Bedrohungsakteur (Threat Actor)

Was ist ein Bedrohungsakteur?

Ein Bedrohungsakteur, Threat Actor oder Cyberangreifer ist jemand, der für eine Attacke verantwortlich ist, die negative Auswirkungen auf ein Unternehmen, eine Einzelperson oder eine Gruppe von Menschen, eine Behörde oder eine Art von Organisation hat.

In der Bedrohungsanalyse (Threat Intelligence) werden die Akteure im Allgemeinen als extern, intern oder Partner kategorisiert. Bei externen Bedrohungsakteuren besteht zuvor kein Vertrauen oder Vorrecht, während bei internen oder Partner-Akteuren zuvor ein gewisses Maß an Vertrauen oder Vorrecht bestanden hat. Bei dem Akteur kann es sich um eine Einzelperson oder eine Organisation handeln; der Vorfall kann absichtlich oder versehentlich erfolgen und einen bösartigen oder harmlosen Zweck haben.

Externe Angreifer stehen im Fokus der meisten Anstrengungen zum Schutz von Unternehmen Das liegt nicht nur daran, dass sie am häufigsten anzutreffen sind, sondern auch daran, dass die Auswirkungen ihrer Aktivitäten oft am schwerwiegendsten sind. Diese Art von Angreifern wird auf Basis ihrer Fertigkeiten entweder als nur durchschnittlich oder als fortgeschritten eingestuft. Die Einstufung erfolgt, je nachdem, welche Fähigkeiten und Kenntnisse sie haben. Ein typischer Durchschnittsangreifer wie ein so genanntes Script-Kiddie startet meist nur einen breit gestreuten Angriff und hofft dabei, so viele Opfer wie möglich zu finden. Fortgeschrittene Angreifer picken sich dagegen ihre Ziele bewusst heraus und setzen dabei häufig auf APTs (Advanced Persistent Threats). So versuchen sie, in fremde Netzwerke eindringen und dort für einen längeren Zeitraum unentdeckt zu bleiben, um heimlich Daten auszuspionieren und zu stehlen.

Eine andere Art von externem Angreifer ist der so genannte Hacktivist. Ein bekanntes Beispiel für eine dieser Gruppen ist Anonymous. Hacktivisten verwenden dieselben Tools, die auch Cyberkriminelle einsetzen, um damit etwa Schwachstellen in Webseiten zu finden, in fremde Netze einzudringen oder um DDoS-Attacken (Distributed Denial of Service) durchzuführen. Sie wollen damit meist keinen direkten Schaden anrichten, sondern mit ihren Aktionen an sensible Daten kommen, die durch ihre Veröffentlichung einen negativen Einfluss auf eine Person, eine Marke, eine Firma oder auch eine Regierung haben können.