Was ist Human Intelligence (HUMINT)?

Human Intelligence (HUMINT; menschliche Aufklärung) ist eine Form der Informationsbeschaffung „vor Ort“, bei der Informationen aus menschlichen Quellen erfasst werden. Im Kontext der Bedrohungsanalyse umfasst dies u. a. eine Unterwanderung von und Interaktion mit Bedrohungsakteuren in kriminellen Untergrundnetzwerken, Foren und Marktplätzen, Chat-Plattformen und anderen Zielumgebungen, einschließlich des Dark Web.

Das Ziel von HUMINT besteht darin, Informationen über Angreifer und ihre Aktivitäten zu sammeln, um mehr über die Menschen hinter Cyberangriffen zu erfahren, einschließlich ihrer Motivationen, Ziele und Techniken. Insbesondere in Kombination mit Daten und Erkenntnissen aus Sicherheitstools und anderen Telemetriedaten können diese Informationen Unternehmen helfen, Risiken zu erkennen und Angriffe abzuwehren.

Beachten Sie, dass es sich bei HUMINT um einen Fachbereich handelt, der spezialisiertes Können erfordert, um nützliche Informationen zu sammeln. Dabei werden auch OPSEC-Prinzipien (Operations Security) angewendet, um die wahre Identität des Forschenden oder seine Zugehörigkeit zu einem Unternehmen, einer Organisation oder einer Regierungsbehörde zu schützen.

Die Bedeutung von Human Intelligence für die Cybersicherheit

Bedrohungsakteure nutzen heute immer ausgefeiltere und fortschrittlichere Angriffstechniken, wie z. B. signaturlose Angriffe. Da diese mit Technologie allein nur schwer zu erkennen sind, hat sich HUMINT zu einem unverzichtbaren Bestandteil der Cybersicherheitsstrategie entwickelt.

HUMINT bietet Unternehmen, Organisationen und Regierungsbehörden mehrere wichtige Vorteile. Dazu gehören:

1. Warnung potenzieller Opfer vor einem drohenden Angriff. Eine Erfassung von Daten aus diesen Kanälen zur Abwehr drohender Angriffe erfordert viel mehr als nur das Sammeln von Rohdaten. Mit HUMINT können erfahrene Threat Hunter diese Umgebungen infiltrieren, um detailliertere Informationen über diese Angreifer und ihre Pläne zu sammeln, und dann die Opfer vor einem bevorstehenden oder laufenden Angriff warnen.

2. Validierung der durch automatisierte Informationen gesammelten Daten. Angreifer verstehen, welche Rolle die Sicherheitstools bei der Automatisierung der Datenerfassung aus Zielumgebungen spielen. Daher haben viele damit begonnen, Details in Beiträgen, wie etwa Namen oder Domänen der Opfer, bewusst zu verschleiern. Mit HUMINT können Sicherheitsteams neue Trends entdecken und überprüfen, ob die von diesen Tools gesammelten Daten zuverlässig und vollständig sind.

3. Bestätigung der Fähigkeiten eines Angreifers. HUMINT ist auch extrem wertvoll, wenn ein Unternehmen bereits kompromittiert wurde, da sie dem Sicherheitsteam hilft, die Behauptungen eines Akteurs zu entkräften bzw. bestätigen. Beispielsweise könnte ein Täter im Zuge eines Ransomware-Angriffs behaupten, weitaus größere Fähigkeiten zu haben, als er tatsächlich hat, in der Hoffnung, eine größere Lösegeldzahlung zu erpressen. In dieser Situation kann HUMINT dem Sicherheitsteam helfen, die Behauptungen des Akteurs zu überprüfen und entsprechend zu reagieren.

4. Unterstützung der Strafverfolgung. Digitale Verbrechen sind bekanntermaßen schwierig zu untersuchen und zu verfolgen – insbesondere, wenn der Täter seinen Sitz in einem anderen Land als das Opfer hat. Von einem Cybersicherheitsdienstleister gesammelte HUMINT-Daten sind für Strafverfolgungsbehörden von großem Wert, da das Sicherheitsteam relevante und notwendige Profilinformationen über den Akteur weitergeben kann. Dazu können nach Möglichkeit der echte Name, der Wohnort, die Staatsangehörigkeit und andere wichtige Details gehören.

Vier gängige Anwendungsfälle für Human Intelligence in der Cybersicherheit

HUMINT erfüllt innerhalb des Sicherheitsteams viele Funktionen. Vier häufige HUMINT-Anwendungsfälle lauten wie folgt:

1. Digital Risk Protection Service (DRPS): DRPS ist ein Dienst zum Schutz vor digitalen Risiken, der Unternehmen proaktiv vor Cyberangriffen schützen soll. Wie oben erläutert, kann Technologie allein moderne, hochentwickelte Angriffe nicht effektiv erkennen und vorhersagen. Andererseits wäre es schlicht unmöglich, alle versteckten Daten allein mit Human Intelligence zu überwachen. Mit einer Kombination aus automatisierter Erfassung und HUMINT lassen sich relevante Informationen zu wichtigen Bedrohungsaktivitäten effektiv zutage fördern.

2. Reaktion auf Zwischenfälle (Incident Response; IR), Eliminierung von Bedrohungsakteuren und Ransomware-Zahlungen: Wenn ein Angriff erfolgt, insbesondere im Fall eines Ransomware-Angriffs, kann die Kenntnis des Akteurs und seiner Fähigkeiten dabei helfen, eine angemessene Reaktion zu bestimmen. Beispielsweise kann der Angreifer während eines Ransomware-Angriffs die Menge oder Wichtigkeit der gestohlenen Daten übertreiben oder behaupten, dass er ihnen mehr Schaden zufügen kann, als er es eigentlich vermag. HUMINT kann dabei helfen, diese Behauptungen zu überprüfen, sodass Unternehmen besser entscheiden können, ob sie das Lösegeld zahlen sollten oder nicht.

3. Entdeckung neuer Angriffe: Akteure ändern kontinuierlich ihre Taktiken und Techniken. Sie nutzen zudem Untergrundgemeinschaften, um nach Informationen zu suchen, die ihnen bei der Durchführung von Angriffen helfen, wie Exploits und der Entwicklung von Malware. Indem Sie die Art der Hilfe, die diese Akteure benötigen, überwachen und verstehen, können Sie neue Angriffe vermeiden oder aufhalten, bevor sie ein Risiko für Ihr Unternehmen darstellen.

4. Einstufung von Akteuren: Wenn ein Akteur namentlich genannt wird, verwenden Geheimdienstanalysten HUMINT, um die Umgebung, Fähigkeiten und Motivationen dieses Akteurs besser zu verstehen. Dieses Wissen ist nützlich bei der Verfolgung seiner Aktivitäten sowie bei der Beurteilung eines Angriffs, für den diese Person oder Gruppe verantwortlich ist.