Threat Actor - Angreifer-Kategorisierung und Attribution
Threat Actors sind die Akteure hinter Cyberangriffen - klassifiziert nach Motivation, Ressourcen und Fähigkeiten: Nation-State-Gruppen (APT28, Lazarus), organisierte Kriminalität (Ransomware-as-a-Service), Hacktivisten, Insider-Threats und opportunistische Script-Kiddies. Die Kenntnis des relevanten Threat Actors bestimmt welche Schutzmaßnahmen sinnvoll sind.
Threat Actor Attribution - die Zuordnung von Angriffen zu spezifischen Gruppen - ist eine der komplexesten Disziplinen der Cybersicherheit. Gleichzeitig ist sie entscheidend: Wer meine realistischen Angreifer sind, bestimmt welche Schutzmaßnahmen Priorität haben und welche Ressourcen für Angriffe zur Verfügung stehen.
Threat Actor Taxonomie
1. Nation-State Actors (Staatlich gesponserte Gruppen)
- Ressourcen: Unbegrenzt (staatliches Budget)
- Fähigkeiten: Elite (Zero-Days, Custom-Malware, SIGINT)
- Motivation: Spionage, Sabotage, strategische Interessen
- Geduld: Monate bis Jahre (APT = Advanced Persistent Threat)
- Ziele: Regierungen, Rüstung, Energie, Kritische Infrastruktur
Bekannte Gruppen:
- APT28 (Fancy Bear / Russland GRU): Geopolitische Spionage, NATO-Länder, Ukraine-Konflikt; Tools: X-Agent, Sofacy, Zebrocy; Operationen: DNC Hack 2016, Bundestag 2015
- APT29 (Cozy Bear / Russland SVR): Langfristige Spionage, saubere Techniken, wenig Rauschen; SolarWinds Hack (SUNBURST-Backdoor) 2020; Corona-Impfstoff-Forschungsdiebstahl
- Lazarus Group (Nordkorea): Einzige staatliche Gruppe mit primär finanzieller Motivation; Krypto-Diebstahl ~1,7 Mrd USD in 2023; Sony Hack 2014, Bangladesh Bank 2016, WannaCry
- APT41 (Winnti / China MSS): Doppelmotivation Spionage + finanzieller Gewinn; Lieferketten-Angriffe (CCleaner, ASUS Live Update); Gesundheitswesen, Spielebranche, Telekommunikation
- Sandworm (Russland GRU Unit 74455): Sabotage und Destruktion; NotPetya 2017 (10+ Mrd USD Schaden), Ukraine Stromausfälle
2. Cyberkriminelle / Organisierte Kriminalität
- Ressourcen: Hoch (Ransomware-Einnahmen: Milliarden/Jahr)
- Fähigkeiten: Hoch bis sehr hoch (professionell, arbeitsteilig)
- Motivation: Finanziell (Ransomware, Datendiebstahl, BEC)
- Ziele: Alle zahlungsfähigen Unternehmen (opportunistisch)
Ransomware-as-a-Service Gruppen:
- LockBit (bis 2024): Größte RaaS-Gruppe (~40% aller Ransomware-Angriffe); Affiliate-Modell: Entwickler 20%, Angreifer 80%; zerstört durch Operation Cronos (FBI/Europol/NCA) 2024
- ALPHV / BlackCat: Rust-basierte Ransomware; Double/Triple Extortion (Verschlüsselung + Leak + DDoS); MGM Resorts 2023 (~100M USD Schaden)
- Cl0p: Spezialisiert auf Massenausnutzung von Schwachstellen; MOVEit-Kampagne 2023: 2.000+ Organisationen betroffen
Underground-Wirtschaft: Ransomware-Einnahmen 2023 ~1,1 Mrd USD (Chainalysis), durchschnittliches Lösegeld ~400.000 USD (Coveware Q4 2023), Access Broker verkaufen kompromittierte Zugänge für 500-5.000 USD, Stealer Logs für 50-200 USD/Batch.
3. Hacktivisten
- Ressourcen: Niedrig bis mittel; Fähigkeiten: Niedrig bis mittel (oft Commodity-Tools)
- Motivation: Politisch, ideologisch; Hauptgefahr: DDoS, Website-Defacement
- Anonymous: Dezentral, keine feste Struktur; KillNet: Pro-russisch, DDoS gegen NATO-Länder; Hacktivismo: Menschenrechte, gegen Zensur
- Relevanz für Unternehmen niedrig, außer bei politisch sensiblen Branchen
4. Insider Threats
- Ressourcen: Hoch (legitimer Systemzugang!); Fähigkeiten: Variabel
- Motivation: Unzufriedenheit, finanzielle Not, Erpressung, Rache
- Malicious Insider: Bewusster Schaden, Datendiebstahl
- Negligent Insider: Unachtsames Handeln, Phishing-Opfer
- Compromised Insider: Konto übernommen, kein Wissen des Nutzers
60% aller Datenlecks involvieren eine Insider-Komponente (Durchschnittliche Kosten: 15,4 Mio USD, IBM 2023). Erkennung via UEBA: Anomalien in Zugriffsmustern, Massendownload kurz vor Kündigung, Zugriff auf ungewöhnliche Systeme.
5. Script Kiddies / Opportunisten
- Ressourcen/Fähigkeiten: Niedrig (nutzen vorhandene Tools und Exploits)
- Motivation: Neugier, Geltungssucht, Petty Crime
- Hauptgefahr: Ausnutzung bekannter ungepatchter Schwachstellen, automatisierte Scans (Shodan-getrieben), Credential Stuffing mit gestohlenen Listen - treffen auch KMU!
Threat Actor Profile für Risikoabschätzung
| Branche | Wahrscheinlichste Threat Actors | Empfehlung |
|---|---|---|
| Gesundheitswesen | Ransomware: SEHR HOCH; Nation-State (Medizinforschung): MITTEL | Air-Gapping kritischer Systeme, Netzwerksegmentierung |
| Finanzdienstleister | Ransomware: HOCH; Org. Kriminalität (BEC, Fraud): SEHR HOCH; Nation-State (Lazarus): MITTEL | Starkes MFA, Transaktionsmonitoring, BEC-Schutz |
| Kritische Infrastruktur | Nation-State (Sandworm, APT33): SEHR HOCH; Hacktivisten: MITTEL | OT/IT-Trennung, Incident Response, KRITIS-Anforderungen |
| KMU (allgemein) | Script Kiddies: HOCH; Ransomware: HOCH; Nation-State: NIEDRIG | Grundhygiene (Patching, MFA, Backup) |
Threat-Intelligence-Quellen für Attribution:
Kostenlos:
- MITRE ATT&CK Groups (attack.mitre.org/groups/): Alle bekannten APT-Gruppen mit TTPs, Tools, Zielbranchen
- Mandiant APT Reports (mandiant.com/resources/blog)
- CISA Known Exploited Vulnerabilities (KEV) (cisa.gov/known-exploited-vulnerabilities)
- BSI Warnmeldungen (bsi.bund.de → Bedrohungslage)
Kostenpflichtig:
- Recorded Future Intelligence Cloud
- CrowdStrike Intelligence
- Mandiant Advantage Threat Intelligence
- MISP (Malware Information Sharing Platform) - kostenlos, Community-betrieben
