Weitere Analysemethoden

Neben Honeypots setzen deutsche Unternehmen, insbesondere die Zugangsprovider, weitere Verfahren ein, um Cyberattacken zu erkennen und zu analysieren. Bei der 1&1 Internet AG sind das beispielhaft die folgenden fünf:

• Spamtraps: Das gezielte Einsammeln von Spam-Mails und der anschließende Abgleich der Absender-IP-Adressen sowie der Zeitstempel ermöglicht die Identifizierung von DSL-Systemen aus den 1&1-Netzbereichen, die möglicherweise als Spamschleudern missbraucht werden;

• Auswertung von DDoS-Attacken: Durch die Analyse von DDoS-Angriffe lassen sich neben dem "verursachenden" Schädling auch die am Angriff beteiligten Systeme herausfinden;

• Externe Beschwerden: 1&1 betreibt eine Abuse-Abteilung, die Hinweise aus Drittquellen auswertet, unter anderem aus den Landeskriminalämtern und dem Bundesamt für Sicherheit in der Informationstechnik;

• Sinkholes: Das Unternehmen registriert gezielt Domains, die als Command & Control-Server für Botnetze missbraucht werden könnten. Sobald ein Malware-Algorithmus bekannt ist, lassen sich diese Domains nämlich identifizieren - wie einst beim "Conficker"-Virus. Die Zahl der Zugriffe auf die Domains gibt Rückschluss auf die Größe des Botnetzes;

• Kooperationen: Projekte wie ProjectHoneyPot, Zeus-Tracker oder die ShadowServer Foundation analysieren neue Malware und unterwandern diese durch gezieltes Platzieren von Dronen. 1&1 unterstützt diese Projekte und erhält dafür im Gegenzug die Analysedaten zur internen Verwendung.