CrowdStrike-Bericht Russische Hacker sind die schnellsten

18 Minuten reichen fähigen Hackern aus, um sich in einem Netzwerk auszubreiten. So hat es die US-Firma CrowdStrike berechnet. Ihr Mitgründer zeigt sich aber vor allem von Nordkorea beeindruckt.

Hacker (Symbolbild)
DPA

Hacker (Symbolbild)

Von


Nur 18 Minuten brauchen die fähigeren unter Russlands Hackern im Schnitt, um sich nach der ersten Infektion eines Computers innerhalb eines Netzwerks auszubreiten. Schneller ist niemand. So jedenfalls steht es im Global Threat Report der IT-Sicherheitsfirma CrowdStrike, der heute veröffentlicht wurde.

"Zum ersten Mal bringen wir eine Rangliste heraus, in der wir unsere Gegner nach Fähigkeiten und Raffinesse sortieren", sagt Dmitri Alperovitch im Gespräch mit dem SPIEGEL. Alperovitch, geboren in Moskau, ist der Mitgründer und Technikchef der US-Firma. CrowdStrike ist jenes Unternehmen, das den Angriff auf Hillary Clintons Wahlkampfleiter wie auch den Hack des Democratic National Committee russischen Tätern zugeschrieben hatte. Mit Tausenden Kunden, von Regierungsbehörden bis Banken vor allem in der westlichen Welt, gilt es als einer der wichtigsten Dienstleister nach schweren Sicherheitsvorfällen.

Dmitri Alperovitch
picture alliance/ Sebastian Gabriel

Dmitri Alperovitch

"Wir haben in der Rangliste nicht berücksichtigt, wie ausgefeilt ihre Malware ist oder wie viele bisher unbekannte Sicherheitslücken sie nutzen", sagt Alperovitch, "denn das wäre irreführend. Solche Dinge kann man kaufen. Stattdessen haben wir ihre operativen Fähigkeiten untersucht - wie gut sie sind, wenn sie einmal in ein Netzwerk eingedrungen sind." Maßgeblich für die Rangliste ist das, was CrowdStrike "breakout time" nennt, die Zeit von der Erstinfektion eines Computers bis zur Ausbreitung auf weitere Computer im selben Netzwerk.

Dass Russland die derzeit fähigsten Hacker hervorbringt, wundert Alperovitch nicht. Erstaunt habe ihn aber, dass auf Platz zwei nicht etwa China gelandet ist, sondern Nordkorea. Mit zwei Stunden und zwanzig Minuten brauchen die Nordkoreaner im Schnitt zwar deutlich länger als die von CrowdStrike untersuchten russischen Hackergruppen. Aber "ich glaube, dass von allen Ländern im Cyberspace, die USA und Deutschland eingeschlossen, Nordkorea das innovativste ist", sagt Alperovitch. "Sie mögen nicht die komplexesten Werkzeuge haben, aber was das Erreichen der Ziele ihrer Regierung mithilfe des Internets angeht, sind sie führend".

Eine Minute, um einen IT-Sicherheitsvorfall zu entdecken

Auf den Plätzen drei bis fünf von CrowdStrikes Liste stehen China ("breakout time": vier Stunden) , Iran (fünf Stunden, neun Minuten) und alle kriminellen Gruppen, unabhängig von ihrer Herkunft (neun Stunden, 42 Minuten). Um die Zahlen und die Liste einordnen zu können, muss man einige Umstände kennen:

  • CrowdStrike ist ein US-Unternehmen, das von einer möglichst grimmigen Darstellung der IT-Bedrohungslage profitiert.
  • Mit rund 30.000 untersuchten Sicherheitsvorfällen allein im Jahr 2018 kann CrowdStrike einen bedeutenden Ausschnitt dieser Bedrohungslage abbilden - es bleibt aber ein Ausschnitt.
  • Die errechneten "breakout times" sind Durchschnittswerte. Im Fall von Russland beziehen sie sich auf rund ein Dutzend Hackergruppen, im Fall von China sind es etwa 70, im Fall von Nordkorea vier oder fünf. Einzelne Akteure können weniger oder mehr Zeit brauchen als 18 Minuten oder zwei Stunden.
  • Nicht immer ist eine möglichst geringe "breakout time" überhaupt das Ziel von Hackern, wie CrowdStrike im Report auch selbst einräumt.

Was also lässt sich aus den Daten überhaupt ablesen? Alperovitch sagt: "Geschwindigkeit ist der Schlüssel zur Verteidigung". Es gelte die 1-10-60-Regel: Die besten von CrowdStrikes Kunden brauchen im Schnitt eine Minute, um einen IT-Sicherheitsvorfall zu entdecken. Zehn Minuten brauchen sie, um festzustellen, ob es sich um einen echten oder einen Fehlalarm handelt. Und innerhalb von 60 Minuten leiten sie Gegenmaßnahmen ein. Als Vorstand einer Firma oder Leiter einer IT-Abteilung kann man sich nun fragen, ob man im Fall einer ernsthaften Attacke selbst so schnell oder aber langsamer wäre, als es wirklich fähige Angreifer sind.

Hacker aus den USA oder Großbritannien hat CrowdStrike nach Angaben von Alperovitch nicht untersucht - weil man sie nie in den Systemen der Kunden entdeckt hat. Aber er hält sie für noch schneller als die bekannten russischen Akteure: "Ich gehe davon aus, dass sie unsere Liste anführen würden".

Mehr zum Thema


insgesamt 27 Beiträge
Alle Kommentare öffnen
Seite 1
Bibs1980 19.02.2019
1. Oh je
"gilt es als einer der wichtigsten Dienstleister nach schweren Sicherheitsvorfällen" CrowdStrike verkauft Endgeräte-Sicherheitssoftware wie auch McAffee oder Norton oder Microsoft selbst. Das ist ein Werbegag zur Verkaufsförderung der eigenen Software. Muss man heute wirklich nur "Hacker", "Russland" und "Gefahr" in eine Pressemitteilung schreiben, um überall kostenlose Werbung zu bekommen????
Allein-Unter-Welpen 19.02.2019
2. Nach der "erfolreichen" Analyse des DNC "Hacks"
braucht CrowdStrike wohl neue Kunden... Eigentlich sollte einer Firma wie CrowdStrike die Rechtslage in den USA bekannt sein - die Server haetten dem FBI uebergeben werden muessen oder eine Beauftragung durch das FBI vorliegen muessen. Tatsaechlich sind ALLE von CrowdStrike "Beweise" fuer einen DNC "Hack" vor Gericht nicht verwertbar. CrowdStrike haette somit seinem Auftraggeber geschadet - vorausgesetzt diesem waere es um eine Strafverfolgung gegangen...
Galluss 19.02.2019
3. Spinner bewundern Spinner
Kein Wort über Echolon. Wikipedia: https://de.wikipedia.org/wiki/Echelon
manicmecanic 19.02.2019
4. Parteiischer gehts nicht
Man braucht nur zu lesen daß die keine Hacker aus westlichen Ländern aufführen,weil man halte sich fest sie bisher keine gefunden haben!
Rassek 19.02.2019
5. Lustig..
Die USA und westlichen Länder haben keine Abhöranlagen oder Hacker ))). Warum werden denn solche Aussagen vom Verfasser nicht mal ergänzt. Der Herr Beuth ist doch ein helles Köpfchen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.