rola beschleunigt Cyber-Ermittlungen mit Neo4j.
2022 deckten deutsche Ermittler den Umsturz-Versuch der extremistischen Reichsbürgerbewegung auf. Es kam zur größten Razzia der Nachkriegsgeschichte. Technische Unterstützung lieferten Lösungen von rola Security Solutions.
rola unterstützt seit über 30 Jahren Polizeibehörden, Militär und Nachrichtendienste in Europa. Die Bedrohungslage hat sich stark verändert. Früher arbeiteten Ermittler gegen strukturierte Banden. Heute agieren dezentrale Netzwerke, die sich über Nacht neu organisieren.
Neue Bedrohungen, neue Systeme
Für rola war Graphtechnologie kein technisches Upgrade, sondern essenziell. 2021 begann das Unternehmen mit der Entwicklung von rsShadow, da klassische Datenbankansätze den Anforderungen moderner Ermittlungen nicht mehr genügten. „Pfadabfragen sind grundlegend für Ermittlungen“, erklärt Gregor Bierhals, Go-to-Market Manager bei rola. „Man muss herausfinden, wie Entität A mit Entität Z verbunden ist. In relationalen Datenbanken dauerten solche Mehrfachabfragen Stunden oder brachen ab.“
rola testete verschiedene Lösungen, darunter Dokumenten-Datenbanken (MongoDB), Zeitreihendatenbanken sowie andere Graphdatenbanken. Schnell fiel die Entscheidung für Neo4j. Neo4j verfügt über entsprechende Marktreife, ist zuverlässig und skalierbar. Die Abfragesprache Cypher ohne spezielles Know-how verständlich. Die Dokumentation ist umfassend genug für komplexe Implementierungen. Und schließlich genießt Neo4j Vertrauen bei sicherheitskritischen Kunden.
„Wenn wir Kunden sagen, dass Neo4j unsere Plattform antreibt, leuchten die Augen“, sagt Bierhals. „Sie wissen, was das bedeutet. Sie vertrauen darauf.“ Die flexible Graphstruktur von Neo4j erlaubt es, neue Beziehungstypen hinzuzufügen, Eigenschaften für Entitäten zu definieren oder neue Bedrohungsmuster abzubilden, ohne auf Administratoren zu warten oder das System herunterzufahren. Die Schema-Flexibilität macht es möglich, Ermittlungen dynamisch an neue Erkenntnisse anzupassen.
In Sekunden kommt rola zu Entscheidungen
Cyber Threat Intelligence erreicht Analysten in einem Mix aus Formaten: unstrukturierte PDFs, strukturierte MISP-Datenfeeds, Berichte von Dritt-Firmen, Darknet-Leaks und OSINT-Quellen sowie CSVs oder alte Vermerke. Die Architektur von rsShadow bringt Struktur in dieses Datenchaos.
- Entity Extraction: Algorithmen erkennen automatisch Bedrohungsakteure, Opfer, Werkzeuge, TTPs (Tactics, Techniques, Procedures) und die Beziehungen zwischen ihnen.
- Graph Construction: Jede erkannte Entität wird zu einem Knoten in einem dynamischen Knowledge Graphen, die über Kanten verbunden sind.
- Cross-Source Correlation: Das Property-Graph-Modell von Neo4j erlaubt unbegrenzt viele Attribute pro Knoten und schafft so Kontext.
- Real-Time Analysis: Cypher-Abfragen durchqueren Millionen Verbindungen in Sekunden.
„Wir nutzen Neo4j nicht nur für die Visualisierung“, sagt Bierhals. „Die Graphdatenbank speichert und verwaltet Entitäten, erlaubt schnelle Abfragen und lässt uns das Datenmodell weiterentwickeln, ganz ohne aufwendige Migrationen.“
rsShadow ist für den Einsatz in Behörden- und Sicherheitsumgebungen gebaut und erfüllt folgende Sicherheitsanforderungen:
- On-Premise-Betrieb
- Air-Gapped-Umgebung
- Multi-Cloud-Fähigkeit (u. a. Google Cloud)
- Containerbasiert (Docker)
„Automatisierung darf keine Abkürzungen nehmen“, sagt Bierhals. „Wenn unser System zwei verschiedene Personen namens ‚Michael K.‘ verwechselt, kann das ein ganzes Verfahren zerstören. Wir machen die Entitätenerkennung schnell. Die endgültigen Verknüpfungen treffen aber Menschen.“
Dieser Ansatz zieht sich durch die gesamte Benutzeroberfläche. Experten schreiben Cypher-Abfragen direkt für tiefergehende Analysen. Andere Nutzer arbeiten über die visuelle Graph-Oberfläche. rsShadow liefert damit automatisierte Erkenntnisse und lückenlose Dokumentation.
Ausblick: KI-Funktionen
rola entwickelt rsShadow stetig weiter und investiert in neue GenAI-Funktionen:
- Dokumenten-Chats in Alltagssprache
- Vektorsuche mit Neo4j zur Erkennung semantische Ähnlichkeiten
- RAG verknüpft Graphabfragen mit LLMs für automatisierte Bedrohungsberichte
- KI-gestützte Abfragevorschläge bei voller Kontrolle durch den Menschen
„Alle Teams, mit denen wir arbeiten, wollen schneller werden, ohne an Präzision zu verlieren“, sagt Bierhals. „KI sicher und erklärbar einzusetzen, bringt uns diesem Ziel näher.“ Eine Kundenumfrage unterstreicht die Vorteile von Neo4j gegenüber GraphQL-basierten Alternativen. „Besonders gelobt wurde, wie zugänglich Cypher komplexe Abfragen macht“, berichtet Bierhals. „Beim Wettbewerber brauchte man tiefes Technik-Know-how, um überhaupt einfache Fragen zu stellen. Mit Neo4j schreiben unsere Analysten nach wenigen Tagen produktive Abfragen.“
