Cyberangriffe lassen sich heute präziser denn je ihren Urhebern zuordnen. Das Attribution Framework schafft dafür einen einheitlichen, transparenten Prozess: Es bewertet Daten nach Zuverlässigkeit und Glaubwürdigkeit und macht so aus verstreuten Indizien eine belastbare Grundlage für strategische Sicherheitsentscheidungen.
Systematische Attribution: Das Framework macht aus verstreuten Indizien ein klares Angreiferprofil. Ein Meilenstein für die moderne Bedrohungsanalyse.
Angesichts immer raffinierterer Taktiken für Cyberangriffe reicht es nicht mehr, lediglich auf technische Indikatoren zu reagieren. Unternehmen und Behörden müssen verstehen, wer hinter einer Attacke steht und welche Motive verfolgt werden. Nur so lassen sich langfristige Schutzmaßnahmen entwickeln und Prioritäten richtig setzen. Bisher war die Zuordnung von Angriffen zu Akteuren – die sogenannte Attribution – jedoch oft mehr Kunst als Wissenschaft. Einzelne Experten bewerteten Hinweise nach Erfahrung, verknüpften Muster und schätzten die Glaubwürdigkeit von Informationen ein. Dieser Ansatz mag in der Anfangszeit der Threat Intelligence ausreichend gewesen sein, ist aber in der heutigen Bedrohungslage nicht mehr tragfähig.
Die Konsequenzen einer falschen Attribution sind erheblich: Fehleinschätzungen können dazu führen, dass Ressourcen falsch eingesetzt werden oder politische Spannungen entstehen. Wer beispielsweise irrtümlich eine Attacke einem bestimmten Land zuschreibt, riskiert diplomatische Verwerfungen. Umso wichtiger ist ein methodischer Ansatz, der nachvollziehbar und reproduzierbar ist. Genau hier setzt das Konzept des Attribution Frameworks an.
Ein Framework für mehr Transparenz und Verlässlichkeit
Das Attribution Framework schafft einen strukturierten Rahmen, der den Analyseprozess von der Datensammlung bis hin zur finalen Einschätzung standardisiert. Es greift dabei auf etablierte Modelle wie das Diamond Model of Intrusion Analysis zurück. Zudem integriert es das sogenannte Admiralty System, das ursprünglich von den Nachrichtendiensten stammt.
Zwei Begriffe stehen im Zentrum: Zuverlässigkeit und Glaubwürdigkeit. Die Zuverlässigkeit bewertet die Vertrauenswürdigkeit einer Quelle. Derweil bestimmt die Glaubwürdigkeit, ob sich eine Information durch andere Daten stützen lässt. Jede Beobachtung – vom Hash-Wert bis hin zu komplexen Taktiken – wird mit einem Standardwert versehen, den Analysten anpassen können. So entsteht eine belastbare Grundlage, die auch für Entscheidungsträger verständlich bleibt.
Ein Beispiel: Während ein Hash-Wert ohne Kontext kaum Aussagekraft besitzt, gewinnt er an Gewicht, wenn er in mehreren Angriffen auftaucht und mit spezifischer Malware in Verbindung gebracht wird. Durch diese systematische Gewichtung von Indizien lässt sich ein klareres Bild des Angreifers zeichnen.
Drei Ebenen der Attribution
Das Framework unterteilt den Weg zur Attribution in drei Stufen, die den wachsenden Grad der Erkenntnis widerspiegeln.
Am Anfang stehen sogenannte Aktivitätscluster. Hierbei handelt es sich um lose Gruppen von Ereignissen, die bestimmte Gemeinsamkeiten aufweisen. Dazu gehören zum Beispiel identische Taktiken, ähnliche Malware oder dieselbe Zielbranche. Ein einzelner Vorfall genügt nicht; für die Bildung eines Clusters sind mehrere zusammenhängende Beobachtungen erforderlich. So können beispielsweise mehrere Phishing-Kampagnen, die sich gegen Finanzinstitute richten und denselben Schadcode verwenden, als Cluster erfasst werden.
Temporäre Bedrohungsgruppen bilden die zweite Ebene. Sie entstehen, wenn genügend Anhaltspunkte vorliegen, die auf einen einzelnen Akteur hindeuten, auch ohne seine genaue Identität zu kennen. In der Regel erfordert die Einstufung eine Beobachtung über mindestens sechs Monate. Erst dann lässt sich ausschließen, dass es sich lediglich um zufällige Überschneidungen handelt. Eine detaillierte Methodik für diesen Prozess beschreibt das Diamond Model.
Die höchste Stufe ist die Zuordnung zu einem benannten Bedrohungsakteur. Dieser Schritt erfolgt erst, wenn die Evidenzlage umfassend ist und auf unterschiedlichen, verlässlichen Quellen basiert. Zudem muss transparent gemacht werden, wie groß das Vertrauen in diese Einschätzung ist. Denn eine vorschnelle Benennung kann gravierende Folgen haben – von falschen Investitionen in Sicherheitsmaßnahmen bis hin zu geopolitischen Spannungen.
