• IT-Karriere:
  • Services:

Cyberangriffe: Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.

Artikel von Anna Biselli veröffentlicht am
So genau lassen sich Hackerangriffe selten zuordnen.
So genau lassen sich Hackerangriffe selten zuordnen. (Bild: mark justinecorea/CC-BY 2.0)

"Im Internet weiß niemand, dass du ein Hund bist." Dieser Meme-gewordene Satz aus dem Jahr 1993 stimmt schon lange nicht mehr: Er stimmt nicht einmal für die professionellen Hacker, die mit Tastatur und Maus im Auftrag von Staaten Technologieunternehmen, Regierungseinrichtungen oder Militäreinrichtungen angreifen. Im Internet trägt niemand eine Uniform, könnte man stattdessen vielleicht sagen. Und trotzdem ordnen IT-Sicherheitsspezialisten immer wieder Angriffe zu und finden heraus, zu welchem Land solche APT-Gruppen gehören.

APT steht für Advanced Persistent Threat: fortgeschrittene, andauernde Bedrohung. Was das genau bedeutet, hat sich ständig gewandelt. "Am Anfang wurde der Begriff vor allem in der militärischen Welt benutzt", erklärt Timo Steffens. Er bezeichnete vor allem staatlich gelenkte Cyber-Angreifer. Steffens ist IT-Sicherheitsforscher und hat ein Buch darüber verfasst, wie man die Täter hinter der Computer-Spionage enttarnen kann.

Später sei daraus eher eine Bezeichnung für sehr komplizierte Malware geworden oder Angreifer, die sich erstmal in ein Netzwerk eingeschleust und dann manuell umgesehen hätten. Nicht der gewöhnliche Banking-Trojaner, der ohne konkretes Ziel versucht habe, finanziellen Gewinn zu erzielen. "Heute ist man wieder dazu übergegangen, mit APT staatlich gesteuerte Gruppen zu bezeichnen", sagt Steffens. "Auch wenn die nicht unbedingt fortschrittlich sein müssen, wie das A in APT suggeriert."

APT: durchnummerierte, staatliche Angreifer

Identifizieren IT-Sicherheitsunternehmen eine neue Gruppe, geben sie ihr einen Namen - oder nummerieren sie einfach durch. Erst vor kurzem will die Firma Fireeye APT41 gefunden haben. Die Sicherheitsforscher verorten die Gruppe in China, wie viele andere auf der Liste. Auch Länder wie Russland, der Iran oder Nordkorea tauchen häufiger auf. Doch wie funktioniert so eine Zuordnung?

Stellenmarkt
  1. ALBIS PLASTIC GmbH, Hamburg
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Steffens beschreibt sechs Faktoren, anhand derer sich eine Hackergruppe verraten kann. "MICTIC" nennt er sie: Malware, Infrastruktur, Command- and Control-Server, Telemetrie, Intelligence und Cui Bono. Ein perfekter Angriff? Unglaublich schwierig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
E-Mail-Adressen in der Konfigurationsdatei 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Spiele-Angebote
  1. 36,99€
  2. (-47%) 21,00€
  3. 58,48€ (PC), 68,23€ (PS4) 69,99€ (Xbox One)

Butcha 17. Okt 2019

what dafuq did i just read?!

rnarrc 16. Okt 2019

Die Aussage man findet manchmal einen Zeitstempel ist korrekt, allerdings fehlt zur...

Frostwind 15. Okt 2019

Ein IT-Sicherheitsforscher, der bei einer deutschen Behörde in Bonn arbeitet: https...

Qbit42 15. Okt 2019

Ja, wirklich sehr interessant. Danke!


Folgen Sie uns
       


Neue Funktionen in Android 11 im Überblick

Wir stellen die neuen Features von Android 11 kurz im Video vor.

Neue Funktionen in Android 11 im Überblick Video aufrufen
    •  /