In der Polizei-Cloud-NRW wurde das Big Data Enhanced Analytics SysTem – kurz B.E.A.S.T. nahezu vollständig virtualisiert.
LKA NRW

Bermudadreieck für Hacker

Polizei-Cloud-NRW, HiPoS und B.E.A.S.T.  – mit einem Quantensprung für die eigene Cybercrimeforensik sorgt die Polizei in Nordrhein-Westfalen dafür, dass sich Internetkriminelle im Netz immer häufiger verfangen.
Autor: Thomas van Zütphen
Fotos: iStockphoto, LZPD NRW
Podcast
B.E.A.S.T.
Podcast: VaudisX
Nordrhein-Westfalen ist sicherer geworden“, so NRW-Innenminister Herbert Reul bei der Vorlage der Polizeilichen Kriminalstatistik im März dieses Jahres. Um gut sechs Prozent auf 1.373 Millionen ging die Zahl der 2017 registrierten Straftaten im Vergleich zum Vorjahr zurück. Und mit 52,3 Prozent lag die Aufklärungsquote der Polizei so hoch wie zuletzt vor 50 Jahren. Ein Deliktfeld, das aber in diesen Trend überhaupt nicht passt, ist Cybercrime. Nicht nur in NRW. Allein zwischen Weser und Rhein, in dem Land mit der höchsten Bevölkerungs- und Unternehmensdichte Deutschlands, stieg die Computerkriminalität um fünf Prozent auf 23.000 Fälle. Und das sind nur die registrierten Fälle. Nach Schätzungen des Bundes Deutscher Kriminalbeamter (BDK) liegt die Dunkelziffer bei etwa 90 Prozent.
Ob Datenklau, -manipulation oder -hehlerei: Die Zahl der Angriffe auf PC, Laptop, Tablet und Co. nimmt zu. Dass Computerkriminalität dabei schon vom Wesen her Dunkelfeldkriminalität ist, bestätigt Helmut Picko vom Kompetenzzentrum Cybercrime des Landeskriminalamts NRW in Düsseldorf. Aus Sorge um ihre Reputation etwa melden Unternehmen Hackerattacken häufig nicht. In vielen Fällen bemerken Opfer aber auch gar nicht, dass sie Ziel von Cyberangriffen wurden. Picko ist im NRW-Landesamt für Zentrale Polizeiliche Dienste (LZPD) Leiter des Projekts „Hybride integrative Plattform Polizeilicher Sondernetze“ (HiPoS). Und genau in dieser Funktion möchte der Experte Opfern von Cyberkriminalität „Mut machen, schon bei Verdachtsmomenten auf Internetangriffe frühzeitig Strafanzeige zu stellen“.

Ausspähen, abfangen, sabotieren

Ob in Netzwerken wie Tor oder dem öffentlichen Internet – für die Bekämpfung Krimineller sind im ersten Schritt vor allem schnelle, hochverfügbare und den behördlichen Anforderungen genügende Hardwareressourcen von essenzieller Bedeutung. Das LKA in Düsseldorf ist deswegen mit einem Cybercrimesystem ausgerüstet, das immer größer werdende Datenmengen gleichzeitig auswertet. Je zügiger der Datenstrom im System verteilt wird, desto schneller können Daten jeglichen Formats analysiert und mit höherer Trefferquote ausgewertet werden. Das Ergebnis: ein schnellerer Zugriff auf die mutmaßlichen Täter. Dafür hat T-Systems gemeinsam mit Dell 2016 eine innovative und moderne Highspeed-Storage-Lösung implementiert, die alle Anforderungen der Polizei NRW an Sicherheit, Performance und Administrierbarkeit erfüllt.
„Computerkriminalität ist schon vom Wesen her Dunkelfeldkriminalität.“
HELMUT PICKO,
Leiter des Projekts HiPoS im NRW-Landesamt für Zentrale Polizeiliche Dienste

