Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert

Sandra Joyce sitzt im Homeoffice im Horse Country im US-Bundesstaat Virginia. Ihre schwarzen Haare sind sorgfältig frisiert, sie trägt einen eleganten Zweiteiler und Make-up. Ihre Mimik ist freundlich bis stoisch. Als ob sie zeigen will: Sie hat alles unter Kontrolle, trotz der Umstände.

Entfernt bellt ihr Hund, die fünf Kinder sind zu Hause. Corona hat ihre tägliche Pendelstrecke stark reduziert und obwohl die Szenerie idyllischer ist als im verspiegelten Glasbau von Mandiant Threat Intelligence, bleibt ihre Arbeit nervenaufreibend.

Die 42-Jährige führt als Vice President der Cybersecurityfirma Untersuchungen an, die eine gewisse Schnittmenge mit Geheimdienstaktivitäten haben. Häufig wenden sich Regierungsvertreter oder Strafverfolgungsbehörden direkt an ihre Abteilung, um entweder ihre IT-Systeme absichern zu lassen oder bei Malware-Attacken Hilfe zu bekommen.

Aktuell verzeichnet ihr Team vor allem Spionage-Angriffe auf Gesundheits- und Forschungseinrichtungen, bei denen Hacker Informationen zum Corona-Impfstoff vermuten - also im Grunde politische Attacken. "Jedes Mal, wenn wir denken, dass eine rote Linie nicht übertreten wird, übertritt sie doch jemand - die Attacken werden immer drastischer und abgebrühter", sagt Joyce.

Joyce koordiniert 3.500 Mitarbeiter und Mitarbeiterinnen, die Warnungen auswerten, Spuren von Angriffsaktivitäten tracken und in Datenbanken ablegen, daraus um Informationen zu den Urhebern zu generieren. Die Zuschreibung von Angriffsmerkmalen auf bestimmte Gruppen oder Staaten erfolgt in Analyseteams, die Joyce einstellt, beaufsichtigt und mit den notwendigen Tools ausstattet.

Sie überblickt die Entwicklung neuer Tools und Features, vor allem im Bereich Datenbankmanagement. Dabei nutzen ihre Entwickler zum Teil Open-Source-Software, zum Teil erarbeiten sie eigene Strukturen. "Wir entwickeln gerade ein Tool, das es für die Kunden einfacher macht, die vielen Alarme nach Wichtigkeit zu sortieren", sagt Joyce.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Nachts um zwei Uhr kommen die ersten Malware-Berichte

Das Plugin greift auf alle Quellen zu, die im Zeitraum von 14 Jahren dokumentiert wurden, und gleicht Vorfälle automatisch mit Informationen wie IP-Adressen und Angreifernamen ab.

Die Hauptaufgabe der Cybersecurity-Expertin ist aber sicherzustellen, dass die Attributions zuverlässig sind. Das fängt für Joyce bei der Morgenlektüre an. Jede Nacht scannt ein Team von 300 Analysten Cybersecurity-Artikel und unterzieht sie einer Glaubwürdigkeitsprüfung.

Zum ersten Kaffee liest sie alle Berichte zum Verhalten staatlicher und krimineller Akteure: "Wenn mich jemand im Laufe des Tages nach Gerüchten über eine neue Ransomware fragt, muss ich wissen, was die Hintergründe sind", sagt sie.