26. Mai 2023 Jamie Collier*

Nach dem Angriff die Zuordnung: Wer ist es gewesen?

Zeit ist Trumpf. Das gilt vor allem, wenn ein Unternehmen angegriffen wurde und eine Lösegeldforderung erhält. Das IT-Sicherheitsteam kann schnell und angemessen reagieren, sobald es eines verstanden hat: Es muss nicht alles wissen. Manchmal genügt es, wenn der forensische Analyst die IP-Adresse des Angreifers ermittelt hat. [...]

Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant. (c) Mandiant

Cyber-Delikte wie Hacking, Datenbeschädigung oder -fälschung sind gemäß dem Statista Research Departments um fast 70 Prozent gestiegen. Herauszufinden, wer hinter den Angriffen steckt, dazu sind die forensischen Analysten da. Doch die betroffenen Unternehmen stehen vorab vor grundlegenden Entscheidungen. Zum Beispiel: Müssen sie wirklich erfahren, wer der Angreifer war? Ja. Aber wie genau? Reicht die IP-Adresse oder benötigen die IT-Sicherheitsteams den konkreten Namen und das Gesicht jener Person, von der die Bedrohung ausging?

Die Antwort auf diese Frage ist nicht so offensichtlich, wie manche glauben. Dahinter steckt das gesamte Wissen, wie die Attribute eines Angriffs zuzuordnen sind. Cyber-Threat-Intelligence-(CTI)-Analysten definieren Merkmale für Bedrohungen, um deren Art, ihre Quelle, ihre Ziele und ihre Methoden zu speichern. Diese Kriterien einem Angriff zuzuweisen – die Attribution – ist ein komplexer Vorgang. Je genauer das IT-Sicherheitsteam eines Unternehmens wissen möchte, wer der Angreifer war, desto chaotischer wird die Arbeit eines forensischen Analysten. Er muss konkurrierende Prioritäten abwägen: Da sind einmal die Fristen, die von den Beteiligten festgelegt wurden. Auch muss er abschätzen, wie vollständig die Daten sind, über die er verfügt – und ob er ihnen vertrauen kann.

Die drei Stufen der Attribution

  1. Taktisch: Wenn CTI-Forscher eine Bedrohung analysieren, suchen sie nach Hinweisen wie zum Beispiel IP-Adressen oder Domains, um Zusammenhänge zwischen verschiedenen Aktivitäten zu finden. Diese „taktische Zuordnung“ ist die erste Stufe der Analyse.
  2. Operativ: Sobald genug Hinweise gesammelt wurden, können sie ein „operationelles Profiling“ erstellen. Damit bekommen sie eine Vorstellung, wer hinter der Bedrohung steckt und wie die Angreifer agieren könnten. Die „operative Zuordnung“ gibt Antworten auf die Frage: Handelt es sich um eine lose Gruppe von Amateur-Hackern oder ist es ein kriminelles Netzwerk, das auf durchdachte Tools zugreifen kann? Wenn genug Informationen gesammelt wurden, lassen sich mögliche zukünftige Attacken voraussagen.
  3. Strategisch: Hierbei versuchen die forensischen Analysten, die Identität der Hacker zu bestimmen. Sie suchen auch nach Hinweisen auf die Person oder Organisation, die hinter der Attacke steht. Falls es nicht gelingt, deren Identität zu ermitteln, konzentrieren sie sich darauf, Nutznießer des Cyberangriffs zu identifizieren.

Die Sicherheitsteams der Unternehmen benötigen in jedem Fall die IP-Adresse oder die Domain der Hacker. Sie ist die Beweisgrundlage für alles Weitere. Wollen sie aber, dass die Forensiker ihre Recherche fortsetzen, müssen sie abwägen: Lohnt es sich, noch mehr Zeit und Ressourcen in die Ermittlung zu investieren? Diese Entscheidung hängt von mehreren Faktoren ab.

Welche Fragen muss das IT-Sicherheitsteam beantworten?

  • Welche Mittel sind für die Recherche nötig?

