Am 3. Juli 2025 fand an der Hochschule Hannover das zweite Konsortialtreffen des GraphWatch-Konsortiums im Jahr 2025 statt. Neben dem Austausch zwischen den Projektpartnern und assoziierten Partner lag diesmal der Fokus auf der Integration der bisherigen und zukünftigen Arbeiten.

Das “Big Picture”

Die Integration der Teilprojekte erfordert wesentlich mehr als nur technische Schnittstellen, es geht vielmehr darum, die Methodik und den Prozess des Threat Huntings so zu gestalten, dass alle Teile effektiv und effizient zusammenarbeiten.

Im Mittelpunkt der Diskussionen standen deshalb die Fragen:

• Welche Informationen und Eigenschaften muss der Digitale Zwilling bereitstellen, um das Threat Hunting zu unterstützen?
• An welcher Stelle des Prozesses kommt die Anonamlieerkennung zum Einsatz und auf welcher Datenbasis arbeitet sie?

Den inhaltlichen Rahmen des Tages bildete ein gemeinsames Verständnis des Big Picture, das als Gesprächsgrundlage diente:

Nutzerschnittstelle und Datenrepräsentation

Ein weiterer Schwerpunkt war die Diskussion darum, wie einem Threat Hunter Informationen, insbesondere erkannte Anomalien, präsentiert werden sollten, damit dieser effizient seine Analysen vornehmen kann. Die Diskussion zeigte schnell, dass es nicht die eine perfekte Universallösung gibt sondern in verschiedenen Phasen einer Threat Hunt sehr unterschiedliche Visualisierungen notwendig sind. Zu den wesentlichen Bereichen zählen:

• High-Level-Aggregationen, um Häufungen von Anomalien an bestimmten Punkten der Netztopologie oder zeitliche Häufungen und Abfolgen von bestimmten Techniken erkennen zu können.
• Low-Level-Erläuterungen, um einem Threat Hunter darzustellen, warum aus den Daten eine bestimmte Anomalie abgeleitet wurde, um die Echtheit der Aktivitäten verifizieren und deren Auswirkungen besser verstehen zu können.

Threat-Hunting-Übung

Als letzter großer Punkt stand die Planung einer Threat-Hunting-Übung auf dem Plan. Die rt-solutions.de GmbH plant, eine umfassende Nachbildung von vielfältigen Angriffsformen in einem realen Netzwerk. Die Ergebnisse hieraus sollen sowohl als Ende-zu-Ende-Test der entwickelten Verfahren dienen als auch die Basis für einen öffentlichen Datensatz bilden, der nach einer Pseudonymisierung und Aufbereitung Forschenden allgemein zur Verfügung gestellt werden soll. Damit dieser Datensatz sowohl für das Forschungsprojekt als auch die Veröffentlichung geeignet ist, wurden intensiv die Anforderungen an die Datengewinnung und Dokumentation besprochen.