Was ist der Cybercrime Atlas?

Foto: NicoElNino – shutterstock.com

Der im Juni 2022 angekündigte Cybercrime Atlas ist eine Initiative des Weltwirtschaftsforums (WEF), um die Aktivitäten von Cyberkriminellen in einer Datenbank zu erfassen. Diese kann von Strafverfolgungsbehörden auf der ganzen Welt genutzt werden, um die Bekämpfung der Cyberkriminalität zu erleichtern.

Der Atlas wurde offiziell im Februar 2023 in einer Partnerschaft zwischen dem WEF und Banco Santander, Fortinet, Microsoft und PayPal gestartet. Das Projekt wurde von der WEF-Partnerschaft gegen Cyberkriminalität konzipiert, der mehr als 40 öffentliche und private Organisationen angehören.

Wie wurde der Cybercrime Atlas entwickelt?

In der ersten Iteration wurden professionelle Analysten von Organisationen aus der ganzen Welt zusammengebracht, um eine genormte Taxonomie zu erstellen, aus der Beispiele ausgewählt wurden. Auf dieser Grundlage standen zunächst 13 bekannte Hauptbedrohungsakteure im Mittelpunkt. Unter Verwendung von Open-Source-Informationen untersuchten die Analysten Dinge wie den Namen des Bösewichts, die Adresse, an der er bekanntermaßen wohnt, seine Bankkontodaten, die Details seiner Krypto-Geldbörse, seinen Social-Media-Fußabdruck, bekanntes Bulletproof Hosting und andere bösartige Dienste, die er nutzt.

“Die Idee war, alle Informationen zu sammeln, die wir aus offenen Quellen über diese Leute finden konnten, sie zugenormte, zu überprüfen und sie dann in ein Repository zu stellen”, erklärt Glenn Maiden, Director of Threat Intelligence Operations bei FortiGuard Labs ANZ, gegenüber CSO.

Ziel ist es, ein umfassendes Bild der Cyberkriminalitätslandschaft zu erstellen, das kriminelle Aktivitäten, gemeinsame Infrastrukturen und Netzwerke umfasst. Die beteiligten Partner erwarten, dass die Verbindungen zwischen den gesammelten Informationen über Bedrohungsakteure der Sicherheitsbranche dabei helfen werden, das Ökosystem der Cyberkriminellen effektiver zu stören.

Die verwertbaren Informationen der 13 kriminellen Gruppen wurden aus den wichtigsten Angriffsbereichen gesammelt – Ransomware, Kompromittierung von Geschäfts-E-Mails, Malware und Kartenbetrug. “Die gewonnenen Erkenntnisse werden dazu beitragen, Möglichkeiten für eine stärkere Zusammenarbeit zwischen dem Privatsektor und den Strafverfolgungsbehörden bei der Bekämpfung der Cyberkriminalität zu fördern”, so Jeremy Jurgens, Geschäftsführer des Weltwirtschaftsforums.

Diese Informationen sollen nicht nur Ermittlungsbehörden wie Interpol und FBI unterstützen, sondern auch den beteiligten Analysten und Anbietern helfen, Gemeinsamkeiten in den Aktionen und Methoden der Angreifer zu finden. “Wir haben tatsächlich Verbindungen zwischen organisierten Verbrecherbanden und sogar nationalstaatlichen Einheiten gefunden, sie alle operieren gemeinsam”, sagt Maiden.

Aufbau eines Open-Source-Cybercrime-Repository

Im Februar 2023 wurde das Projekt als reif erachtet, um von der Prototyp-Phase zum Minimum Viable Product (MVP) überzugehen. Mit anderen Worten, von Ad-hoc-Systemen und -Repositorien zu engagierten Projektmanagern, die das geeignetste und stabilste System für den Aufbau der Datenbank finden und die Geschäftslogik ausarbeiten. “Es wird einige Leute geben, die etwas beitragen, andere, die etwas konsumieren, und wieder andere, die beides tun”, sagt Maiden. Dazu müssen Regeln für die Bildung von Clustern aufgestellt werden, mit “Need to know”-Clustern für diejenigen, die bei einem bestimmten Verbrechen oder Fall zusammenarbeiten möchten.