Die verschiedenen Ebenen der Attributionen erfordern ein unterschiedliches Level an Ressourcen. Für die taktische Zuordnung ist es nicht notwendig, die gesamte Infrastruktur des Angreifers zu überwachen oder zu analysieren. Indem sie sich an den CTI-Funktionen bedienen, sammeln die Analysten taktische Informationen wie zum Beispiel die verwendeten Taktiken, Techniken und Verfahren (TTPs) oder die IP-Adresse. Eine strategische Attribution benötigt schon mehr: Zeit der Mitarbeiter und des Analysten, Expertise und weitere Ressourcen wie Personal, neue Technologien und Tools. Außerdem müssen hochwertige Daten erfasst werden. Und um einen einheitlichen Prozess etablieren zu können, muss das Team zusätzliche Abläufe formalisieren und Workflow-Modelle erstellen.

  • Wie unabhängig soll die Analyse sein?

Es gilt abzuwägen, ob das Cyber-Sicherheitsteam die Erkenntnisse von anderen CTI-Anbietern wie der Polizei, den Geheimdiensten und unabhängige Forscher berücksichtigen will oder nicht. Auch dabei sollten die Sicherheitsexperten das Gleichgewicht suchen. Denn eine schlampige Gruppierung von Crackern, die von verschiedenen Stellen gleichzeitig verfolgt wird, kann zu Verwirrung führen.

  • Wie detailliert muss das Analyseergebnis sein, um angemessen reagieren zu können?

Hierbei spielt das Konfidenzniveau eine Rolle. Eine höhere Konfidenz bedeutet, dass es mehr Beweise und Indizien gibt, welche die Attribution stützen. Damit ist auch die Wahrscheinlichkeit höher, dass die Analyse korrekt ist. Natürlich dürfen keine voreiligen Schlüsse gezogen. Ein allzu vorsichtiger Ansatz kann jedoch das Handeln des Unternehmens erschweren. Je genauer, desto länger dauert die Analyse. Für die betroffenen Unternehmen kann es dann zu schwierig werden, die wichtigsten Bedrohungen rechtzeitig zu bekämpfen.

Best Practice zur Abwehr von Cyberbedrohungen 

Die beste forensische Analyse verfolgt einen flexiblen Ansatz. Zunächst geht es darum, schnell Informationen über Bedrohungen zu gewinnen, ohne einen langwierigen Zuordnungsprozess durchlaufen zu müssen. Dazu verwenden die CTI-Forscher „nicht kategorisierte“ Bedrohungscluster – sogenannte UNC-Gruppen. Damit bezeichnen sie eine Gruppe von Cyberkriminellen, die noch nicht eindeutig einer bestimmten Cyberkampagne oder einer bereits bekannten Gruppe zugeordnet werden konnten. Ein Beispiel dafür ist die Gruppe UNC2452, die nach der Kompromittierung der SolarWinds-Lieferkette 2020 in kurzer Zeit identifiziert wurde. Obwohl diese Gruppe später mit APT29 zusammengeführt werden konnte, hatte bereits die taktische Attribution zum Erfolg geführt.

Hilfreich ist es auch, weniger vertrauenswürdige Entscheidungen hinsichtlich einer Zuordnung transparent zu machen. Damit können die IT-Sicherheitsteams mitverfolgen, wie sich die Zuordnungseinschätzungen entwickeln. Die diesen zugrunde liegenden Informationen sollten allerdings auf validen Beweisen und nicht auf Vermutungen oder Spekulationen basieren.

Fazit

Kompromisse bei der Attribution können ein Cyber-Sicherheitsteam vor schwierige Entscheidungen stellen. Doch eines sollten sie wissen: Ein erfolgreicher Zuordnungsprozess ist mit klaren organisatorischen Anforderungen, Anwendungsfällen und Ergebnissen verknüpft. Deshalb liegt die richtige Antwort meist auf der Hand, wenn das Team die Frage stellt: „Was ist das Beste für das Unternehmen?“

*Der Autor Jamie Collier ist Senior Threat Intelligence Advisor bei Mandiant.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*