Anonymität im Netz ist ein Paradies für Kriminelle. Experten arbeiten fieberhaft an der Schließung von Sicherheitslücken. Knackpunkt ist die Enttarnung der Urheber von Cyberangriffen.
Anonymität im Netz ist ein Paradies für Kriminelle. Experten arbeiten fieberhaft an der Schließung von Sicherheitslücken. Knackpunkt ist die Enttarnung der Urheber von Cyberangriffen. Man habe es heute nicht mehr mit "dem" Typus eines Angreifers zu tun, berichtet das Magazin "Security Insider". Es existiere eine breite Palette von potenziellen Angreifern: solche, die in nationalstaatlichem Auftrag handeln, Kriminelle und Terroristen, sogenannte "Hacktivisten", die sattsam bekannten "Script Kiddies" und nicht zu vergessen: Innentäter.
Die Angreifer unterscheiden sich durch die ihnen zur Verfügung stehenden Fähigkeiten und Methoden, die Persistenz in einem Netzwerk (unerkannt) zu verbleiben und vor allem durch ihre Ziele. Zu wissen "wer" hinter einer Attacke steckt, liefert Anzeichen für die möglichen Ziele oder das "Was" auf das es Angreifer abgesehen haben. Aber auch die Methoden, die Art und Weise "wie" die Angreifer vorgegangen sind, sogar "wo" welche Stellen in einem Netzwerk betroffen sind, und welche verdeckten Kommunikationskanäle benutzt wurden - all das liefert wichtige Hinweise.
Wer in der aktuellen "Bedrohungslandschaft" überleben wolle, müsse sich damit auseinandersetzen, wer der mögliche Urheber eines Angriffs ist und wie man ihn identifizieren kann. Erst mithilfe dieses Wissens könne man die Reaktion auf Sicherheitsvorfälle entsprechend ausrichten, schreiben die Fach-Autoren Igor Baikalov und Peter Schmitz.
Nur wenige Organisationen hätten wirklich ausgereifte Überwachungskapazitäten, um dicht verschleierte Angriffe rechtzeitig zu erkennen. Und noch weniger verfügen über sogenannte "Incident-Response-Programme", die wendig genug sind, Angreifer zu fassen, die sich bereits aus dem Staub gemacht haben.
Selbst wenn Sicherheitsforscher verwertbare Spuren finden, die möglicherweise zur Quelle des Angriffs führen, so seien diese längst nicht immer eindeutig. Sie führen möglicherweise zu mehr als einem Urheber. Das könne daran liegen, dass die Angreifer Tools oder Komponenten anderer Akteure verwendet haben, oder daran, dass es sich um überlappende Angriffe unterschiedlicher Urheber auf dasselbe Ziel handelt.
Künstliche Intelligenz (KI) und speziell ihre Untergruppe, das maschinelle Lernen (ML), habe das Potenzial, die Urheber von Cyberattacken tatsächlich präziser zu ermitteln, sagen die Experten. Die Technologie ermögliche es, deutlich höhere Zahlen von Angriffsindikatoren zu analysieren und Muster zu erkennen, die bei einer manuellen Analyse durch den Menschen verborgen bleiben würden.
Die Methode habe ihren Preis. Um hier fündig zu werden, müsse man Unmengen solcher Indikatoren erkennen und sammeln, und das über unterschiedliche Ziele hinweg. Der Erfolg hänge zudem ganz wesentlich von früheren Ergebnissen ab, die benutzt werden um das System zu trainieren. Wenn man dann noch davon ausgehen muss, dass die Identifikationsrate selbst unter diesen Voraussetzungen immer noch nicht zu 100 Prozent verlässlich ist, würden sich selbst große und sicherheitsbewusste Konzerne gegen KI entscheiden - einfach, weil es zu aufwendig und zu wenig kosteneffizient ist, künstliche Intelligenz an dieser Stelle einzusetzen.
"Selbst großen Unternehmen fehlen die Transparenz und die notwendigen Ressourcen für eine effektive Offensive", so die Experten. Jedoch: "Betreiber von Cloud-Plattformen hingegen verfügen über entsprechende Skalierbarkeit und Fähigkeiten", räumen die Autoren ein. Provider könnten die Daten aus der gesamten Cloud mit den jeweils spezifischen Daten ihrer Kunden konsolidieren, und sie hätten die Kapazitäten das Ergebnis mit modernen KI-getriebenen Analysetools zu integrieren. Beides zusammen führe die Genauigkeit bei der Identifizierung des Angreifers an einen Punkt, an dem eine effektive Offensive realisierbar werde - ein Hoffnungsschimmer.
