Internet Security Days: Sind wirklich immer die Russen Schuld?

Wie Malware-Researcher arbeiten, welche Schädlinge und Kampagnen sie entdecken oder wie sie Cyberkriminellen auf die Spur kommen, gelangt nur bei besonders spektakulären Fällen an die Öffentlichkeit. Bei den diesjährigen Internet Security Days gewähren Experten aus verschiedenen Firmen bei einem Malware-Panel Einblicke in die tägliche Arbeit der Malware-Labs.

Mehr Infos

Lesen Sie dazu auch bei c't:

Hacker-Jagd im Cyberspace – Grundlagen und Grenzen der Suche nach den Tätern

Zu den schwierigsten Aufgaben der Virenforscher gehört es, Angriffe oder Malware-Kampagnen auf ihre Urheber zurückzuführen. In der Öffentlichkeit wird schnell einmal die Schuld "den üblichen Verdächtigen" zugeschoben, den russischen Internetkriminiellen – doch nicht von seriösen Sicherheitsexperten. "Es ist nur selten nachzuweisen, wer wirklich hinter Cyberattacken steckt", sagt Alexander Vukcevic, Leiter der Avira Virus Labs. "Gesicherte Erkenntnisse und Gerichtsverfahren gegen Cyberkriminelle sind immer noch eher die Ausnahme als die Regel." Für eine effektive Bekämpfung von Cybercrime sei auf jeden Fall eine länderübergreifende Zusammenarbeit von Strafverfolgungsbehörden, Internet-Providern sowie Security-Industrie erforderlich, so Vukcevic.

Nur schlampige Angreifer werden entdeckt

"Staaten und deren Geheimdienste verfügen über entsprechend große Budgets, die eigenen Spuren zu verwischen oder neue, irreführende bewusst zu legen", berichtet Security-Spezialist Thomas Uhlemann von ESET. Unter Umständen sei es aber möglich, die Angreifer nach einer Analyse zu benennen und der Strafverfolgung zuzuführen, wenn diese Amateure seien. Das bestätigt auch Thomas Wespel von Avast: Ob ein Cyberkrimineller überführt werden kann, liege daran, wie schlampig er arbeite. Einem Malware-Autor seien er und seine Kollegen dadurch auf die Schliche gekommen, dass dieser bei verschiedenen Services den gleichen Nickname verwendet habe. "Über einen der Services kamen wir an seine Identität und die lokalen Behörden konnten ihn verhaften", erzählt Wespel.

Die Schwierigkeit des Zurückverfolgens einer IT-Attacke liege darin begründet, dass nicht alles protokolliert wird und es viele Möglichkeiten gebe, sich anonym im Internet zu bewegen, erklärt Symantecs Principal Threat Researcher Candid Wüest. "Ein Angreifer kann zum Beispiel einen bereits infizierten Computer für die Verbreitung nutzen oder von einem anonymen Wifi aus einem Café den Angriff auslösen," erläutert Wüest. Hinzu kämen Anonymisierungsdienste wie das Tor-Netzwerk. "Da Bitcoins auch praktisch keine verwertbaren Spuren hinterlassen, bringt auch das Überwachen des Geldflusses wenig", sagt Wüest. Man suche daher nach Gemeinsamkeiten der verwendeten Infrastruktur oder bereits verwendeten Mustern in den Angriffen.

Einige wenige Länder sind fähig, Cyberwar zu führen

Rolf Haas, Security-Engineer bei McAfee, verweist auf Referenzcodes und sogenannte IOC-Daten (Indicator of Compromise) früherer Angriffe, die Rückschlüsse erlauben. Zwar ließe sich durch Verschleierung die Aufmerksamkeit auf andere Gruppen schieben, aber "oft ist dies offensichtlich und der Angriff kann durch vergangene Ereignisse recht schnell zumindest einem Industriezweig oder einer Region zugeordnet werden", sagt Haas. In der Schuldzuweisung spielen die Medien nach Ansicht von Mirco Rohr, Global Evangelist bei Bitdefender, gelegentlich eine unrühmliche Rolle. Denn "sie drehen das Rad der Spekulation oft weiter, um auf die "üblichen Verdächtigen" zu zeigen, sei es Russland oder China", sagt Rohr. Aber fest steht für ihn: Russland ist tatsächlich eines der wenigen Länder auf der Welt, die in der Lage sind, Cyberwar zu führen. Auf der kurzen Liste dieser Länder stehen auch die USA, Israel und China.

Das Malware-Panel findet im Rahmen der von iX und eco veranstalteten Internet Security Days (28. und 29. September) in Brühl bei Köln statt. Das vollständige Programm der Security-Veranstaltung ist auf der Webseite zu finden. (ur)