Mit KI auf Fahndung in Dark-Web-Foren

8. Juli 2025

In einem gemeinsamen, internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz (KI) Schlüsselpersonen in der digitalen Unterwelt. Sophos wird die Ergebnisse für die Bedrohungsanalyse in der Sophos Counter Threat Unit (CTU) nutzen.

Kriminelle Internetforen bieten umfangreiche Einblicke in Bedrohungen und Schwachstellen. Das Team der Sophos Counter Threat Unit (CTU) wertet solche Quellen bereits manuell aus. Ziel des gemeinsamen Projekts war es, diese sehr aufwendige Auswertung von Darknet-Foren durch automatisierte Analysen zu ergänzen und zentrale Akteure des Cybercrime-Ökosystems in kriminellen Darknet-Foren systematisch aufzuspüren.

Das Forschungsteam sammelte mithilfe der Threat-Intelligence-Plattform von Flare über 11.000 Beiträge von 4.441 Nutzern aus 124 E-Crime-Foren (Zeitraum: 2015 bis 2023). Aus den Beiträgen wurden über 6.000 Sicherheitslücken (CVEs) extrahiert. Diese wurden für die Erstellung eins bimodalen sozialen Netzwerks mit Angriffsmustern (CAPECs) des MITRE-Standards verknüpft, um zu erkennen, welche Nutzer sich besonders intensiv und fachlich mit bestimmten Angriffstechniken auseinandersetzen.

Drei Merkmale standen im Fokus:

  • technische Kompetenz,
  • thematische Fokussierung und
  • Aktivitätsmuster.

Die Forschenden kombinierten sozialwissenschaftliche Methoden – darunter ein Klassifikationsmodell aus der Kriminologie – mit sozialen Netzwerkanalysen und Community-Clustering-Algorithmen. So konnten sie Nutzer nach ihrem technischen Know-how, ihrer Aktivität und ihrer thematischen Spezialisierung gruppieren.

Nur wenige „stille Experten“

Das Ergebnis: Nur 14 von 359 detailliert untersuchten Dark-Web-Nutzern erfüllten die Kriterien für die Einstufung als hochqualifizierte Schlüsselakteure („Professionals“) mit tiefem Know-how, klarer Spezialisierung und langfristiger Präsenz. Diese zeichneten sich durch hohes technisches Können (z. B. im Umgang mit komplexen Angriffsmethoden), gezielte Beteiligung an spezialisierten Themen sowie lange Aktivität bei gleichzeitig moderater Beitragsfrequenz aus. Sie sind „stille Experten“, die mit hoher Effizienz und oft außerhalb des Radars klassischer Analysemodelle operieren.

Das Projekt zeigt, wie interdisziplinäre Forschung – hier aus IT-Sicherheit, Kriminologie und Data Science – in Kombination mit künstlicher Intelligenz dabei hilft, im Informationsdschungel des Darknets die entscheidenden Akteure zu finden. Sophos wird die gewonnenen Erkenntnisse in seine laufenden Bedrohungsanalysen einbinden, um bestehende manuelle Analysen gezielt zu ergänzen, relevante Zielpersonen frühzeitig zu erkennen und effektiver gegen organisierte Cyber-Kriminalität vorzugehen. (rhh)

Zum gesamten Report

Lesen Sie auch