Fr, 23. Februar 2018

Indiziensammelei

30.12.2016 14:37

Cyber-Angriffe: So schwierig ist die Spurensuche

Mit der wachsenden Gefahr von Cyberangriffen wird es zugleich immer schwieriger, die Spuren der Angreifer zu verfolgen. Eine eindeutige Zuordnung zu einem Herkunftsland oder einer speziellen Hackergruppe ist nach Überzeugung von Experten in den meisten Fällen mit herkömmlichen Methoden kaum noch möglich.

"Klassische Indikatoren sind heute auch nicht mehr gültig", sagte ein Sprecher des IT-Sicherheitsspezialisten Kaspersky Lab. Schad-Software wie Trojaner etwa seien heute nur noch ganz kurz aktiv und löschten sich bereits beim Herunterfahren der Rechner selbst. Damit würden wichtige verwertbare Spuren eines Angriffs verwischt, eine Analyse sei kaum noch möglich. Zudem werden die Angriffe oft für jedes Opfer verändert, so dass es keine zuverlässigen Indikatoren für andere potenzielle Opfer gibt, fand Kaspersky heraus.

Codefragmente dienen als Indizien
Zu klassischen Indizien zählen etwa sprachliche Fragmente in den Codezeilen, die auf eine bestimmte Nationalität schließen lassen. Doch die können auch als "falsche Fährte" absichtlich gelegt worden sein. Die Lokalisierung der Hauptserver, die für einen Angriff genutzt werden, muss ebenfalls nicht unbedingt zu den Tätern führen, die in einem ganz anderen Land sitzen können. Auch die Zeit des Angriffs, die auf eine bestimmte Zeitzone schließen lässt, kann bewusst zur Verschleierung dienen.

Oft galt es als Indiz dafür, dass ein Angriff mit staatlicher Unterstützung erfolgte, wenn die genutzte Technologie besonders teuer und aufwendig ist. Inzwischen machen Cyber-Kriminelle ihre Malware jedoch bewusst öffentlich und stellen sie für andere ins Netz. Die Angriffstechniken seien gut beschrieben, so dass sie jeder nachstellen könne, sagte ein weiterer IT-Sicherheitsexperte. "Damit kann jeder unter falscher Flagge segeln."

Russische Interessen, aber keine Beweise
Nicht die IT-mäßigen Randbedingungen ließen Schlüsse zu, wohl aber die Frage, in welchem Interesse gehandelt werde, sagte der Sicherheits-Experte, der namentlich nicht genannt werden will. Im aktuellen Fall der Cyber-Attacken während des US-Wahlkampfes habe es eine Interessenslage der Russen gegeben, aber keine Beweise dafür.

In manchen Fällen wie bei dem Schädling "Uroboros" sei die Herkunft relativ klar gewesen, erklärte Thorsten Urbanski vom deutschen IT-Sicherheitsdienstleister G-Data. Der Schädling sei damals in der Ukraine eingesetzt worden und habe es "mit hohem technologischem Potenzial" auf Großunternehmen abgesehen, sagte Urbanski. "Drei bis vier Jahre blieb er unentdeckt." Inzwischen wurde er veröffentlicht und könne von jedem genutzt werden. Geheimdienste könnten solche Spuren sicher, wenn auch "mit immensem Aufwand", zurückverfolgen. "Eine hundertprozentige Sicherheit gibt es jedoch nicht."

 krone.at
Redaktion
krone.at
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden