• IT-Karriere:
  • Services:

Cyberangriffe: Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.

Artikel von Anna Biselli veröffentlicht am
So genau lassen sich Hackerangriffe selten zuordnen.
So genau lassen sich Hackerangriffe selten zuordnen. (Bild: mark justinecorea/CC-BY 2.0)

"Im Internet weiß niemand, dass du ein Hund bist." Dieser Meme-gewordene Satz aus dem Jahr 1993 stimmt schon lange nicht mehr: Er stimmt nicht einmal für die professionellen Hacker, die mit Tastatur und Maus im Auftrag von Staaten Technologieunternehmen, Regierungseinrichtungen oder Militäreinrichtungen angreifen. Im Internet trägt niemand eine Uniform, könnte man stattdessen vielleicht sagen. Und trotzdem ordnen IT-Sicherheitsspezialisten immer wieder Angriffe zu und finden heraus, zu welchem Land solche APT-Gruppen gehören.

APT steht für Advanced Persistent Threat: fortgeschrittene, andauernde Bedrohung. Was das genau bedeutet, hat sich ständig gewandelt. "Am Anfang wurde der Begriff vor allem in der militärischen Welt benutzt", erklärt Timo Steffens. Er bezeichnete vor allem staatlich gelenkte Cyber-Angreifer. Steffens ist IT-Sicherheitsforscher und hat ein Buch darüber verfasst, wie man die Täter hinter der Computer-Spionage enttarnen kann.

Später sei daraus eher eine Bezeichnung für sehr komplizierte Malware geworden oder Angreifer, die sich erstmal in ein Netzwerk eingeschleust und dann manuell umgesehen hätten. Nicht der gewöhnliche Banking-Trojaner, der ohne konkretes Ziel versucht habe, finanziellen Gewinn zu erzielen. "Heute ist man wieder dazu übergegangen, mit APT staatlich gesteuerte Gruppen zu bezeichnen", sagt Steffens. "Auch wenn die nicht unbedingt fortschrittlich sein müssen, wie das A in APT suggeriert."

APT: durchnummerierte, staatliche Angreifer

Identifizieren IT-Sicherheitsunternehmen eine neue Gruppe, geben sie ihr einen Namen - oder nummerieren sie einfach durch. Erst vor kurzem will die Firma Fireeye APT41 gefunden haben. Die Sicherheitsforscher verorten die Gruppe in China, wie viele andere auf der Liste. Auch Länder wie Russland, der Iran oder Nordkorea tauchen häufiger auf. Doch wie funktioniert so eine Zuordnung?

Stellenmarkt
  1. Energie Südbayern GmbH, München
  2. Lufthansa Industry Solutions AS GmbH, Norderstedt

Steffens beschreibt sechs Faktoren, anhand derer sich eine Hackergruppe verraten kann. "MICTIC" nennt er sie: Malware, Infrastruktur, Command- and Control-Server, Telemetrie, Intelligence und Cui Bono. Ein perfekter Angriff? Unglaublich schwierig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
E-Mail-Adressen in der Konfigurationsdatei 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  
Zu den Kommentaren springen
Meistgelesen
  1. Beim Raketenflug
    Anhänger der Flache-Erde-Theorie tödlich verunglückt
  2. Matebook D14 (2020) im Test
    Huaweis 700-Euro-AMD-Notebook überzeugt
  3. Videostreaming
    Disney+ vor offiziellem Start vergünstigt zu bekommen
  4. Gigafactory Berlin
    Der "Tesla-Wald" ist fast gefällt
  5. Intelligente Messsysteme
    Zwangs-Rollout der vernetzten Stromzähler startet
Anzeige
Spiele-Angebote
  1. 3,74€
  2. (-69%) 24,99€
  3. 3,99€
  4. 23,99€
Kommentarübersicht
Re: Drakonische Massnahmen
Butcha 17. Okt 2019

what dafuq did i just read?!

Re: Manchmal findet man Zeitstempel...
rnarrc 16. Okt 2019

Die Aussage man findet manchmal einen Zeitstempel ist korrekt, allerdings fehlt zur...

Sicherheitsforscher
Frostwind 15. Okt 2019

Ein IT-Sicherheitsforscher, der bei einer deutschen Behörde in Bonn arbeitet: https...

Re: Danke für den tollen Beitrag (kt)
Qbit42 15. Okt 2019

Ja, wirklich sehr interessant. Danke!

Folgen Sie uns
       
Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR)

Wir haben den Bereichsvorstand Luftfahrt beim DLR gefragt, was Alternativen zum herkömmlichen Flugzeug so kompliziert macht.

Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR) Video aufrufen
Coreboot
Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot
Apple TV
Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen
Docsis 3.1
Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /