Cybercrime-Zentrum

So kämpft Microsoft gegen Internetkriminalität

09.12.2016
Von 

Milad Aslaner ist Senior Product Manager Windows Commercial und Security bei Microsoft. Er gilt als B2B-Marketing-Experte in den Bereichen Sicherheit, Entwicklung und Business Mobility.

Ein Besuch im Cybercrime-Center von Microsoft: Wir zeigen Ihnen, wie der Windows-Gigant dunkle Machenschaften im Netz bekämpft.

Rund eine Million Menschen werden weltweit jeden Tag zum Opfer von Internetkriminalität - jede Sekunde trifft es also 12 Menschen, die gerade online sind. Die Weltwirtschaft ächzt unter der Last: Schadsoftware verursacht durch ihre negativen Auswirkungen auf Produktivität und Wachstum jährliche Kosten von rund drei Billionen US-Dollar.

Wie die Marktforscher von IDC prognostizierten, werden Unternehmen künftig alleine 127 Milliarden US-Dollar für die Behebung von Sicherheitsproblemen ausgeben werden, die durch Raubkopien entstanden sind. Weitere 364 Milliarden US-Dollar werden dann für die Beseitigung der Malware fällig, die über diese Raubkopien den Weg ins Unternehmen gefunden hat.

Mit der international besetzten Digital Crimes Unit (DCU) hat Microsoft eine Initiative gegen Internetkriminalität ins Leben gerufen. Das Ziel: Computerkriminalität in Echtzeit aufdecken und Hackerangriffe verhindern. Die Erkenntnisse der DCU fließen darüber hinaus auch in die Software-Entwicklung ein.

Von Hacker-Verfolgern und Botnet-Jägern

Im Cybercrime Center auf dem Campus des Firmengeländes in Redmond laufen die Fäden der weltweit agierenden DCU zusammen. Das Team besteht aus mehr als einhundert IT-Experten, Kriminalbeamten und Anwälten in 30 verschiedenen Ländern. Gemeinsam gehen sie - mithilfe modernster Technologien und in Kooperation mit Hochschulen, Industriepartnern, NGOs sowie Strafverfolgungsbehörden - gegen organisierte Internetkriminalität vor.

Im Visier der DCU: Schadsoftware, Copyright-Verstöße, Botnetze sowie die Verbreitung von kinderpornografischem Material. Seit seiner Gründung im Jahr 2010 hat Microsofts Cybercrime-Team nach eigenen Angaben bereits Schadcode auf weit mehr als zehn Millionen infizierten Endgeräten in Verbindung mit über fünfzig Millionen IP-Adressen entfernt.

Als vor einigen Jahren das sogenannte "Citadel"-Botnetüber fünf Millionen Privat- und Unternehmens-Rechner in rund 90 Ländern befiel, bekam der Großteil der betroffenen Nutzer davon gar nichts mit. Von einem Botnet-Angriff spricht man, sobald Schadsoftware durch eineSicherheitslücke auf einen PC gelangt und dort durch versteckte Rechenabläufe im Hintergrund die Kontrolle über den Computer übernimmt. Der Computer wird dann Teil einer mehr oder weniger großen Gruppe infizierter Rechner, die wie ferngesteuerte "PC-Zombies" Befehle ausführen.

Ein osteuropäischer Cybercrime-Ring entwendete mit Hilfe dieser Taktik damals Login-Daten, Sozialversicherungsnummern, Finanzdaten und andere persönliche Daten. Im Laufe von sechs Monaten hatten die Hacker über das Botnetz geschätzte 500 Millionen US-Dollar von Privatpersonen und Unternehmen gestohlen, bevor es von der DCU - in Kooperation mit Finanz-Experten und dem FBI - ausgehoben wurde.

Das über Jahre größte und hartnäckigste Spam-Botnet namens "Rustock" ist ein weiteres bekanntes Beispiel für die erfolgreiche Botnet-Jagd der DCU. Rustock war zu seinen Peak-Zeiten in der Lage, pro Tag 30 Milliarden Spam-Mails zu verschicken. Laut "Wall Street Journal" war das Botnetz im Jahr 2010 sogar für die Hälfte aller Spam-Mails weltweit verantwortlich. Insgesamt wurden nach Aussage von Microsoft in den letzten fünf bis sechs Jahren zwölf der fünfzehn weltweit operierenden Botnets mit Beteiligung der Digital Crimes Unit zerschlagen.

