Cyber-Kriminalität
Daten – im Kampf gegen Kriminalität
Daten werden auch im Kampf gegen die Kriminalität dringend benötigt, sei es die von Opfersystemen aber auch die von Sicherheitsanbietern. Wir zeigen, wofür etwa Verbindungsdaten dienen oder das Wissen um Häufigkeit von bestimmten Angriffen.
Seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, stehen Daten im Fokus der Diskussion bezüglich deren erlaubten und nicht erlaubten Nutzung. Leider erfolgt dieser Streit häufig wenig nuanciert. Die DSGVO betrachtet „Persönlich Identifizierbare Informationen“ (PII) als zur „Person“ gehörend und dem Willen dieser unterlegen. „Daten“ als Begriff beinhaltet jedoch auch Informationen, die nicht von der DSGVO geschützt werden, und anderen Zwecken dienen.
Daten werden nämlich auch im Kampf gegen die Kriminalität dringend benötigt. Und in diesem Zusammenhang ist es wichtig, dass der Begriff „Daten“ für alle im Sicherheitskontext relevanten Informationen verwendet wird. PII spielt dabei bis auf wenige Ausnahmen keine Rolle. Natürlich ist die DSGVO dabei auch relevant und muss entsprechend gewürdigt werden. Alles Wissenswerte können Interessierte in einem Whitepaper für Datenschutzbeauftragte und auch eine Zusammenfassung in unserem Blog nachlesen.
In einem ersten Teil haben wir den Nutzen der uns zur Verfügung gestellten für Unternehmen behandelt. Die Daten dienen der Reaktionsgeschwindigkeit sowie der Qualität der Analysen in Angriffsfällen. Durch den Vergleich vieler unterschiedlicher Informationen können aber genauso Risiken dargestellt werden sowie Richtwerte und Vergleichszahlen, anhand derer beispielsweise beurteilt werden kann, wie gut das eigene Unternehmen abgesichert ist.
Doch es gibt noch ein weiteres Anwendungsgebiet, das ebenso wichtig ist:
Zusammenarbeit mit Strafverfolgungsbehörden
Bei den Ermittlungen im Zusammenhang mit Internetkriminalität gibt es für die Polizei viele Herausforderungen. Die Täter sind in der Regel weltweit organisiert, und die Opfer kommen aus verschiedenen Ländern. Ohne internationale Zusammenarbeit stehen die Behörden da auf verlorenem Posten. Und das Wichtigste bei den Ermittlungen ist, viele Informationen zu Taten und Tatbeständen auswerten zu können.
Diese Informationen stammen zum einen von Opfersystemen -- wenn diese zur Zusammenarbeit mit der Polizei bereit sind. Zum anderen kommen sie aber auch von Sicherheitsanbietern wie Trend Micro. Durch unsere Sensoren sammeln wir beispielsweise Verbindungsdaten und können so die Herkunft von Cyberattacken identifizieren.
Interpol und Trend Micro kündigten 2014 eine Zusammenarbeit an, die bis heute anhält. Wir waren während dieser Zeit mehrfach an Takedowns oder ähnlichen Aktionen beteiligt. Zuletzt durften wir über unsere Rolle bei der von der Britischen NCA so genannten „Disruption“ (Betriebsunterbrechung) der Ransomware-as-a-Service Gruppe LockBit sprechen. Trend Micro unterstützte dabei nicht nur mit der Lokalisierung, sondern konnte u.a. auch den Code der nächsten Lockbit Ransomware Generation unschädlich machen. Art und Inhalt der Berichterstattung erfolgt dabei unter strenger Absprache mit den Strafverfolgungsbehörden. Zu den allermeisten Fällen mit unserer Beteiligung dürfen wir nichts sagen. Folglich ist der Wert, den Angriffsdaten für die polizeiliche Bekämpfung von Straftaten darstellen, nicht immer transparent.
Die Größe macht‘s
Was heute als Threat Intelligence oder Bedrohungswissen zum Handwerkszeug jeder IT-Security-Firma zählt, wurde von Trend Micro 2005 unter dem Namen „Smart Protection Network“ begonnen. Die Idee damals: kriminelle Verbindungsdaten sammeln und speichern. Nicht nur „Who is“, sondern auch „Who was“ definieren. Der Hintergrund ist, dass cyberkriminelle Infrastrukturen häufig ihre Namen wechseln aber bestimmte Registrierungsmerkmale bleiben. So können wir die Reputation von Servern, Webseiten oder auch E-Mail-Absendern beurteilen. Nicht nur anhand ihrer aktuellen Ausprägung, sondern auch anhand ihrer Historie, ob sie früher schon für cyberkriminelle Aktivitäten verwendet wurde. Wir speichern auch Angriffsrichtungen. So können wir z.B. feststellen, ob Branchen oder Länder im Fokus cyberkrimineller Aktivitäten stehen. Daraus ergeben sich statistische Tendenzen, die wir halbjährlich veröffentlichen. Die darunter liegenden Datenbanken haben heute eine Größenordnung von mehreren Petabytes. Trend Micro findet und blockt damit im Jahr über 130 Milliarden Angriffe (2023). Durch die Verbindungsdaten können wir auch Attacken bestimmten Gruppen zuordnen.
Zur Verbesserung der Leistung
Vermutlich kennen sie diese Aussage, dass Daten zur Verbesserung des Angebotes eingesammelt werden, findet sie sich doch in fast allen EULAs Europas. Zudem wird sie in der Abfrage zur Erlaubnis der Verwendung von Cookies verwendet. Die Verbesserung der Leistungsfähigkeit eines Angebots gilt als „berechtigtes Interesse“ im Rahmen der DSGVO. Es ist deshalb eine gern genutzte Phrase, auch um doch wieder PII einzusammeln.
Für den IT-Sicherheitsbereich muss gesagt werden, dass auf zwei sich feindlich gegenüber stehenden Seiten an der Security gearbeitet wird -- die einen wollen sie verbessern, die anderen umgehen. Beide Seiten nutzen dafür alle Daten, die sie erhalten können, und zwar je mehr desto besser.
In einem Geschäft, in dem eine beliebige Technologie nach zwei Jahren zum Standard wird, und nach fünf Jahren als alter Hut gilt, sollte es nicht verwundern, dass die Entwicklungsgeschwindigkeit enorm und der Bedarf an fundierten Erkenntnissen über die Wirksamkeit der eigenen Maßnahmen hoch ist. Die Reaktionsgeschwindigkeit in der IT-Security hat sich in den letzten Jahrzehnten dabei von wöchentlichen Aktualisierungen bis zur direkten Reaktion weiterentwickelt.
Künstliche Intelligenzen werden weiterhin ständig optimiert und mit aktuellen Informationen gefüttert, um auch die nächsten Angriffe zu identifizieren. Aber nicht nur das: Um beispielsweise Aussagen über das Risiko einer offenen Schwachstelle tätigen zu können, ist es wichtig zu wissen, wie oft es Versuche gibt, sie auszunutzen. Je häufiger wir über unsere Filter einen entsprechenden (selbst wenn erfolgreich geblockten) Versuch erkennen, desto höher die Gefahr für Systeme, die ungeschützt sind. Dies führt dazu, dass Security eben nicht mehr auf den Angriff warten muss, sondern schon Risiken einschätzen und bewerten kann.
Fazit
Sie sagen sich wahrscheinlich, dies alles ist natürlich sinnvoll und gut, aber es bedeutet doch keinen großen Unterschied, ob Sie daran aktiv teilnehmen oder nicht.
Es gibt in der IT keine Verpflichtung an diesem Datenaustausch teilzunehmen, denn als privatwirtschaftlich geführtes Unternehmen haben wir dazu keine rechtliche Handhabe. Hier sei noch einmal NIS2 angesprochen. Die Politik kann eine solche Verpflichtung durchaus für bestimmte Unternehmen aussprechen und hat dies auch mit der neuen Gesetzgebung getan. Hintergrund ist, dass man sowohl die Wichtigkeit als auch strategische Bedeutung versteht. Auch wenn der Prozess mit drei Tagen unendlich lang im Vergleich zum technisch möglichen erscheint, so ist das pure Vorhandensein der Verpflichtung ein deutliches Signal seiner Relevanz.
Als Security-Unternehmen ist es unsere Aufgabe, unseren Kunden den bestmöglichen Schutz zukommen zu lassen. Das setzt aber auch voraus, dass Sie sich von uns helfen lassen wollen. Je mehr Sie uns über Ihr Netzwerk erzählen, desto besser können wir sie unterstützen. Dass das alles mit den Anforderungen der DSGVO vereinbar ist, dürfte klar sein, andernfalls würde ein solches Angebot in Europa nicht existieren.
Oft gibt es aber weitreichende Fragen. Trend Micro möchte mit der Erfüllung des vom BSI empfohlenen C5 Testates sowie der Zusammenfassung aller relevanter Datenschutzfragen im bereits erwähnten Whitepaper seinen Kunden, soweit es geht, entgegenkommen. Datenschutz ist uns wichtig – genauso wie der Schutz der Daten.