Thought Leadership
Ein internationales Forschungsteam aus der IT-Sicherheitsfirma Sophos, der Université de Montréal und dem kanadischen Cybersicherheitsunternehmen Flare hat mithilfe Künstlicher Intelligenz neue Wege zur Identifikation zentraler Akteure im Darknet gefunden.
Ziel des Projekts war es, die Analyse krimineller Foren effizienter und systematischer zu gestalten – mit einem besonderen Fokus auf sogenannte „Schlüsselakteure“ der digitalen Unterwelt.
Foren als Quelle kriminologischer Einsichten
Kriminelle Onlineforen sind seit Langem ein wertvoller Fundus für die Bedrohungsanalyse in der IT-Sicherheit. Beiträge, Diskussionen und geteilte Informationen in diesen Foren liefern Hinweise auf neue Angriffsmethoden, Sicherheitslücken und organisierte Strukturen. Bisher erfolgte diese Auswertung bei Sophos größtenteils manuell – aufwendig und zeitraubend. Das neue Forschungsprojekt strebte an, diese manuelle Arbeit durch automatisierte Analyseverfahren zu ergänzen.
Technologische Grundlage der Untersuchung
Das Forschungsteam nutzte die Plattform von Flare, um zwischen 2015 und 2023 über 11.000 Beiträge aus 124 E-Crime-Foren zu analysieren. Dabei standen rund 4.400 Nutzer im Fokus. Über die Textinhalte wurden mehr als 6.000 bekannte Sicherheitslücken (CVEs) identifiziert. Diese Informationen verband man mit dem CAPEC-Framework (Common Attack Pattern Enumeration and Classification), einem etablierten Modell zur Kategorisierung von Angriffsmethoden. Auf dieser Basis entstand ein soziales Netzwerkmodell, das Beziehungen zwischen Nutzern und Angriffstechniken sichtbar machte.
Drei Schlüsselfaktoren zur Klassifizierung
Im Zentrum der Analyse standen drei Merkmale:
- Technische Kompetenz: Welche Nutzer zeigen vertieftes Wissen über komplexe Angriffstechniken?
- Thematische Spezialisierung: Wer fokussiert sich auf bestimmte Themenfelder, etwa Ransomware oder Phishing?
- Aktivitätsverhalten: Wie regelmäßig und in welchem Umfang beteiligen sich Nutzer?
Durch den Einsatz von sozialwissenschaftlichen Klassifikationsmodellen aus der Kriminologie, kombiniert mit Netzwerk- und Clustering-Algorithmen, konnten Nutzer in Typen eingeordnet und potenzielle Schlüsselpersonen identifiziert werden.
Die Entdeckung der „stillen Experten“
Die Analyse brachte ein bemerkenswertes Ergebnis zutage: Von den 359 besonders aktiven Nutzern, die genauer untersucht wurden, erfüllten nur 14 die Kriterien für sogenannte „Professionals“ – also hochqualifizierte Akteure mit tiefem Fachwissen, klarer Spezialisierung und konstanter Aktivität über einen längeren Zeitraum. Diese agieren meist diskret, veröffentlichen nur gezielte Beiträge und vermeiden unnötige Aufmerksamkeit. Ihre Wirkung ist dennoch erheblich – sie liefern Fachwissen, teilen raffinierte Angriffstechniken und sind oft integraler Bestandteil organisierter Cybercrime-Strukturen.
Das Projekt zeigt eindrucksvoll, wie interdisziplinäre Forschung – mit Elementen aus IT-Sicherheit, Kriminologie und Data Science – den Blick auf kriminelle Netzwerke im Darknet schärfen kann. Durch den gezielten Einsatz Künstlicher Intelligenz wird es möglich, in der Masse an Daten jene Personen zu erkennen, die tatsächlich operative Bedeutung haben.
Sophos plant, die gewonnenen Erkenntnisse in die Arbeit der Counter Threat Unit (CTU) zu integrieren. Ziel ist es, manuelle Analysen gezielt zu unterstützen, gefährliche Akteure frühzeitig zu identifizieren und effektiver auf Bedrohungen im Cyberraum zu reagieren.
Ein Schritt in Richtung präventiver Cyberabwehr
Die Fähigkeit, zentrale Figuren der digitalen Unterwelt automatisiert zu erkennen, bedeutet einen wichtigen Fortschritt im Kampf gegen organisierte Cyberkriminalität. Gerade angesichts zunehmend vernetzter Bedrohungsökosysteme ist die Erkennung der handelnden Personen ebenso entscheidend wie die Analyse der technischen Angriffsmuster. Dieses Forschungsprojekt macht deutlich: Die Zukunft der Cybersicherheit liegt in der intelligenten Kombination aus Technologie, Datenanalyse und interdisziplinärem Know-how.