Vergleichen lässt sich die Arbeit mit dem Attribution Framework mit dem Zusammensetzen eines Puzzles. Zunächst liegen nur einzelne Teile vor, wie zum Beispiel eine verdächtige IP-Adresse, ein Malware-Hash oder ein Angriffsmuster. Für sich genommen sind diese Teile nicht aussagekräftig, doch mit jedem neuen Fundstück wird das Bild klarer. Erst durch eine systematische Analyse, zeitliche Korrelation und das Erkennen wiederkehrender Muster entsteht die Basis für eine verlässliche Attribution.
Ein Beispiel aus der Praxis zeigt, wie aufwendig dieser Prozess ist: Die Bedrohungsgruppe „Stately Taurus“ wurde erst nach Jahren intensiver Beobachtung eindeutig identifiziert. Anfangs existierten nur Hinweise auf bestimmte Malware-Artefakte. Erst als Analysten die Infrastruktur hinter Angriffen analysierten, Code-Ähnlichkeiten entdeckten und Opferprofile verglichen, ließ sich ein schlüssiges Gesamtbild zeichnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Analyse in der Tiefe
Damit eine Attribution belastbar ist, müssen unterschiedliche Faktoren in Beziehung gesetzt werden. Dazu zählen die eingesetzten Werkzeuge und Techniken der Angreifer ebenso wie ihre Infrastruktur und das Profil der Opfer. Ein Angriff, der über Monate hinweg dieselben Command-and-Control-Server nutzt, deutet eher auf einen einzelnen, organisierten Akteur hin als auf opportunistische Kriminelle. Auch die Entwicklung von Taktiken im Zeitverlauf ist aufschlussreich: Wer seine Methoden kontinuierlich verfeinert, verfolgt vermutlich ein langfristiges Ziel wie Spionage oder Sabotage.
Neben technischen Indikatoren spielt auch die Analyse menschlicher Fehler eine Rolle. Angreifer hinterlassen trotz aller Tarnung Spuren: Tippfehler im Code, unveränderte Entwickler-Tags oder wiederkehrende Registrierungsdaten. Solche Details können in Summe entscheidend sein, um eine Aktivität einer bestimmten Gruppe zuzuordnen.
Nicht jede Information ist gleichwertig. Deshalb sieht das Framework eine kontinuierliche Neubewertung der Daten vor. Maßstab ist das Admiralty System, das Quellen und Informationen nach definierten Kriterien klassifiziert. Eine besonders verlässliche Quelle erhält den Wert „A“, während unbekannte oder fragwürdige Quellen als „F“ eingestuft werden. Für die Glaubwürdigkeit von Informationen gibt es eine Skala von eins bis sechs – von „bestätigt“ bis „nicht bewertbar“.
Diese Einstufung ist mehr als reine Formalität: Sie entscheidet darüber, ob ein Indiz stark genug ist, um die nächste Attributionsstufe zu erreichen. So wird eine IP-Adresse zunächst nur als bedingt aussagekräftig betrachtet, da sie leicht austauschbar ist. Taucht sie jedoch in mehreren Vorfällen auf und wird zusätzlich in einer Malware-Konfiguration nachgewiesen, dann wird sie zu einem starken Indikator für die Attribution.
Ein Beitrag zur Professionalisierung
Das Attribution Framework ist mehr als ein internes Werkzeug. Es steht für einen Paradigmenwechsel in der Bedrohungsanalyse: weg von subjektiven Einschätzungen, hin zu einer objektiven, transparenten Methodik. Damit stärkt das Framework sowohl die Qualität der eigenen Analysen als auch den Informationsaustausch innerhalb der Sicherheits-Community. Einheitliche Standards senken die Gefahr von Fehleinschätzungen und sorgen dafür, dass Ressourcen effektiver dort eingesetzt werden, wo sie den größten Nutzen bringen.
Über den Autor: Martin Zeitler, Senior Director Technical Solutions EMEA Central bei Palo Alto Networks, ist Experte für Netzwerk- und Anwendungssicherheit mit über zwei Jahrzehnten Branchenerfahrung. Sein Schwerpunkt liegt auf regionaler Cybersecurity-Strategie, Threat Intelligence sowie Sicherheits- und Best-Practice-Konzepten. Gemeinsam mit seinem Team unterstützt er Kunden und Partner dabei, passgenaue Lösungen für komplexe Sicherheitsanforderungen zu entwickeln und digitale Transformation sicher umzusetzen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/images.vogel.de/vogelonline/bdb/1568800/1568848/original.jpg "Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. (Phoenix Contact)")
:quality(80)/p7i.vogel.de/wcms/da/6d/da6d37e964416f8b1073c35f79c21408/0125712094v1.jpeg "Die Hacker-Gruppe Silk Typhoon gilt als eine der perfidesten und ressourcenstärksten chinesischen Cyber-Einheiten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/74/09748cbca74b518f64c2ee941697880e/0127110160v1.jpeg "Plattformen wie „VirusTotal“ konnten die Schadsoftware „MiniJunk“ nicht erkennen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/89/0f89176a6dfec829870e90b56b26c9c7/0126536181v1.jpeg "Manipulierte Smart Contracts: Gefälschte Trading-Bots im Ethereum-Netzwerk leiten Anlegergelder direkt in die Wallets der Täter. (Bild: © immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")