Die Informationen, die zum Aufbau dieses Repositorys verwendet werden, basieren auf allgemein verfügbaren Daten. Deshalb gibt es keine Probleme mit den Datengesetzen der verschiedenen Länder. Das bedeutet allerdings auch, dass es, sobald ein Open-Source-Repository zur Verfügung steht, keine Sicherheits- oder Eigentumsbeschränkungen und keine gemeinsame Nutzung mehr gibt. Sobald es fertig ist, kann es mit lokalen Strafverfolgungsbehörden geteilt werden.

Möglichkeiten mit dem Cybercrime Atlas

Leider ist dies nichts, wovon kommerzielle Organisationen auf der ganzen Welt direkt profitieren können. Lediglich Unternehmen, die das Projekt über ihre Analysten unterstützt haben, werden Zugang zu dieser Datenbank haben. Aber im Wesentlichen handelt sich um ein Instrument, das für die Strafverfolgung geschaffen wurde. Wenn der Cybercrime Atlas fertiggestellt und in Gebrauch ist, können lokale Strafverfolgungsbehörden weltweit ihre Datensätze mit der Datenbank abgleichen und ihre eigenen Informationen ergänzen.

Der Atlas befindet sich jedoch noch in der Entwicklung und ist noch nicht ausgereift genug, um größere Fragen zu berücksichtigen. Also zum Beispiel, was passiert, wenn Bedrohungsakteure beginnen, ihn als Bedrohung zu sehen und überzeugende falsche Informationen produzieren, um die Ermittlungen in eine andere Richtung zu lenken. Aber es wurde “viel Geld” in dieses Projekt gesteckt, und das Interesse der Strafverfolgungsbehörden auf der ganzen Welt dürfte groß sein.

Maiden teilt mit, dass Fortinet nach weiteren Möglichkeiten sucht, die entstandene Community zu nutzen und nach anderen Möglichkeiten, um gegen Cyberkriminalität vorzugehen. Es könnte sein, “dass wir möglicherweise eine rechtliche oder politische Änderung in einer bestimmten Gerichtsbarkeit anstreben, in der diese bösen Jungs einige ihrer Operationen oder Infrastrukturen betreiben – und einige dieser breiteren Auswirkungen auf der Grundlage dieser anfänglichen Plattform und Community betrachten.”

Vorteile einer weltweit einheitlichen Cybercrime-Datenbank

Obwohl die Details großer Angriffe in der Regel unter Verschluss gehalten werden, gab es schon immer eine Zusammenarbeit zwischen Cybersicherheitsexperten. Die Unterstützung durch eine unabhängige Organisation wie das Weltwirtschaftsforum könnte nicht nur dazu beitragen, eine weltweite Gemeinschaft zusammenzubringen, sondern auch eine zusätzliche Ebene des Vertrauens schaffen.

Es ist unwahrscheinlich, dass alle Länder davon profitieren werden, zumindest nicht, solange staatlich geförderte Angriffe eine Bedrohung darstellen und die Länder, in denen die Angreifer möglicherweise ihren Sitz haben, nicht mit anderen Ländern zusammenarbeiten wollen. Ein aktuelles Beispiel dafür ist, dass das Five-Eyes-Mitglied Australien bei seinem Versuch, mit Russland zusammenzuarbeiten, bekannt gab, dass es von Russland noch keine Antwort auf den Cyberangriff auf den privaten Krankenversicherungsanbieter Medibank erhalten hat.

Im November 2022 enthüllte die australische Bundespolizei (AFP), dass sich die Verantwortlichen für den Medibank-Data-Breach in Russland aufhielten. Im Anschluss an ein Treffen der Five Eyes Strafverfolgungsbehörden in Melbourne, Australien, teilte AFP-Kommissar Reece Kershaw in einem Interview mit Nine’s 60 Minutes mit, dass Australien immer noch darauf wartet, Informationen aus Russland zu erhalten. “Wir haben unseren Standpunkt dazu mitgeteilt, wer unserer Meinung nach einige dieser Personen und Gruppen sind. In Anbetracht der Tatsache, dass wir einige sehr detaillierte, spezifische Informationen weitergegeben haben, würden wir gerne ein Ergebnis zurückerhalten, und darauf warten wir immer noch.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.