Schlüsselakteure systematisch erkennen
Kriminelle Internetforen bieten umfangreiche Einblicke in Bedrohungen und Schwachstellen. Das Team der Sophos Counter Threat Unit (CTU) wertet solche Quellen bereits manuell aus. Ziel des gemeinsamen Projekts war es, diese sehr aufwendige Auswertung von Darknet-Foren durch automatisierte Analysen zu ergänzen und zentrale Akteure des Cybercrime-Ökosystems in kriminellen Darknet-Foren systematisch aufzuspüren.
Datenbasis & Methodik
Das Forschungsteam sammelte mithilfe der Threat-Intelligence-Plattform von Flare über 11.000 Beiträge von 4.441 Nutzern aus 124 E-Crime-Foren (Zeitraum: 2015–2023). Aus den Beiträgen wurden über 6.000 Sicherheitslücken (CVEs) extrahiert. Diese wurden für die Erstellung eins bimodalen sozialen Netzwerks mit Angriffsmustern (CAPECs) des MITRE-Standards verknüpft, um zu erkennen, welche Nutzer sich besonders intensiv und fachlich mit bestimmten Angriffstechniken auseinandersetzen.
Drei Merkmale standen im Fokus: technische Kompetenz, thematische Fokussierung und Aktivitätsmuster. Die Forschenden kombinierten sozialwissenschaftliche Methoden – darunter ein Klassifikationsmodell aus der Kriminologie – mit sozialen Netzwerkanalysen und Community-Clustering-Algorithmen. So konnten sie Nutzer nach ihrem technischen Know-how, ihrer Aktivität und ihrer thematischen Spezialisierung gruppieren.
Nur wenige „stille Experten“
Das Ergebnis: Nur 14 von 359 detailliert untersuchten Dark-Web-Nutzern erfüllten die Kriterien für die Einstufung als hochqualifizierte Schlüsselakteure („Professionals“) mit tiefem Know-how, klarer Spezialisierung und langfristiger Präsenz. Diese zeichneten sich durch hohes technisches Können (z. B. im Umgang mit komplexen Angriffsmethoden), gezielte Beteiligung an spezialisierten Themen sowie lange Aktivität bei gleichzeitig moderater Beitragsfrequenz aus. Sie sind „stille Experten“, die mit hoher Effizienz und oft außerhalb des Radars klassischer Analysemodelle operieren.
Bedeutung & Ausblick
Das Projekt zeigt, wie interdisziplinäre Forschung – hier aus IT-Sicherheit, Kriminologie und Data Science – in Kombination mit künstlicher Intelligenz dabei hilft, im Informationsdschungel des Darknets die entscheidenden Akteure zu finden.
„Diese Forschungsarbeit bringt uns der automatisierten Identifikation von strukturell relevanten Bedrohungsakteuren einen wichtigen Schritt näher“, erklärt Francois Labreche, Senior AI Researcher bei Sophos. „Gerade im Kontext zunehmend vernetzter Angriffsökosysteme ist es entscheidend, nicht nur Angriffe, sondern auch die Akteure dahinter zu erkennen.“
Sophos wird die gewonnenen Erkenntnisse in seine laufenden Bedrohungsanalysen einbinden, um bestehende manuelle Analysen gezielt zu ergänzen, relevante Zielpersonen frühzeitig zu erkennen und effektiver gegen organisierte Cyberkriminalität vorzugehen.
Der gesamte Report ist in englischer Sprache hier nachzulesen: https://news.sophos.com/en-us/2025/06/30/using-ai-to-identify-cybercrime-masterminds/
Social Media von Sophos für die Presse
Wir haben speziell für Sie als Journalist*in unsere Social-Media-Kanäle angepasst und aufgebaut. Hier tauschen wir uns gerne mit Ihnen aus. Wir bieten Ihnen Statements, Beiträge und Meinungen zu aktuellen Themen und natürlich den direkten Kontakt zu den Sophos Security-Spezialisten.
Folgen Sie uns auf und
LinkedIn: https://www.linkedin.com/groups/9054356/
X/Twitter: @sophos_info
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