Dazu ist jede Menge Technologie nötig: Das Cybercrime Center verfügt über modern ausgestattete Labore, selbstlernende Analysetoolsund natürlich Manpower, beziehungsweise Expertise. Die Mitglieder der DCU arbeiteten früher unter anderem als Ingenieure, Banker, Analysten, Physiker oder auch als Anwälte und Polizisten. Darüber hinaus verfügt das Cybercrime Center auch über eine zugangsgesicherte Einrichtung für externe Fachleute von Regierungsbehörden, Hochschulen, Kunden und Industriepartnern.

Seit 2010 kämpft die Digital Crimes Unit gegen Internetkriminalität.
Seit 2010 kämpft die Digital Crimes Unit gegen Internetkriminalität.
Foto: Getmilitaryphotos - shutterstock.com

Hat die DCU eine potenzielle Bedrohung durch Schadsoftware identifiziert, wird der Code detailliert analysiert und auf seine Herkunft und Zusammensetzung untersucht. Das führt dann gegebenenfalls zur rechtlich unterstützten Verfolgung und Zerschlagung eines Netzwerks für Internetkriminalität.

Die Cyberforensik-Tools der DCU

PhotoDNA ist eines der Tools, das die DCU zur Bekämpfung von kriminellen Machenschaften im Internet einsetzt. In diesem Fall zur Bekämpfung von Kinderpornografie im Netz. Schätzungen zufolge werden täglich 720.000 solcher Fotos von Kindern im Netz hochgeladen. Das Tool nutzt eine Datenbank mit sogenannten Hash-Werten bekannter kinderpornografischer Abbildungen. Dazu wird das Bild auf ein simples Schwarz-Weiß-Raster reduziert und in einen Zahlenwert (Hash) umgerechnet. Dieses Raster ergibt die individuelle, digitale Signatur eines Bildes. Auf der Basis dieses digitalen Fingerabdrucks lässt sich das Bild dann automatisiert identifizieren, wenn es an anderer Stelle wieder auftaucht - selbst dann, wenn es verändert oder verfremdet wurde.

PhotoDNA ermöglicht auch das Aufspüren von neuem, illegalem Bildmaterial: Der numerische Hash-Wert des Bildes wird dazu mit denen von bereits identifizierten, einschlägigen Abbildungen aus der Bilddatenbank verglichen. Das Tool ist für qualifizierte Unternehmen und Organisationen kostenlos erhältlich und wird weltweit von zahlreichen Strafverfolgungsbehörden und Konzernen wie Facebook, Twitter oder Flipboard eingesetzt.

Mit SitePrint, einer Art interaktiven Landkarte, lässt sich wiederum der Standort von PCs die mit Schadsoftware infiziert sind, genau bestimmen. Ein Beispiel: einem Microsoft-Reseller wurde eine Lieferung von 3600 Laptops gestohlen. Hilfesuchend wandte sich das Unternehmen an die DCU. Die setzte wiederum SitePrint ein und konnte damit über die Aktivierungscodes der Devices innerhalb von zehn Minuten eine aussagekräftige Karte erstellen, auf der im Zeitraffer die jeweiligen Standorte der gestohlenen Geräte sichtbar wurden - und zwar immer dort, wo sie das erste Mal online gingen.

Alle Ermittlungs-Daten und -Erkenntnisse der DCU fließen in das sogenannte "Cyber Threat Intelligence Progam" (C-TIP) ein. Diese cloudbasierte Software-Lösung stellt Microsoft für Landesverwaltungen kostenfrei zur Verfügung. Weltweit nutzen bereits über 45 sogenannte National Computer Response Teams diese Lösung. Dabei soll C-TIP nicht nur dabei helfen, die jeweils landesspezifische Schadsoftware-Situation besser zu verstehen: Das Programm kann beispielsweise auch für die Verteilung von Anti-Malware-Tools benutzt werden.