Attribution von Cyberangriffen
Cyberangriffe können für Unternehmen schwerwiegende Folgen haben. Das reicht von der Störung des Geschäftsbetriebs, über die Verletzung der Einhaltung von Vorschriften, die Beeinträchtigung des Rufs der Firma sowie bis hin zu einer existenziellen Schieflage des Unternehmens. Nach einem Angriff führt ein Unternehmen oft Untersuchungen durch, um den Vorfall bestimmten Bedrohungsakteuren zuzuordnen, um ein vollständiges Bild des Angriffs zu erhalten und um sicherzustellen, dass die Angreifer vor Gericht gestellt werden. Diese Bemühungen um eine Attribution des Angriffs werden oft in Verbindung mit offiziellen Ermittlungen der Strafverfolgungsbehörden durchgeführt.
Die Zuordnung von Cyberangriffen kann sehr schwierig sein, da die zugrunde liegende Architektur des Internets den Angreifern zahlreiche Möglichkeiten bietet, ihre Spuren zu verwischen.
Die Herausforderungen der Cyberattribution
Unternehmen verfügen oft nicht über die notwendigen Ressourcen oder das nötige Fachwissen, um Cyberkriminelle aufzuspüren. Daher beauftragen Organisationen, die eine Attribution durchführen, in der Regel externe Informationssicherheitsexperten. Cyberattribution kann jedoch selbst für Cybersicherheitsexperten eine Herausforderung sein. Oftmals ist eine Zuordnung auch schlicht nicht möglich.
Um den oder die für einen Cyberangriff verantwortlichen Akteur(en) zu ermitteln, führen Experten oft umfangreiche forensische Untersuchungen durch, einschließlich der Analyse digitaler forensischer Beweise und historischer Daten, der Ermittlung von Absichten oder Motiven und der Berücksichtigung der Gesamtsituation.
Eine der Herausforderungen bei der Attribution besteht jedoch darin, dass Hacker ihre Angriffe in der Regel nicht von ihren originären Standorten oder Geschäftsräumen aus durchführen, sondern Cyberangriffe über Computer oder Geräte anderer Opfer starten, die der Angreifer zuvor infiltriert hat.
Die Identifizierung eines Angreifers wird auch dadurch erschwert, dass Angreifer ihre eigenen IP-Adressen fälschen oder andere Techniken wie Proxy-Server einsetzen können, um ihre IP-Adressen in der ganzen Welt weiterzuleiten und so die Versuche einer Zuordnung zu erschweren.
Darüber hinaus können rechtliche Beschränkungen die Zuordnung bei grenzüberschreitenden Ermittlungen zur Cyberkriminalität erschweren. Denn jedes Mal, wenn eine Strafverfolgungsbehörde eine grenzüberschreitende Ermittlung durchführen muss, muss sie über offizielle Kanäle um Hilfe bitten. Dies kann das Sammeln von Beweisen beeinträchtigen, die so schnell wie möglich gesammelt werden müssen.
In einigen Fällen werden die Bemühungen um die Zuordnung von Cyberangriffen weiter erschwert, wenn die Angriffe aus Ländern stammen, die sich weigern, mit den lokalen Strafverfolgungsbehörden zusammenzuarbeiten. Probleme mit der Rechtsprechung können sich auch auf die Integrität der Beweise und die Beweiskette auswirken.
Verfahren zur Attribution von Cyberangriffen
Den Ermittlern im Bereich der Cyberkriminalität stehen viele verschiedene, spezialisierte Techniken zur Verfügung, um eine Attribution durchzuführen, aber eine definitive und genaue Zuordnung ist nicht immer möglich.
Die Ermittler verwenden Analysetools, Skripte und Programme, um wichtige Informationen über Angriffe aufzudecken. Ermittler im Bereich der Cyberkriminalität können oft Informationen über die Programmiersprache und damit verbundene Informationen aufdecken, einschließlich des verwendeten Compilers, der Kompilierzeit, der verwendeten Bibliotheken und der Reihenfolge der Ausführung von Ereignissen im Zusammenhang mit einem Cyberangriff. Wenn die Ermittler beispielsweise feststellen können, dass eine Schadsoftware mit einer bestimmten Tastaturbelegung geschrieben wurde, können diese Informationen dazu beitragen, die Verdächtigen für die Cyberattacke einzugrenzen.
Die Ermittler können auch Metadaten analysieren, die bei mehreren Angriffen auf unterschiedliche Organisationen gesammelt wurden. Auf diese Weise können Experten einige Annahmen und Schlussfolgerungen treffen, die auf der Wiederholung von gefälschten Daten basieren, die sie identifizieren. So können Sicherheitsexperten beispielsweise eine anonyme E-Mail-Adresse aus einem Angriff zurückverfolgen und sie mit dem Angreifer in Verbindung bringen, und zwar auf der Grundlage von Domänennamen, die bei dem Angriff verwendet wurden und die zuvor als von einem bestimmten Bedrohungsakteur verwendet identifiziert wurden.
Ein weiterer Ansatz für die Ermittler besteht darin, die bei einem Angriff verwendeten Techniken, Verfahren und Taktiken zu untersuchen, da Cyberangreifer oft ihren eigenen unverwechselbaren und erkennbaren Stil haben. Die Ermittler sind manchmal in der Lage, die Täter anhand von Hinweisen auf die Angriffsmethoden zu identifizieren, zum Beispiel durch Social-Engineering-Taktiken oder die Wiederverwendung von Malware, die bei früheren Angriffen verwendet wurde.
