Einheitlicher Blick auf die Datenlage

Ein anderes Beispiel: Clan-Kriminalität. Familienclans werden mit verschiedenen Verbrechen in Verbindung gebracht. Die Palette reicht von Immobilien- und Steuerbetrug über schweren Diebstahl und Drogenkriminalität bis hin zu Mord. Oft sind Dutzende Täter beteiligt, was für die Ermittlungen Fluch und Segen ist: Zwar potenziert sich damit die Zahl der Ermittlungsansätze – von Kommunikationsverläufen in Sozialen Medien bis hin zu Steuerdaten und Eintragungen im Einwohnermeldeamt. Allerdings dauert es auch oftmals lange, bis eine Schneise durch diesen riesigen Datendschungel geschlagen ist und der Blick auf die Clan-Struktur als Ganzes frei wird.

Dazu muss die zuständige Ermittlungsgruppe nämlich erst einmal alle Informationsquellen sichten und die Daten in ihr eigenes Analysesystem übertragen. „Das Ziel ist, in den gesammelten Daten Verbindungen zu entdecken, die erst bei genauer Analyse sichtbar werden“, sagt Robert Schwerdtner. „Solche Überlagerungen von Informationen, sogenannte Missing Links, erkennt man nur, wenn man einen einheitlichen Blick auf die Datenlage bekommt.“ Und hier kommt Data Fusion ins Spiel.

Früher 100 Kontakte, heute 256 Gigabyte

Data-Fusion-Lösungen sind nicht neu. Solche Lösungen extrahieren Informationen aus einer Vielzahl von Datenpools, führen sie in einem zentralen Informationsraum zusammen und öffnen für die Analyse so den Blick aufs Ganze. Doch die Ansprüche an Data Fusion sind gestiegen – und mit diesen Anforderungen müssen moderne Lösungen Schritt halten. „Vor 21 Jahren hatte ein Verdächtiger vielleicht 100 Kontakte, die eine Ermittlungsgruppe überprüfen konnte. Heute bekommen Ermittler über dieselbe Person vielleicht 256 Gigabyte an Daten“, erklärt der rola-Experte. „Das können unheimlich viele verschiedene Informationen in den verschiedensten Formaten sein, die alle analysiert und fusioniert werden müssen. Das Spektrum reicht von Videos, Fotos, Notizen und E-Mails bis hin zu App-Daten und vielem mehr.“

Wichtig für die schnelle Analyse ist auch die Möglichkeit zur Kollaboration und zur einfachen Bearbeitung. Analystinnen und Analysten sollten idealerweise in einem kollaborativen Workspace arbeiten, in dem die gemeinsame, nachvollziehbare Analyse (Pfadsuche, Hypothesenbildung, Zeit/Raum-Auswertungen und Datenabgleich) stattfindet. Aus den Analyse- und Rechercheergebnissen sollten sich mit wenigen Klicks dynamische, jederzeit aktuelle Reports erstellen lassen. Robert Schwerdtner: „Statt kompliziert Analyseergebnisse zu kopieren und zu formatieren, sollte man einfach per Drag und Drop einen dynamischen Report erstellen können, der immer den letzten Stand der Analyse widerspiegelt.“ All das bietet etwa die neue Data-Fusion-Plattform rsShadow von rola.

Die Herausforderung von Data Fusion: viele Datenbanken, keine einheitliche Struktur

Darüber hinaus müssen moderne Data-Fusion-Lösungen wie rsShadow auch diese Probleme lösen:

• Korrekte Deduplizierung: Weil viele Datenbanken unterschiedlichen Eigentümern gehören, sind Daten in ihnen nach unterschiedlichen Strukturen abgelegt – was das sogenannte Deduplizieren, das Finden von Zusammengehörigkeiten, verkompliziert. Ist etwa „Paul Schmidt (geb. 15.07.1985)“ in Quelle A derselbe wie „Schmidt, Paul (geb. 1985 in Cottbus)“ in Quelle B? „Deshalb darf eine Data-Fusion-Lösung Personeneinträge nicht vollautomatisiert zusammenführen, sondern muss den menschlichen Nutzern Vorschläge machen, um eine falsche Deduplizierung zu vermeiden“, konkretisiert Robert Schwerdtner. Die Zusammenführung muss mit Logiken konfigurierbar sein, damit rechtliche Bestimmungen eingehalten werden können.
• Datenschutz sichern: Niemand darf Datentöpfe einfach so zusammenführen. Die Datenschutzgesetze geben klar vor, wer wann und wie lange Zugriff auf welche Informationen hat. Es gibt Zugangsberechtigungen, Löschfristen und die Pflicht, Abfragen zu protokollieren. Laut Robert Schwerdtner bedeutet Data Fusion nicht, „alle Daten in einen Topf zu werfen“. Eine Lösung muss immer mit den Datenschutzregeln des jeweiligen Landes konform sein und alle Analyseschritte nachvollziehbar speichern.
• Historie speichern: Manchmal sind Informationen in Datenbanken mehrdeutig oder veraltet. So können sich Namen durch Heirat verändern, die Haarfarbe kann wechseln und die Physiognomie bleibt durch plastische Chirurgie – etwa nach einem Unfall – nicht unbedingt konstant. Deshalb muss eine Data-Fusion-Lösung auch das Alter einer Information jederzeit transparent machen.
• Export ermöglichen: In manchen Data-Fusion-Lösungen werden Daten in einem proprietären Format gespeichert. Dagegen ist es für AnalystInnen in Sicherheitsbehörden hilfreich, Daten auch in anderen Dateiformaten exportieren zu können. Solche Möglichkeiten tragen ebenso wie eine intuitive Nutzeroberfläche dazu bei, dass Ermittlungen noch schneller an ihr Ziel kommen.

Lagebilderstellung: Data Fusion beim Militär

Auch für Auswerterinnen und Auswerter in militärischen Einheiten stellen moderne Data-Fusion-Lösungen einen echten Mehrwert dar. (Adobe Stock)

Nicht nur bei der Arbeit der Sicherheitsbehörden spielt Data Fusion eine wachsende Rolle. Auch beim Militär sind moderne Software-Lösungen gefragt. Soldatinnen und Soldaten müssen im Einsatz häufig schnell Informationen aus ganz verschiedenen Datenquellen zusammentragen und auswerten. „Um ein Lagebild zu erstellen, werden zum Beispiel Einsatzberichte von Verbündeten und Einsatzkräften mit Daten aus anderen Quellen übereinandergelegt“, erklärt Robert Schwerdtner. Auch hier geht es darum, vorhandene Daten zu einem korrekten und aussagekräftigen Lagebild zusammenzusetzen. Die Schnelligkeit, mit der das gelingt, entscheidet immer wieder über Erfolg oder Misserfolg einer Operation – und im Zweifel über Leben und Tod. Eine Lösung, die den Analystinnen und Analysten eine valide Vorauswertung abnimmt, spart oft wichtige Stunden Arbeit.

Use-Case für Data Fusion: Die Attribution von Cyber-Gefahren

Daten und Informationen händisch auszuwerten, kostet Zeit und Ressourcen. Data-Fusion-Lösungen verändern die Arbeit von Analystinnen und Analysten nachhaltig. (Adobe Stock)

Auch in der Analyse von Cyber-Gefahren setzen Sicherheitsbehörden auf Data-Fusion-Lösungen. Die Quell- und Informationsbewertung von Cyber-Threats ist eine der schwierigsten Aufgaben für Analystinnen und Analysten. Oft müssen sie Tausende Informationen aus verschiedensten Datenquellen zusammentragen, sichten und interpretieren. Dabei geht es zum Beispiel um die Frage nach dem Angriffsziel: Galt ein Angriff dem Ausspähen sensibler Informationen oder der Beschädigung kritischer Infrastruktur?

Threat-Actors unterscheiden sich sowohl in ihren Zielen also auch in der Wahl ihrer Taktik, ihrer Technik und ihrer Prozeduren. Bei der Analyse eines Cyber-Angriffs können kleinste Code-Schnipsel die Attribution zu einer bestimmten Tätergruppe erhärten. Dafür müssen sie allerdings erst recherchiert, ausgewählt und mit Daten aus anderen Quellen zusammengetragen und ermittelt werden. Das erfordert eine leistungsfähige Technologie und die Möglichkeit zu kollaborativem Arbeiten.

Informationen verknüpfen, Zusammenhänge erkennen, Zusammenarbeit ermöglichen und Ergebnisse visuell aufbereiten: Moderne Data-Fusion-Lösungen haben viele Aufgaben. Sie helfen bei der Erstellung militärischer Lagebilder ebenso wie bei der Ermittlung in Großlagen und der Attribution von Cyber-Angriffen.

Zur Person: Robert Schwerdtner leitet das Solution Design Team der rola Security Solutions. Mit seiner Expertise liefert er u.a. wichtige Impulse in den Bereichen Data Fusion, Massendatenanalyse, Objekterkennung und Social Media Monitoring. Zuvor arbeitete er als Data-Analytics-Experte im Bereich des Notfall-und Krisenmanagements im Konzernlagezentrum der Deutschen Telekom AG und war für die Integration verschiedener Social-Media-Themen verantwortlich.