Cyberkriminelle verstehen: Motivation per Threat Intelligence entschlüsseln
Wenn man Angriffe im Cyberraum verstehen und bekämpfen will, muss man neben Techniken und Taktiken ebenso die Motivation der Cyberkriminellen kennen.
- Sascha Herzog
- Jörg Schauff
Unter Threat Intelligence versteht man sämtliche Informationen zu Cyberbedrohungen und -angriffen nebst Kontext. Sie reicht von automatisiert erfassten kriminell genutzten IP-Adressen oder bekannten Hashwerten bis hin zu Informationen, welche Bedrohungsakteure auf welche Art gegen welche Ziele vorgehen. Das führt zur Motivation und Absicht, die die Angreifer zu ihren Taten bewegen.
Unter Motivation versteht man den übergeordneten Antrieb, das Warum hinter einer Handlung – was bewegt jemanden grundsätzlich dazu, aktiv zu werden? Die Absicht, also das konkrete Ziel, bei einer spezifischen Aktion oder Kampagne dagegen erschließt sich durch die Frage: „Was soll erreicht werden?“ Die Absicht führt dann zu einer konkreten Handlung.
- Informationen über Angreifer sind genauso wichtig für Verteidiger wie Informationen zu Angriffen – insbesondere bei nationalstaatlichen Akteuren etwa aus China oder Russland lohnt sich ein genauer Blick.
- Zwar verfolgen nationalstaatliche Cyberkriminelle in der Regel eher langfristige Ziele, dennoch spiegeln sich tagespolitische Ereignisse häufig in spontanen Angriffen wider.
- Die größte Cyberbedrohung für die westliche Welt geht von den „Big Four“ aus, von nationalstaatlichen APT-Gruppen aus China, Russland, Nordkorea und dem Iran. Bedrohungsinformationen sind daher in strategische Entscheidungen einzubeziehen, damit man Risiken realistisch einschätzen und reduzieren kann.
Die Motivation staatlich gelenkter Cyberakteure besteht in der Regel aus geopolitischen und strategischen Interessen, Machtprojektion, nationaler Sicherheit und einem Informationsvorsprung gegenüber potenziellen und tatsächlichen Feinden. Das führt die Akteure zu der Absicht, Spionage zu betreiben, geistiges Eigentum oder Unterlagen zu Industrieanlagen zu stehlen oder Sabotageakte durchzuführen, um gegnerische Staaten und politische Feinde einzuschüchtern oder zu schwächen. Ihr Handeln ist langfristig geplant und dient dem Staatsinteresse, etwa der Informationsbeschaffung für militärische, diplomatische oder wirtschaftliche Vorteile.
Das war die Leseprobe unseres heise-Plus-Artikels "Cyberkriminelle verstehen: Motivation per Threat Intelligence entschlüsseln". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
