Fahndung in Dark-Web-Foren

In einem internationalen Forschungsprojekt hat Sophos gemeinsam mit der Université de Montréal und dem kanadischen Sicherheitsunternehmen Flare neue Wege beschritten, um zentrale Figuren der Cyberkriminalität aufzuspüren. Mithilfe von Künstlicher Intelligenz (KI), Methoden aus der Kriminologie sowie moderner Datenanalyse gelang es dem Team, gezielt nach den „stillen Experten“ in einschlägigen Darknet-Foren zu fahnden – also nach besonders einflussreichen, aber schwer erkennbaren Akteuren.

Die Ergebnisse fließen nun direkt in die laufende Bedrohungsanalyse der Sophos Counter Threat Unit (CTU) ein.

Wer sind die wirklich gefährlichen Akteure?

Cyberkriminelle Foren im Darknet sind wahre Fundgruben für Informationen über Schwachstellen, neue Angriffsmethoden und sich entwickelnde Bedrohungsszenarien. Bislang wurden diese Foren bei Sophos von Spezialist:innen händisch ausgewertet – ein aufwendiger Prozess. Ziel des Projekts war es daher, diese Analysen durch automatisierte Verfahren zu ergänzen, um gezielt diejenigen Nutzer:innen zu identifizieren, die im Cybercrime-Ökosystem eine besonders zentrale Rolle spielen.

So wurde geforscht: Daten, Methoden, Ziele

Zwischen 2015 und 2023 analysierte das Forschungsteam über 11.000 Beiträge von mehr als 4.400 Nutzer:innen aus 124 einschlägigen Foren. Dabei wurden über 6.000 bekannte Sicherheitslücken (CVEs) extrahiert. Um Muster zu erkennen, verband das Team diese mit den zugehörigen Angriffstechniken aus dem MITRE-Standard (CAPEC) und baute daraus ein komplexes soziales Netzwerk.

Im Zentrum der Analyse standen drei Merkmale:

• Technisches Können
• Thematische Spezialisierung
• Aktivitätsmuster

Mittels sozialwissenschaftlicher Methoden – unter anderem einem Klassifikationsmodell aus der Kriminologie – und KI-gestützter Netzwerkanalyse konnte das Forschungsteam die Nutzer:innen in Gruppen einteilen: Wer ist besonders aktiv, wer ist spezialisiert, wer besitzt tiefes technisches Know-how?

Nur wenige stechen wirklich heraus

Von den 359 detailliert analysierten Nutzer:innen erfüllten lediglich 14 alle Kriterien, um als „Schlüsselakteure“ eingestuft zu werden. Diese Personen verfügten über ein hohes Maß an Fachwissen, agierten über längere Zeiträume hinweg und beteiligten sich gezielt an Spezialthemen – ohne dabei mit besonders vielen Beiträgen aufzufallen. Genau diese „stillen Experten“ sind es, die klassische Analysemodelle oft übersehen.

Warum das wichtig ist

Das Projekt zeigt eindrucksvoll, wie Künstliche Intelligenz in Kombination mit interdisziplinärer Forschung dabei helfen kann, im unübersichtlichen Umfeld des Darknets den Überblick zu behalten – und genau die Akteure ins Visier zu nehmen, die für die organisierte Cyberkriminalität besonders relevant sind. „Diese Forschung bringt uns einen entscheidenden Schritt näher an eine automatisierte Erkennung der wirklich relevanten Bedrohungsakteure“, sagt Francois Labreche, Senior AI Researcher bei Sophos. „Gerade weil sich Angriffsstrukturen immer stärker vernetzen, ist es heute wichtiger denn je, nicht nur einzelne Attacken zu erkennen, sondern auch die Personen, die dahinterstehen.“

Nächste Schritte: Von der Forschung in die Praxis

Sophos wird die Erkenntnisse aus dem Projekt direkt in die eigene Bedrohungsanalyse einfließen lassen – als Ergänzung zur bestehenden manuellen Auswertung. Ziel ist es, Schlüsselpersonen künftig schneller und gezielter zu identifizieren und so effektiver gegen organisierte Cyberkriminalität vorzugehen.