{"id":812,"date":"2013-03-14T19:00:54","date_gmt":"2013-03-14T19:00:54","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=812"},"modified":"2019-11-22T12:46:31","modified_gmt":"2019-11-22T10:46:31","slug":"hinter-den-kulissen-der-cybercrime-ermittlung","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hinter-den-kulissen-der-cybercrime-ermittlung\/812\/","title":{"rendered":"Hinter den Kulissen der Cybercrime-Ermittlung"},"content":{"rendered":"<p>Immer wenn Sie \u00fcber die Verhaftung oder Verurteilung eines <a href=\"https:\/\/threatpost.com\/en_us\/blogs\/ten-major-cybercrime-busts-031213\" target=\"_blank\" rel=\"noopener nofollow\">Cyberkriminellen lesen <\/a>, k\u00f6nnen Sie sicher sein, dass der Gro\u00dfteil der Ermittlungen durch die Arbeit verschiedener Malware-Forscher rund um den Globus durchgef\u00fchrt wurde.<\/p>\n<p>Egal, ob es um die Zerschlagung eines Spam-Botnetzes geht, das Aufdecken der Koobface-Gruppe oder die Verhaftung der Cyberkriminellen hinter dem Banking-Trojaner ZeuS. Die weltweiten Strafverfolgungsbeh\u00f6rden verlassen sich stark auf die Kenntnisse der Security-Forscher \u2013 vor allem der Anti-Malware-Firmen \u2013, um forensische Untersuchungen durchzuf\u00fchren und verl\u00e4ssliche Informationen zu erstellen, die zur Verurteilung eines Cyberkriminellen f\u00fchren k\u00f6nnen.<\/p>\n<p>Jeff Williams kann einiges \u00fcber die harte Arbeit erz\u00e4hlen, die n\u00f6tig ist, um sch\u00e4dliche Attacken zu identifizieren und vor der kriminalistischen Ermittlung herauszufinden, wie man den Angriff unsch\u00e4dlich macht. Williams arbeitete als Group Program Manager beim Microsoft Malware Protection Center (MMPC), bevor er zu Dell SecureWorks wechselte. Beim MMPC war er unter anderem an der Zerschlagung mehrerer gro\u00dfer Botnetze beteiligt, unter anderem Waledac, ZeuS und Kelihos.<\/p>\n<p>In einem Interview erkl\u00e4rte Williams die verschiedenen Arten von Ermittlungen, die fast immer in einem Virenlabor starten. \u201eManchmal geht es um eine beh\u00f6rdliche Ermittlung, bei der die Polizei den Ton angibt. Manchmal beginnt das Ganze in der Forschung, wenn wir eine bestimmte Malware analysieren. Selbst wenn es sich um eine laufende Ermittlung handelt, kommen die Beh\u00f6rden zu uns, um ein besseres Verst\u00e4ndnis f\u00fcr das Schadprogramm zu bekommen. Bei Microsoft wollten wir vor allem unsere Kunden sch\u00fctzen, daher mussten wir daran arbeiten, das Ausma\u00df der Problematik zu verstehen, wie sich Malware auf Windows-Nutzer auswirkt, und was wir f\u00fcr den Schutz der Anwender tun k\u00f6nnen\u201c, erkl\u00e4rte Williams.<\/p>\n<p>Diese Arbeit hat viele Facetten. \u201eDie Jungs im Labor machen die Routinearbeit. Sie identifizieren Schadprogramme, sammeln Exemplare davon und zerlegen diese\u201c, so Williams weiter. Bei dieser forensischen Arbeit werden komplexe Verschl\u00fcsselungsalgorithmen per Reverse-Engineering enttarnt und das Kommunikationsprotokoll, \u00fcber das die Malware eventuell mit den Angreifern kommuniziert, entschl\u00fcsselt. \u201eWir wollen wissen, wie die Angreifer den Sch\u00e4dling \u00fcber die Command-and-Control-Infrastruktur kontrollieren, wo die Netzknoten liegen, welche Kommandos eingesetzt werden k\u00f6nnen. F\u00fcr all das ist das Virenlabor zust\u00e4ndig. Diese Arbeit ist enorm wichtig.\u201c<\/p>\n<p>Sobald das Labor die Arbeitsweise des Sch\u00e4dlings versteht, k\u00f6nnen technische Gegenma\u00dfnahmen ergriffen werden \u2013 entweder mit einer Virensignatur oder verbesserten Verteidigungsmethoden. Erst dann gehen wir auf die Beh\u00f6rden zu, um eine Strafverfolgung zu erreichen. \u201eManchmal muss man ein Gericht anrufen, um die Erlaubnis zu bekommen, die Kontrolle \u00fcber ein Botnetz zu \u00fcbernehmen. Deshalb muss man die Polizeibeh\u00f6rden \u00fcber seine Arbeit informieren und sehr eng mit ihnen zusammenarbeiten, um eine Operation erfolgreich aschlie\u00dfen zu k\u00f6nnen\u201c, f\u00fchrt Williams die Vorgehensweise weiter aus.<\/p>\n<p>Costin Raiu, Manger des Global Research and Analysis Teams von Kaspersky Lab, stimmt zu, dass Cybercrime-Ermittlungen sehr \u201ekomplex\u201c sein k\u00f6nnen. Raius Team hat bereits sehr eng mit Microsoft, CrowdStrike, OpenDNS und anderen Sicherheitsfirmen zusammengearbeitet, um Botnetze auszuheben. Er beschreibt die Arbeit als \u201efacettenreich\u201c und arbeitsintensiv. \u201eIch w\u00fcrde sagen, die Expertise der Forscher ist manchmal essentiell und kann den Unterschied zwischen einer Verurteilung und einem Freispruch bedeuten\u201c, so Raiu.<\/p>\n<p>Neben dem Reverse-Engineering und der Datenweitergabe an die Strafverfolgungsbeh\u00f6rden, arbeiten Security-Forscher meist auch eng mit den globalen Computer Emergency Response Teams (CERTs) zusammen, um gehackte Server zu requirieren oder vom Netz zu nehmen, oder Beweise und Daten von einem Server per Sinkholing abzuziehen, so dass diese Daten in einem sp\u00e4teren Verfahren als Beweise genutzt werden k\u00f6nnen.<\/p>\n<p>\u201eCyberkriminalit\u00e4t ist ein wahnsinnig komplexer Bereich mit vielen Teilbereichen. Deshalb werden Malware-Forscher oft gebeten als Experten bei Verhandlungen \u00fcber Hi-Tech-Straftaten aufzutreten\u201c, erkl\u00e4rt Raiu.<\/p>\n<p>Die Cybersecurity-Forschung in einem Virenlabor enth\u00e4lt oft auch die so genannte Open Source Intelligence (OSINT). Dieser Teil einer Ermittlung ist sehr umfassend und man muss dabei oft das Internet mit einem feinen Kamm durchk\u00e4mmen, um Hinweise zu finden, die vielleicht zu einem Angreifer oder einem Schadprogramm f\u00fchren.<\/p>\n<p>\u201eW\u00e4hrend einer Ermittlung k\u00f6nnen viele Hinweise zur wahren Identit\u00e4t eines Cyberkriminelle f\u00fchren. Manche Teile des Codes enthalten vielleicht Spitznamen oder sind in einem speziellen Stil programmiert. Diese Informationen k\u00f6nnen als Startpunkt genutzt werden, um den Verbrecher zu finden\u201c, so Williams von Dell SecureWorks weiter.<\/p>\n<p>Forscher verwenden einen Spitznamen, Anhaltspunkte aus dem Code oder die E-Mail-Adresse einer registrierten Domain, um das Web und Seiten wie Facebook, Twitter, YouTube, Wikis oder Blogs nach diesen Hinweisen zu durchsuchen. Vielleicht hat der Kriminelle ja seinen Spitznamen oder seine E-Mail-Adresse auf einer dieser Seiten ebenfalls benutzt.<\/p>\n<p>Im Fall von Koobface, nutzte das Security-Team von Facebook auch Open Source Intelligence in Zusammenarbeit mit Security-Forschern und ver\u00f6ffentlichte Namen, Fotos und Identit\u00e4ten der Leute, die sie f\u00fcr die Verantwortlichen hinter den Angriffen auf das Netzwerk hielten. Diese Informationen wurden in einer Art \u00f6ffentlicher Anklage auch an die Medien gegeben.<\/p>\n<p>\u201eDer Gro\u00dfteil der technischen Arbeit wird getan, um die Anwender zu sch\u00fctzen, doch solche Informationen werden mit Strafverfolgungsbeh\u00f6rden geteilt, um Verhaftungen zu erreichen. Wenn es zu Verhaftungen und Gerichtsverhandlungen kommt, k\u00f6nnen Sie sicher sein, dass die meiste Arbeit in einem Forschungslabor gemacht wurde\u201c, so Williams weiter. \u201eVerhaftungen sind nicht notwendigerweise ein Ziel der anf\u00e4nglichen T\u00e4tigkeit. Doch wenn ein Virenlabor das \u00d6kosystem aufw\u00fchlt und sch\u00fctzt, k\u00f6nnen die Ergebnisse dieser Arbeit an die Strafverfolgungsbeh\u00f6rden weitergegeben werden, damit sich diese um Verhaftungen und Verurteilungen k\u00fcmmern.\u201c<\/p>\n<p>Williams wiederholte noch einmal, dass die Arbeit der Forscher von sehr hoher Qualit\u00e4t sein muss, denn sie muss vielleicht sp\u00e4ter glaubw\u00fcrdig vor einem Gericht pr\u00e4sentiert werden.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2013\/03\/06145826\/a2.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-814\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2013\/03\/06145826\/a2.jpg\" alt=\"a2\" width=\"666\" height=\"283\"><\/a><\/p>\n<p>Security-Forscher \u00e4rgern sich bei manchen der b\u00f6sartigsten Attacken oft \u00fcber das langsame Fortschreiten juristischer Ermittlungen, vor allem im Fall von Banking-Trojanern und betr\u00fcgerischen Botnetzen. Solche langsamen Untersuchungen brachten Facebook dazu, Details \u00fcber die Koobface-Ermittlungen schon vor dem Start der Polizeiarbeit zu ver\u00f6ffentlichen, doch Williams betonte, dass die Lage allm\u00e4hlich besser wird.<\/p>\n<p>\u201eDie internationale polizeiliche Zusammenarbeit muss auf jeden Fall besser werden. Kriminelle wissen, wo die Gesetze nicht so drastisch sind, und was sie tun k\u00f6nnen, um nicht entdeckt zu werden und damit eine Verhaftung zu vermeiden. Ich denke allerdings, dass die Strafverfolgung immer besser wei\u00df, wie sie solche F\u00e4lle voranbringen kann. Es gab schon einige F\u00e4lle, in denen Gesetze genutzt wurden, die eigentlich nichts mit Cyberkriminalit\u00e4t zu tun haben\u201c, so Williams. Damit bezog er sich auf den Zotob-Fall, in dem die Cyberkriminellen aufgrund von Gesetzen zur Geldw\u00e4sche, Steuerhinterziehung und Finanzdelikten verurteilt wurden.<\/p>\n<p>\u201eEs ist ganz normal, dass sich die Verteidigung langsam zum St\u00f6ren, Zerschlagen und zum Finden der Hinterm\u00e4nner cyberkrimineller Machenschaften entwickelt. Ohne die Zerschlagung [von Botnetzen],\u00a0 machen die Cyberkriminellen viel Geld, das wieder in zuk\u00fcnftige Attacken investiert wird. Ohne St\u00f6rung von au\u00dfen, ist das ein einfaches Spiel. Ich denke, wir kommen endlich an den Punkt, an dem die Verteidiger gut zusammenarbeiten, passende Technologien nutzen k\u00f6nnen und gemeinsam mit den Strafverfolgungsbeh\u00f6rden agieren, um das Blatt zu wenden\u201c, erg\u00e4nzt Williams.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Immer wenn Sie \u00fcber die Verhaftung oder Verurteilung eines Cyberkriminellen lesen , k\u00f6nnen Sie sicher sein, dass der Gro\u00dfteil der Ermittlungen durch die Arbeit verschiedener Malware-Forscher rund um den Globus<\/p>\n","protected":false},"author":32,"featured_media":831,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[323,206,172,158,322],"class_list":{"0":"post-812","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-banking-trojaner","9":"tag-botnetze","10":"tag-cyberkriminalitat","11":"tag-strafverfolgung","12":"tag-verhaftungen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hinter-den-kulissen-der-cybercrime-ermittlung\/812\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/banking-trojaner\/","name":"Banking-Trojaner"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=812"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/812\/revisions"}],"predecessor-version":[{"id":21526,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/812\/revisions\/21526"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/831"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}