Wer Opfer eines Cyber-Angriffs wird, hat meist drei Fragen: Wie konnte das passieren? Welche Daten wurden erbeutet? Und wer steckt dahinter? Die ersten beiden Fragen können IT-Forensiker meist bereits nach relativ kurzer Zeit beantworten. Sie spüren Sicherheitslücken auf und können nachvollziehen, wonach die kriminellen Hacker gesucht haben. Doch bei der Frage nach den Tätern stoßen selbst erfahrene IT-Forensiker an ihre Grenzen, denn immer häufiger legen die Angreifer falsche Spuren. Mit verschiedenen Mitteln, wie falschen Zeitstempeln, bewusst platzierten Sprachmustern oder über die verwendeten Programme, versuchen Hacker ihre Identitäten zu verschleiern. Umso wichtiger ist es, Probleme und Schwachstellen frühzeitig zu benennen und Lösungen zu finden. Wer seine IT präventiv absichert, kann Cyber-Angriffe im Keim ersticken und forensische Maßnahmen mitunter komplett überflüssig machen. Doch zurück zur digitalen Spurensuche.
Ist ein IT-Forensiker auf der Suche nach den Hintermännern einer Cyber-Attacke, gibt es verschiedene Anhaltspunkte, anhand derer sich der Täterkreis ermitteln lässt. Ein wichtiger Faktor sind Sprach- und Zeichenmuster, die einer bestimmten Sprache zugeordnet werden können. Auch das Sprachniveau gibt Aufschluss über die Herkunft des Programmierers. Diese Spuren finden sich bei genauerer Betrachtung des Schad-Codes. Doch gerade die lassen sich einfach manipulieren Auch die Zeitstempel im Schad-Code erlauben Rückschlüsse auf die Täter. An diesen können Bearbeitungszeiten abgelesen werden. Doch selbst dieser Indikator ist nicht mehr zuverlässig, denn Zeitstempel lassen sich ebenso leicht fälschen wie Sprachmuster.
Zudem kann die verwendete Infrastruktur bei weniger erfahrenen Hackern als Indiz herangezogen werden. Sie vergessen häufig, ihre Kommunikationskanäle ausreichend zu anonymisieren und so ihre Spuren zu verwischen. Das Problem: Will ein erfahrener Hacker die Ermittler in die Irre zu führen, macht er sich dieses Versäumnis zunutze und hinterlegt ganz bewusst beispielsweise chinesische IP-Adressen im Code. Ähnlich funktioniert die Identitätsverschleierung über die verwendeten Tools und Exploits. Oft enthalten die Codes der neuer Schadprogramme Teile bekannter Malware. Auch dies kann ein Indiz für die Herkunft sein – oder aber es ist dort ebenfalls gezielt platziert worden, um die IT-Forensiker auf eine falsche Fährte zu locken. Zu guter Letzt kann man auch vom Opfer auf den Täter schließen. Werden bestimmte Forschungsdaten ausgespäht, könnte ein Konkurrent hinter dem Angriff stecken. Werden die Accounts eines Politikers gehackt, könnten Hacktivisten oder politische Gegner die Täter sein. Damit man keine Rückschlüsse auf ein konkretes Opfer ziehen kann, betreiben manche Hacker einen enormen Aufwand und schleusen den Schad-Code an vielen unterschiedlichen Stellen ein, sodass das eigentliche Ziel in der Masse nicht mehr zu ermitteln ist.
Wer also wissen will, wer hinter einer Cyber-Attacke steckt, muss einiges an Detektivarbeit leisten. Er darf sich nicht von falschen Hinweisen täuschen lassen, muss auf jede noch so winzige Kleinigkeit achten und die Spuren richtig kombinieren.
Ist ein IT-Forensiker auf der Suche nach den Hintermännern einer Cyber-Attacke, gibt es verschiedene Anhaltspunkte, anhand derer sich der Täterkreis ermitteln lässt. Ein wichtiger Faktor sind Sprach- und Zeichenmuster, die einer bestimmten Sprache zugeordnet werden können. Auch das Sprachniveau gibt Aufschluss über die Herkunft des Programmierers. Diese Spuren finden sich bei genauerer Betrachtung des Schad-Codes. Doch gerade die lassen sich einfach manipulieren Auch die Zeitstempel im Schad-Code erlauben Rückschlüsse auf die Täter. An diesen können Bearbeitungszeiten abgelesen werden. Doch selbst dieser Indikator ist nicht mehr zuverlässig, denn Zeitstempel lassen sich ebenso leicht fälschen wie Sprachmuster.
Zudem kann die verwendete Infrastruktur bei weniger erfahrenen Hackern als Indiz herangezogen werden. Sie vergessen häufig, ihre Kommunikationskanäle ausreichend zu anonymisieren und so ihre Spuren zu verwischen. Das Problem: Will ein erfahrener Hacker die Ermittler in die Irre zu führen, macht er sich dieses Versäumnis zunutze und hinterlegt ganz bewusst beispielsweise chinesische IP-Adressen im Code. Ähnlich funktioniert die Identitätsverschleierung über die verwendeten Tools und Exploits. Oft enthalten die Codes der neuer Schadprogramme Teile bekannter Malware. Auch dies kann ein Indiz für die Herkunft sein – oder aber es ist dort ebenfalls gezielt platziert worden, um die IT-Forensiker auf eine falsche Fährte zu locken. Zu guter Letzt kann man auch vom Opfer auf den Täter schließen. Werden bestimmte Forschungsdaten ausgespäht, könnte ein Konkurrent hinter dem Angriff stecken. Werden die Accounts eines Politikers gehackt, könnten Hacktivisten oder politische Gegner die Täter sein. Damit man keine Rückschlüsse auf ein konkretes Opfer ziehen kann, betreiben manche Hacker einen enormen Aufwand und schleusen den Schad-Code an vielen unterschiedlichen Stellen ein, sodass das eigentliche Ziel in der Masse nicht mehr zu ermitteln ist.
Wer also wissen will, wer hinter einer Cyber-Attacke steckt, muss einiges an Detektivarbeit leisten. Er darf sich nicht von falschen Hinweisen täuschen lassen, muss auf jede noch so winzige Kleinigkeit achten und die Spuren richtig kombinieren.