Ergebnisse im Sekundentakt

Kurz nach seinem Start war das neue Gesamtsystem schon 540-mal schneller als die Vorgängerinstallation, die ihrerseits schon aus leistungsfähigen Servern und Festplatten bestanden hatte. Heute wird morgens bis zu ein Petabyte kopiert – eine Datenmenge, die auf 213 DVDs passen würde. Damit liegen beim Arbeitsbeginn um sieben Uhr die Daten der letzten 24 Stunden komplett vor. Das System ist vollständig BSI-Grundschutz-konform. Ein wesentliches Modul von HiPoS ist ein Big Data Enhanced Analytics SysTem (B.E.A.S.T.), ein schnelles, hochsicheres und leistungsfähiges Cybercrimeforensik- und Analysesystem, das vom LKA 2016 in Betrieb genommen wurde. Der neue Auswertungsvorgang mit B.E.A.S.T. ermöglicht Anfragen an eine „sechs Milliarden Datensätze umfassende Datenbank in circa ein bis drei Sekunden“. Durch diese Geschwindigkeit führen die forensischen Methoden der erfahrenen Ermittler nun im Sekundentakt zu Ergebnissen, für die vorher Wochen oder Monate benötigt wurden.
Seit 2016 wurde B.E.A.S.T. zusätzlich nahezu vollständig virtualisiert und quasi in eine Polizei-Cloud-NRW überführt. Dass der Polizei NRW nun unter anderem eine Storagekapazität im zweistelligen Petabytebereich zur Verfügung steht, ist nur einer der Vorteile. Heute kann die Behörde insbesondere im Bereich Cognitive Services hochperformante, innovative Analysen durchführen. Diese setzen beispielsweise auf Künstliche Intelligenz, um die geschriebenen und gesprochenen Sprachen von Kriminellen (und zwar bis zu 40 verschiedene) sinnhaft zu analysieren, dabei bestimmte polizeifachliche Fragen zu verstehen und auf die Kommunikation der Täter anzuwenden.
Helmut Picko
Helmut Picko: Leiter des Projekts HiPoS im NRW-Landesamt für Zentrale Polizeiliche Dienste.
Leiter des Projekts HiPoS im NRW-Landesamt für Zentrale Polizeiliche Dienste.
Ein weiterer Vorteil liegt für Helmut Picko darin, „dass wir heute auf einer großen einheitlichen Infrastruktur nahezu beliebig viele IT-Anwendungen auch kurzfristig als Proof-of-Concept aufsetzen und sie dann gegebenenfalls schnell in den Wirkbetrieb überführen können“. Ein Aspekt, der für die Polizei nicht unwichtig ist. Denn um mit dem Tempo der Hacker und den Entwicklungsstand ihrer Tools Schritt halten zu können, testet die Polizei praktisch permanent neue Anwendungen zur Angriffsdetektion und -abwehr. Doch viele Produkte fallen beim Test durch, weil die harten polizeilichen Anforderungen der IT-Forensik – zum Beispiel bei der Bilderkennung – deutlich höher sind als im Markt üblich. „Im Ergebnis haben wir heute das forensische Analysewerkzeug und die nötigen Ressourcen, um Datenmengen in mehrfacher Potenz dessen zu analysieren, was vor der Virtualisierung möglich war“, erklärt Helmut Picko. „Wenn in einem einzigen Ermittlungsverfahren bis zu 55 Terabyte bereinigte Daten auflaufen, war das früher für uns unmöglich – heute ist das kein Problem mehr.“
B.E.A.S.T. und HIPOS – quasi als Herzstück der Polizei-Cloud-NRW – gehen in puncto Sicherheit weit über die BSI-C5-Anforderungen des Bundesamts für Sicherheit in der Informationstechnik an Cloud-Anbieter hinaus. Dies macht das System durchaus so etwas wie richtungsweisend für Behörden mit vergleichbarer Struktur und Aufgaben in Deutschland.

Weitere Informationen