Attribution von Cyberangriffen
Auf Tätersuche
Nach einem Cybervorfall ist es wichtig zu ermitteln, wer hinter dem Angriff steckt. Doch die Suche nach dem Täter – von Fachleuten Attribution genannt – kann langwierig und komplex ausfallen. Doch nicht immer müssen Unternehmen den ganzen Weg gehen. Die Frage ist: Wie viel Aufwand sollten die Security-Teams unbedingt investieren? Und worauf sollten sie dabei achten?
Attribution heißt der Prozess, der einen Cyberangriff einem bestimmten Akteur oder einer Hackergruppe zuordnet. Das ist in vielerlei Hinsicht wichtig. Erkenntnisse über den Angreifer helfen Unternehmen dabei, die Auswirkungen des Cybervorfalls zu mindern und sich künftig besser zu schützen. Handelt es sich um einen Zufallstreffer oder einen gezielten Angriff? Wenn Letzteres der Fall ist: Warum hat der Angreifer genau dieses Unternehmen als Opfer ausgewählt?
Cyberattacken sind häufig finanziell motiviert, können aber auch einen politischen, ideologischen oder persönlichen Hintergrund haben, wenn sich beispielsweise ein verärgerter ehemaliger Mitarbeiter rächen will. Steckt eine staatlich unterstützte Hackergruppe hinter dem Angriff, sind Folgeangriffe zu erwarten. Je genauer Security-Experten die Vorgehensweise der Cyberkriminellen kennen, desto gezielter können sie Maßnahmen ergreifen, um den Vorfall einzudämmen. Außerdem hilft ihnen dieses Wissen dabei, die Security-Strategie zu optimieren und das Risiko für künftige Angriffe zu mindern. Auch auf politischer Ebene kann eine Attribution wichtig sein. Denn wenn es Hinweise auf eine staatliche Beteiligung hinter einer Angreifergruppe gibt, kann dies letztlich Auswirkungen auf die internationalen Beziehungen haben und Sanktionen nach sich ziehen. Sofern die Angreifer kein Bekennerschreiben hinterlassen, ist die Attribution eines Cyberangriffs komplex. Und selbst ein Bekenntnis bedarf einer genaueren Untersuchung. Denn häufig verschleiern Cyberkriminelle ihre Identität oder legen sogar falsche Spuren. Um ihnen auf die Schliche zu kommen, müssen Security-Spezialisten kleinste Indizien sammeln, Zusammenhänge ermitteln und Muster erkennen. Dies erfordert eine fundierte Datengrundlage und hohe Analysekompetenz. So können die Experten am Ende Rückschlüsse auf ein mögliches Täterprofil ziehen. In der Regel verläuft der Attributionsprozess in drei Schritten, die aufeinander aufbauen.
Zuordnung in drei Schritten
Schritt 1: Taktische Attribution. Im ersten Schritt geht es darum, mit Mitteln der IT-Forensik technische Daten zu sammeln und Spuren zu analysieren, die der Angreifer hinterlassen hat. Was ist genau passiert? Dafür werten die Security-Spezialisten zum Beispiel Netzwerklogs aus und analysieren die Malware. Sie ermitteln die Tools, IP-Adressen und Domains, die der Angreifer verwendet und die Schwachstellen, die er ausgenutzt hat. Diese Informationen helfen dabei, Sicherheitslücken zu schließen.
Schritt 2: Operatives Profiling. Aus den Daten der taktischen Attribution extrapolieren Security-Spezialisten Aktivitätsmerkmale. Sie analysieren die Fähigkeiten und Verhaltensweisen des Angreifers und ziehen Rückschlüsse auf seine Motivation. Wie geht der Hacker vor? Wie wiederholt oder variiert er seine Taktiken? So entsteht ein operatives Profil, das zum Beispiel lauten könnte: „eine lose verbundene Gruppe von meist dilettantischen Individuen“ oder „eine koordinierte Gruppe von Kriminellen mit Zugang zu hoch entwickelten Werkzeugen“. Anhand dieser Klassifizierung können Unternehmen besser einschätzen, welches Risiko von den Angreifern ausgeht und welche Schutzmaßnahmen sie künftig priorisieren sollten.
Schritt 3: Strategische Attribution. Im letzten Schritt versuchen die Security-Spezialisten, die konkrete Identität der Hackergruppe oder des Akteurs aufzudecken. Dabei spielen strategische Fragen eine Rolle: Wer hat die Mittel, das Motiv und die Gelegenheit für einen solchen Angriff? Wer profitiert davon? Vielleicht lässt sich ein Name, eine Organisation oder zumindest der Drahtzieher hinter dem Cyberangriff ermitteln.
- Auf Tätersuche
- Den Aufwand abwägen
Lesen Sie mehr zum Thema
