Hinter den Kulissen des Cyber Crime Centers

Wie Microsoft Datendieben den Kampf ansagt

Mit seinem Cyber Crime Center und den damit verbundenen Sicherheitsteams will Microsoft Online-Kriminellen weltweit auf die Schliche kommen und künftige Cyber-Angriffe verhindern.

Cyber-Kriminellen den Garaus machen

Mit seinem Cyber Crime Center will Microsoft Cyber-Kriminellen den Garaus machen.

Jeden Tag fallen circa 1.000.000 Menschen weltweit Online-Kriminalität zum Opfer – jede Sekunde trifft es zwölf Menschen, die gerade online sind. Schad-Software kostet die globale Weltwirtschaft jährlich drei Billionen US-Dollar durch ihre negativen Auswirkungen auf Produktivität und Wachstum. Die Marktforscher von IDC prognostizieren, dass Unternehmen zukünftig allein 127 Mrd. US-Dollar für die Behebung von durch Raubkopien entstandene Sicherheitsproblemen ausgeben werden sowie weitere 364 Mrd. US-Dollar für die Beseitigung von Malware, die mittels Raubkopien ihren Weg ins Unternehmen gefunden hat. Mit der international besetzten „Digital Crimes Unit (DCU)“ des Cyber Crime Centers hat Microsoft vor einiger Zeit eine Initiative gegen Internet-Kriminalität ins Leben gerufen – mit dem Ziel, Online-Kriminalität in Echtzeit aufzudecken und Cyber-Angriffe zu verhindern. Die Erkenntnisse der DCU fließen darüber hinaus in die Software-Entwicklung – z.B. rund um das Betriebssystem Windows 10 – des Anbieters ein.

Im Cyber Crime Center auf dem Campus des Firmengeländes in Redmond (USA) laufen die Fäden der weltweit agierenden Digital Crimes Unit zusammen. Diese besteht aus über 100 IT-Experten, Kriminalbeamten und Anwälten in 30 verschiedenen Ländern. Sie alle gehen gemeinsam mithilfe moderner Technologien und in Kooperation mit Hochschulen Industriepartnern, NGOs sowie Strafverfolgungsbehörden wie der Polizei und dem FBI gegen organisierte Online-Kriminalität vor. Im Visier der Unit: Schad-Software, Copyright-Verstöße, Botnets sowie die Verbreitung von kinderpornografischem Bildmaterial. Seit seiner Gründung im Jahr 2010 hat das Team bereits Schad-Software auf weit über zehn Millionen infizierten Endgeräten in Verbindung mit über 50 Millionen IP-Adressen entfernt.

Von Hacker-Verfolgern und Botnet-Jägern

Als vor einigen Jahren das sogenannte „Citadel Botnet“ über fünf Millionen Computer von Privatanwendern und Firmenarbeitsplätzen in über 90 Ländern befiel, bekam der Großteil der betroffenen Nutzer davon gar nichts mit. Von einem Botnet-Angriff spricht man, sobald Schad-Software durch eine Sicherheitslücke auf einen PC gelangt und dort durch versteckte Rechenabläufe im Hintergrund die Kontrolle über den Computer übernimmt. Der Computer wird dann Teil einer mehr oder weniger großen Gruppe infizierter Rechner, die wie ferngesteuerte „PC-Zombies“ die Befehle des Botnets ausführt. Ein Ring osteuropäischer Online-Krimineller entwendete mit dem Citadel Botnet damals Login-Daten, Sozialversicherungsnummern, Finanzdaten und andere persönliche Daten. Im Laufe von sechs Monaten hatte das Botnet mit diesen Informationen über 500.000 Millionen US-Dollar von Privatpersonen und Firmen weltweit gestohlen, bevor es von der Unit in Kooperation mit Bankexperten und dem FBI eliminiert wurde.

Das über Jahre größte und hartnäckigste Spam-Botnet namens Rustock ist ein weiteres Beispiel für die erfolgreiche Botnet-Jagd der Einheit. Rustock war zu seinem Höhepunkt in der Lage, pro Tag 30 Milliarden Spam-Mails zu verteilen. Laut Wall Street Journal war das Botnet im Jahr 2010 sogar für die Hälfte aller Spam-Mails weltweit verantwortlich, bevor es die DCU ein Jahr später unschädlich machen konnte. Insgesamt wurden in den letzten fünf bis sechs Jahren zwölf der 15 weltweit operierenden Botnets unter der Führung der Unit zerschlagen.

