Gut organisiert gegen Hacker-Netzwerke
Mit Honeypots Angreifer anlocken
20.12.2017 von Christian Meier
Cyberkriminelle gehen hoch koordiniert vor, während ihre Opfer isoliert agieren. Ein Forscherteam um Professor Max Mühlhäuser will das ändern – indem es die Abwehrkräfte der Opfer bündelt.
Eine grüne Linie wächst quer über die Weltkarte auf Athen zu. „Da, schon wieder ein Angriff“, sagt Florian Volk von der im Fachbereich Informatik der TU Darmstadt. Der zwei Quadratmeter große Bildschirm visualisiert Hackerangriffe auf Rechner, die das Forscherteam gleichsam als Köder ausgelegt hat – so genannte Honeypots. Indem es möglichst viele solcher Angriffe aufzeichnet, will das Team um Telecooperation Group Muster in ihnen erkennen. Lernende omputerprogramme filtern solche Erkennungsmerkmale immer zuverlässiger heraus. Es gilt, die Taktiken einer industriell organisierten digitalen Schattenwirtschaft aufzudecken. Das Ziel: Eine ebenso gut organisierte Abwehr zu ermöglichen, bei der Betroffene ihre Schlagkraft bündeln. „Koordinierte verteilte Abwehr“ nennt Volk das. Professor Max Mühlhäuser
Derzeit herrsche zwischen böswilligen Hackern und denen, die Ziel ihrer Angriffe werden, keine Waffengleichheit, sagt der Informatiker. Der einsame Hacker, der Computerviren in die Welt setzt, sei nur Klischee. „Es gibt in der Cyberkriminalität eine Arbeitsteilung: Die einen bauen eine Infrastruktur auf, so genannte Botnetze. Sie vermieten diese an die anderen für massive verteilte Angriffe“, erklärt der Informatiker. Botnetze sind sozusagen eine Armee von elektronischen Helfern: gekaperte PCs oder, immer öfter, an das Internet angeschlossene intelligente Geräte wie etwa Thermostate. Das Entern der Rechner verlaufe automatisiert.
Angriff durch gekaperte Rechner
Während der Informatiker spricht, laufen auf dem Bildschirm etliche Angriffe auf die Honeypots, pro Monat sind es mehr als 60.000. Die eigentlichen Täter nutzen nun die Botnetze für Attacken, die Namen wie etwa „Denial of Service“ tragen. Bei dieser Angriffsart stellen Tausende gekaperte Rechner simultan Anfragen an den Server des Opfers, der unter dieser Last zusammenbricht. Die Opfer, meist Unternehmen, behielten solche Angriffe oft für sich, moniert Volk. „Das ist schade“, meint der Forscher. „Würden mehr Angriffsmuster ausgetauscht, könnte das nächste Opfer den Angriff frühzeitig erkennen und reagieren, etwa indem man die Anfragen gezielt vernichtet.“
Im Zentrum der TU-Forscher steht die Entwicklung eines Werkzeugs, das es potenziellen Opfern ermöglicht, gemeinsam gegen die Übermacht der Hacker-Industrie vorzugehen. Damit können Firmen Information über den Angriff auszutauschen, ohne Wissen über die eigene IT-Infrastruktur preiszugeben. Dazu soll der Angriff in Form einer „einfachen Datenstruktur“, wie Volk sagt, abgebildet werden. Diese ist eine Art Fingerabdruck des Geschehens, anhand dessen andere Firmen einen Angriff früh erkennen und sich rechtzeitig wehren können.
„Weil die Mustererkennung umso besser funktioniert, je mehr Daten man hat, wäre es wichtig, viel mehr Honeypots auszulegen“, erklärt Volk. So entstünde eine Infrastruktur, die es mit dem wohlorganisierten Unterbau des Hackerwesens aufnehmen kann.