Seit es das Internet gibt, versuchen Cyberkriminelle mit illegalen Methoden daraus Profit zu schlagen. Mit plumpen Spammails lassen sich die meisten potenziellen Opfer dank verbessertem Risikobewusstsein nicht mehr so einfach überlisten. Unternehmen und Organisationen investieren zudem mehr Mittel in die Abwehr von Cyberangriffen. Das müssen sie auch, denn solche Angriffe werden immer komplexer. So findet ein Wettrüsten statt, ein ewiges Katz-und-Maus-Spiel.

Cyberangriffe auf Rechner oder Netzwerke hinterlassen Spuren sowie Hinweise auf die Infrastrukturen, welche die Täterinnen und Täter zur Verbreitung der Schadprogramme (Malware) einsetzen. Das können zum Beispiel IP-Adressen oder einfache Prüfsummen von Dateien sein. Sie zu finden, ist anspruchsvoll. Umso spannender ist es, wenn man sie bereits bekannten Angreiferinnen und Angreifern zuordnen kann. Zum Glück gehen die meisten Cyberkriminellen über eine gewisse Zeit mit der gleichen oder allenfalls leicht angepassten Methode vor. Sie investieren erst Geld in die Entwicklung neuer und daher schwer erkennbarer Malware, wenn sie mit der bisherigen Methode keinen Erfolg mehr haben. Kann man deshalb einen Cyberangriff bestimmten Täter*innen zuordnen, lässt sich unter Umständen auch die Art der Bedrohung rasch einordnen: Will mir jemand Daten stehlen, mich mit der Verschlüsselung meiner Daten erpressen oder meinen Rechner für seine Zwecke missbrauchen? Oder handelt es sich doch nur um harmlosen Spam? Wenn solche Fragen beantwortet werden können, lassen sich die Risiken besser einschätzen und adäquate, kosteneffiziente Abwehrmassnahmen ergreifen.

Viele Bedrohungen lassen sich also erkennen, indem man die eigene IT-Infrastruktur penibel überwacht und Spuren bereits bekannter Schadprogramme oder Muster identifiziert. Solche Spuren und Muster sowie ihre Verwendung zur Abwehr von Cyberangriffen werden Cyber Threat Intelligence, kurz CTI, genannt. Es geht darum, verdächtige Daten aus dem ständig wachsenden weltweiten Datenozean herauszufischen. Mit einer einzelnen Angelrute kommt man dabei nicht weit. Entscheidend für den Erfolg ist die Vernetzung mit Gleichgesinnten. Das können etwa staatliche Organe, Forschungsinstitute oder Cyber-Security-Firmen sein. Sie alle haben ein Interesse daran, dass möglichst viele technische Daten über Malware und Hackerangriffe gesammelt, analysiert und ausgetauscht werden.

Um CTI erfolgreich einsetzen zu können, benötigt man laufend aktualisierte Informationen über bereits anderswo im Cyberraum festgestellte Bedrohungen. Zudem muss man als Unternehmen oder Organisation in der Lage sein, seine Daten zu analysieren. Dabei gilt es, Wichtiges von Unwichtigem zu trennen und auch den Datenschutz zu respektieren. Das Institute for Cybersecurity and Engineering ICE der BFH forscht seit vielen Jahren an Methoden und Technologien, um potenzielle Opfer von Cyberangriffen bei dieser Herausforderung zu unterstützen und das Internet sicherer zu machen.

Die grosse Herausforderung von CTI ist die riesige Datenmenge, die es zu verarbeiten gilt. Sie ist nur mit entsprechenden Infrastrukturen, Know-how und finanziellen Mitteln zu bewältigen. Ein innovativer Ansatz besteht darin, die Daten mit Methoden des Machine Learning zu analysieren. So ist ein vom BFH-Spin-off threatray entwickeltes Analysetool in der Lage, in grossen Datenmengen Korrelationen zu finden – also Datenfragmente, die eine Ähnlichkeit erkennen lassen mit digitalen Spuren von bereits bekannter Malware oder deren Verbreitungstechnik. Möglich machen das Algorithmen, welche die gesuchten Verbindungen bereits sehr schnell und verlässlich entdecken.

Eine Vorgeschichte als BFH-Forschungsprojekt hat auch abuse.ch. Es handelt sich um eine vor gut 16 Jahren lancierte private Initiative, die zum Schutz vor Cyberbedrohungen heute weltweit genutzt wird. Im Zentrum steht hier das Sammeln von Daten, die Hinweise auf Cyberangriffe enthalten. Diese stammen zum Beispiel aus «Mausefallen», «Honeypots» oder «Spam traps», die im Internet ausgelegt werden und Angreiferinnen und Angreifern ein lohnendes Ziel vorgaukeln. Dazu kommen Daten von Forschenden und Unternehmen. abuse.ch stellt verschiedene Plattformen zur Verfügung, auf denen solche Daten geteilt und genutzt werden können. Auf diese Weise konnten in den vergangenen Jahren beispielsweise mehr als zwei Millionen Websites identifiziert und unschädlich gemacht werden, die für die Verbreitung von Malware missbraucht worden waren.

Die Studiengänge der BFH im Bereich Cybersecurity sind schweizweit führend. Neben dem Bachelor of Science in Informatik mit Vertiefung IT-Security und verschiedenen berufsbegleitenden Weiterbildungsstudiengängen (CAS) gibt es seit 2020 auch den Masterstudiengang Digital Forensic & Cyber Investigation. Die lange Erfahrung und die gute Vernetzung mit praxisorientierten Fachleuten machen aus der BFH eine wertvolle Ansprechpartnerin für Unternehmen oder Organisationen, die sich besser vor Angriffen im Cyberraum schützen wollen. Schon öfter hat die BFH ihre Expertise zur Wissensvermittlung zur Verfügung gestellt oder Institutionen und staatliche Organisationen beraten – zum Beispiel die Internet Corporation for Assigned Names and Numbers (ICANN). Das oberste Internetgremium koordiniert weltweit die Vergabe von Namen und IP-Adressen im Internet und steht unter Druck, den Missbrauch des Domain Name System (DNS) besser zu bekämpfen. Das Thema ist auch in der Politik angekommen: Kürzlich veröffentlichte die Europäische Kommission eine Studie, die das Ausmass des DNS-Missbrauchs analysiert. Sie stützt sich unter anderem auf Echtzeitdaten, die im Rahmen des BFH-Forschungsprojekts abuse.ch erhoben wurden.

Co-Autor:  Roman Hüssy, ehemaliger wissenschaftlicher Mitarbeiter am ICE, Gründer und CEO von abuse.ch