Damit man Online-Kriminalität so erfolgreich bekämpfen kann, verfügt das Cyber Crime Center über moderne Labore, über selbstlernende Analysetools und ein Team ausgesuchter Experten. Darüber hinaus verfügt das Zentrum über eine zugangsgesicherte Einrichtung für externe Fachleute von Polizei, FBI, Hochschulen, Kunden und Industriepartnern. Diese können somit jederzeit vor Ort mit den Spezialisten zusammenarbeiten. Hat die Unit eine potentielle Bedrohung durch Schad-Software identifiziert, werden die schädlichen Codes detailliert analysiert und auf ihre Herkunft und Zusammensetzung untersucht, was dann ggf. zur rechtlich unterstützten Verfolgung und Zerschlagung eines cyber-kriminellen Netzwerks führt.

Cyber-Forensik mit PhotoDNA

Eines der Tools, die man bei der Bekämpfung von kriminellen Machenschaften – etwa von Kinderpornografie – im Internet einsetzt, ist PhotoDNA. Schätzungen zufolge werden täglich 720.000 missbräuchliche Fotos von Kindern im Netz hochgeladen. Das Tool nutzt eine Datenbank mit sogenannten Hash-Werten bekannter kinderpornografischer Abbildungen. Dazu wird das Bild auf ein simples Schwarz-Weiß-Raster reduziert und in einen Zahlenwert (Hash) umgerechnet. Dieses Raster ergibt seine individuelle, digitale Signatur. Auf der Basis dieses digitalen Fingerabdrucks lässt sich das gleiche Bild dann automatisiert identifizieren, wenn es an anderer Stelle wieder auftaucht – selbst dann, wenn es verändert oder entfremdet wurde. Ebenso ermöglicht PhotoDNA das Aufspüren von neuem illegalem Bildmaterial, indem es den numerischen Hash-Wert des Bildes mit den Werten bereits identifizierten, einschlägigen Abbildungen aus der Bilddatenbank vergleicht. Das Tool ist für qualifizierte Unternehmen und Organisationen kostenlos erhältlich und wird weltweit sowohl von zahlreichen Strafverfolgungsbehörden, als auch von Konzernen wie Facebook, Twitter oder Flipboard eingesetzt.

Mit Siteprint, einer Art interaktiven Landkarte wiederum lässt sich der Standort von PCs, die mit Schad-Software infiziert sind, genau lokalisieren. So etwa, als einem Microsoft-Reseller eine Lieferung von 3.600 Laptops gestohlen wurden. Der Partner wandte sich an die Digital Crimes Unit. Und diese konnte helfen: Dank der individuellen Aktivierungscodes jedes Laptops entwickelte das Tool Sitemap binnen zehn Minuten eine aussagekräftige Karte: Auf der im Zeitraffer beobachteten Karte leuchteten die jeweiligen Standorte der gestohlenen Laptops auf. Und zwar immer dort, wo sie das erste Mal online gingen.

Alle ausgewerteten Daten und Ergebnisse aus den Ermittlungen der DCU fließen in das Cyber Threat Intelligence Progamm (C-TIP) ein. Microsoft stellt diese Software Landesverwaltungen kostenfrei zur Verfügung. Über den Globus verteilt, nutzen bereits über 45 sogenannte National Computer Response Teams (CERTs) die Lösung. C-TIP dient dazu, die jeweils landesspezifische Schad-Software-Situation besser zu verstehen. Zudem startet das Programm auch Informationsaktionen wie etwa die Verteilung von Anti-Malware-Tools.

Nicht zuletzt kommen die Erkenntnisse der DCU auch den Software-Entwicklern des Anbieters zugute, die damit sensible Sicherheits-Features entwickeln. „Die Arbeit der Unit sorgt dafür, dass wir unsere Produkte immer besser gegen die Angreifer im digitalen Raum schützen können, erklärt Milad Aslaner, Product Manager bei Microsoft Deutschland. „Bei der Produktentwicklung geht es uns daher darum, leistungsstarke Sicherheitslösungen zu entwickeln und uns damit gegen bestehende Gefahren aus dem Netz zu verteidigen. Ein Großteil unserer Forschungsarbeit befasst sich dabei mit der Entwicklung von innovativen Methoden zur aktiven Bekämpfung von Internet-Kriminalität“, so Aslaner, und betont, dass man diese Information auch Unternehmen zur Verfügung stellt.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok