UEBA (User and Entity Behavior Analytics)
UEBA erstellt Verhaltensbaselines für Nutzer und Systeme und erkennt Anomalien. Erkennung von Insider-Threats und kompromittierten Konten erklärt.
Inhaltsverzeichnis (5 Abschnitte)
Kurzerklärung: Sicherheitsanalyse-Technologie die Verhaltensbaselines für Nutzer und Systeme erstellt und statistisch auffällige Abweichungen erkennt. UEBA findet Insider-Threats und kompromittierte Accounts auch dann wenn keine bekannten IoCs vorliegen.
UEBA (User and Entity Behavior Analytics) lernt das normale Verhalten jedes Nutzers und jedes Systems - und schlägt Alarm wenn Verhalten signifikant abweicht. Statt bekannte Angriffsmuster (IoCs) zu suchen, erkennt UEBA anomales Verhalten unabhängig vom Angriffsvektor.
Das UEBA-Prinzip
Normales Verhalten von User "max.müller":
- Login: 08:30-09:00, aus Berlin, Windows-Laptop
- Datei-Zugriffe: ~200 Dokumente/Tag, Ordner "Projekte/Kunde-A"
- E-Mail: ~50 ein/ausgehend, keine Anhänge > 10 MB
- VPN: nie außerhalb Geschäftszeiten
Anomaly Detection:
| Ereignis | Risk Score |
|---|---|
| Login 03:17 Uhr aus Thailand | +40 |
| 5.000 Dokumente in 2 Stunden | +60 |
| ZIP-Datei 2 GB auf USB | +50 |
| E-Mail 847 MB an gmail.com | +70 |
Kombinierter Risk Score: 220 → kritischer Alert
Anwendungsfälle
Insider-Threat-Erkennung
Szenario: Mitarbeiter kündigt und exfiltriert Daten
Ohne UEBA:
- Download von 50.000 Dateien auf USB nicht erkannt
- Kein bekannter IoC, keine Malware
Mit UEBA:
- Baseline: 150 Datei-Zugriffe/Tag
- Anomalie: 50.000 Zugriffe in 3 Stunden
- Risk Score kritisch → Alert → Analyst prüft
Kompromittierter Account
Szenario: Credential Stuffing erfolgreich - Account übernommen
Ohne UEBA:
- Login mit echtem Passwort → kein Firewall-Alert
- Standard-SIEM hat keinen Alert-Trigger
Mit UEBA:
- Login aus unbekanntem Land → +30
- Login zu unüblicher Zeit → +25
- Zugriff auf Ordner nie zuvor besucht → +40
- Insgesamt: Alert "Account Takeover Risk"
Privilege Escalation Detection
Szenario: Angreifer escaliert von normalem auf Admin-Account
Mit UEBA erkannte Muster:
- Account greift erstmals auf Domain Controller zu
- Ungewöhnliche Admin-Tool-Nutzung (PsExec, Mimikatz)
- Neuer Service auf Server installiert zu außergewöhnlicher Zeit
UEBA-Technologie
UEBA nutzt Machine Learning:
| Methode | Beschreibung |
|---|---|
| Statistical Analysis | Abweichungen vom persönlichen Durchschnitt |
| Peer Group Analysis | Vergleich mit ähnlichen Nutzern (z.B. alle Buchhalter) |
| Time Series Analysis | Zeitbasierte Muster (Tageszeit, Wochentag) |
| Entity Graphs | Beziehungen zwischen Nutzern und Assets |
Datenquellen:
| Quelle | Daten |
|---|---|
| AD/Entra ID | Login-Events, Gruppenänderungen |
| EDR | Prozess-Starts, Datei-Operationen |
| DLP | Datei-Transfers, E-Mail-Anhänge |
| Network | Verbindungen, Bandbreite |
| Cloud | Azure/AWS API-Calls, Konfigurationsänderungen |
UEBA vs. SIEM
| SIEM | UEBA | |
|---|---|---|
| Basis | Bekannte Regeln/Signaturen | Verhaltensbaselines |
| Unbekannte Angriffe | Nicht erkannt | Erkannt (Anomalie) |
| False Positives | Kann hoch sein | Niedriger (kontext-aware) |
| Insider-Threats | Begrenzt | Stärke von UEBA |
| Komplexität | Mittel | Hoch (ML-Modelle) |
SIEM und UEBA sind komplementär - die meisten modernen SIEM-Plattformen (Microsoft Sentinel, Splunk, Elastic) integrieren UEBA-Funktionen.
Markt-Übersicht
- Microsoft Sentinel - UEBA integriert (Entity Behavior Analytics)
- Splunk UBA - eigenständige UEBA-Lösung
- Exabeam - spezialisiert auf UEBA + SIEM
- Securonix - Cloud-native UEBA
- IBM QRadar UBA - Enterprise-Fokus
- Varonis - Schwerpunkt Datei-Zugriffe und Cloud-Daten
Für KMU empfiehlt sich Microsoft Sentinel mit aktivierter Entity Behavior Analytics - in M365 E5 bereits enthalten.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
