Wer Sicherheit will, braucht Verbündete

Um gegen die internationalen Cybercrime-Banden Chancen zu haben, müssen sich auch die Unternehmen untereinander vernetzen. [...]

Das geteilte Bedrohungswissen vieler

Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen.

Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. „Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen reagieren“, so die Definition des National Institute of Standards and Technology (NIST).

„Organisationen, die Informationen über Cyberbedrohungen austauschen, können ihre eigene Sicherheitslage sowie die anderer Organisationen dadurch verbessern.“

Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen – wie in einer Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.

„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyberbedrohungslage informieren kann“, so Susanne Dehmel, Mitglied der Geschäftsleitung des Digitalverbands Bitkom.

„Dazu müssen wir Echtzeitinformationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“

Eine wichtige Basis dafür ist der gegenseitige Austausch durch Threat-Intelligence-Sharing. Um Bedrohungswissen auszutauschen und gemeinsam zu nutzen, kann man sich einer Reihe von Plattformen bedienen, neben proprietären Angeboten auch Open-Source-Plattformen wie MISP Threat Sharing und CrowdSec (siehe Tabelle auf Seite letzter Seite, Teil 4).

Bei Plattformen für Threat-Intelligence-Sharing liefern die teilnehmenden Unternehmen sicherheitsrelevante Informationen, die das Wissen der anderen Teilnehmenden über aktuelle Cyberbedrohungen bereichern können. Im Gegenzug erhalten die Unternehmen dann Zugang zum immer weiter anwachsenden Bedrohungswissen der Community.

AlienVault Open Threat Exchange zum Beispiel ermöglicht es nach eigenen Angaben privaten Unternehmen, unabhängigen Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und die neuesten Informationen über neu auftretende Bedrohungen, Angriffsmethoden und böswillige Akteure auszutauschen und so für mehr Sicherheit in der gesamten Gemeinschaft zu sorgen.

Aktuell sollen 100.000 Teilnehmer in 140 Ländern täglich mehr als 19 Millionen Bedrohungsinformationen beisteuern.

„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann – wie beim Corona-Dashboard des RKI.“

Susanne Dehmel – Mitglied der Bitkom-Geschäftsleitung

Welche Plattform für das eigene Unternehmen die richtige ist, sollte nicht allein an den möglichen Kosten festgemacht werden.

Es ist wichtig, sich anzusehen, welche Branchen, Unternehmensgrößen und Länder bei einem Anbieter bereits vertreten sind und dementsprechend Bedrohungswissen bereitstellen, das möglichst relevant für das eigene Unternehmen ist.

Nicht mit den Falschen teilen

Man sollte zwar offen sein für den Austausch über Security, aber auch nicht zu offen. Die US-amerikanische Cornell University hat auf die notwendige Vertrauenswürdigkeit der Teilnehmenden am Threat-Intelligence-Sharing hingewiesen:

„Der Austausch von Bedrohungsinforma­tionen gilt als einer der proaktiven Abwehransätze zur Verbesserung der Gesamtsicherheit vertrauenswürdiger Partner. Vertrauenswürdige Partnerorganisationen können Zugriff auf frühere und aktuelle Cybersicherheitsbedrohungen gewähren, um das Risiko eines potenziellen Cyberangriffs zu verringern.“

Threat-Intelligence-Sharing muss deshalb selbst Sicherheitsvorgaben beachten, damit die Cybersicherheit steigt und nicht etwa zusätzlich und ungewollt gefährdet wird. Die EU-Agentur für Cybersicherheit ENISA hat bereits auf mögliche Problemstellen und den richtigen Weg hin zum Threat-Intelligence-Sharing hingewiesen. Sie empfiehlt Unternehmen, folgende Fragen vor einem Threat-Intelligence-Sharing zu klären:

  • Mit wem sollen Informationen geteilt werden?
  • Wird über sichere Kanäle geliefert?
  • Welche Informationsaustauschmechanismen werden verwendet?
  • Können geteilte Informationen von allen Parteien genutzt werden?
  • Wie können geteilte Informationen verwendet werden?

Fazit & Ausblick

Gewiss: Allein das Nutzen der Crowd für die Suche nach Schwachstellen und das Austauschen von Bedrohungswissen können nicht den notwendigen Schutz gegen die sich verschärfenden Cyberattacken gewährleisten. Es müssen Taten im eigenen Unternehmen folgen – und deren Wirksamkeit muss dann auch überprüft werden.

So ergab zum Beispiel eine Umfrage des Analystenhauses Forrester Research: Nahezu zwei Drittel der IT-Sicherheitsverantwortlichen (64 Prozent) sagen, dass ihr Unternehmen Schwierigkeiten hat, sein Threat-Intelligence-Programm mit seinem Risikomanagementprogramm abzustimmen, und 62 Prozent haben Probleme bei der Implementierung von Messverfahren zur Verfolgung der Threat-Intelligence-Effektivität.

Ob das neu gewonnene Wissen über Bedrohungen und Schwachstellen wirklich hilft, sollten Unternehmen also unbedingt hinterfragen. Denn nur wenn dieses Wissen in geeignete Maßnahmen überführt wird, zum Beispiel in ein umfassendes, möglichst weitgehend automatisiertes Patchmanagement zum Schließen der bereits erkannten Sicherheitslücken, kann die Cybersicherheit wirklich nennenswert erhöht werden.

Andernfalls tauscht man sich nur über Cyberbedrohungen aus, anstatt etwas Konkretes gegen sie zu unternehmen. Das Wissen über Schwachstellen und Bedrohungen erleichtert den Zugang zur Security-Expertise, es ersetzt aber nicht die eigene Cybersicherheit.

AnbieterPlattformBesonderheiten
AlienVaultOpen Threat ExchangeOpen Threat Intelligence Community, Integration mit OTX Endpoint Security sowie anderen Security-Lösungen, die die OTX DirectConnect API unterstützen
CrowdSecCrowdSecCrowdSec bietet eine crowdbasierte Cybersicherheitssuite zum Schutz von Online-Diensten, ein Dashboard zur Visualisierung und Reaktion auf Bedrohungen und eine TIP (Threat Intel Platform) für das Blockieren von IP-Adressen, von denen bekannt ist, dass Angriffe davon ausgehen
CywareCyware for Information Sharing, Cyware Threat Intelligence eXchangeClient-Server Threat Intelligence Platform (TIP) zur Erfassung, Anreicherung, Analyse und bidirektionalen Weitergabe von Bedrohungsdaten innerhalb eines vertrauenswürdigen Netzwerks
IBMIBM X-Force ExchangeCloudbasierte Threat-Intelligence-Plattform, mit der man Informationen zu Sicherheitsbedrohungen nutzen, austauschen und in Maßnahmen umsetzen kann, Integration mit anderen Lösungen über Standardschnittstellen (STIX und TAXII)
MISP projectMISP Threat SharingMISP ist eine Open-Source-Software-Gemeinschaft von MISP-Benutzern. Das MISP-Threat-Sharing-Projekt besteht aus mehreren Initiativen, von Software zur Erleichterung der Bedrohungsanalyse und -freigabe bis hin zu frei nutzbaren strukturierten Cyberbedrohungsinformationen
Palo Alto Networks MineMeldMineMeld lässt sich nativ in die Sicherheitsplattformen von Palo Alto Networks integrieren, um automatisch neue präventionsbasierte Kontrollen für URLs, IPs und Domänenintelligenz zu erstellen, die aus allen Quellen stammen, die in das Tool eingespeist werden
SOCRadarThreatShareIndividualisierbare Threat Intelligence, DarkMirror (Deep und Dark Web News), Filterung nach Regionen und Branchen
ThreatConnectThreatConnect for Intelligence SharingNutzende können Bedrohungsinformationen im STIX-Format sammeln und senden und kompatible TAXII-Clients direkt mit Indikator-Beobachtungslisten in ThreatConnect verbinden. Der TAXII-Server stellt ThreatConnect-exklusive Metriken wie Beobachtungen, Fehlalarme und ThreatAssess-Bewertungen bereit
ThreatQThreatQ Data ExchangeBietet eine Schnittstelle, um einfach bidirektionale oder unidirektionale Verbindungen mit externen Systemen herzustellen, damit Bedrohungsdaten ausgetauscht werden können
Plattformen für Threat-Intelligence-Sharing (Auswahl)

*Oliver Schonschek ist Autor bei com!professional.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*