Um gegen die internationalen Cybercrime-Banden Chancen zu haben, müssen sich auch die Unternehmen untereinander vernetzen. [...]
Das geteilte Bedrohungswissen vieler
Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen.
Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. „Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen reagieren“, so die Definition des National Institute of Standards and Technology (NIST).
„Organisationen, die Informationen über Cyberbedrohungen austauschen, können ihre eigene Sicherheitslage sowie die anderer Organisationen dadurch verbessern.“
Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen – wie in einer Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.
„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyberbedrohungslage informieren kann“, so Susanne Dehmel, Mitglied der Geschäftsleitung des Digitalverbands Bitkom.
„Dazu müssen wir Echtzeitinformationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“
Eine wichtige Basis dafür ist der gegenseitige Austausch durch Threat-Intelligence-Sharing. Um Bedrohungswissen auszutauschen und gemeinsam zu nutzen, kann man sich einer Reihe von Plattformen bedienen, neben proprietären Angeboten auch Open-Source-Plattformen wie MISP Threat Sharing und CrowdSec (siehe Tabelle auf Seite letzter Seite, Teil 4).
Bei Plattformen für Threat-Intelligence-Sharing liefern die teilnehmenden Unternehmen sicherheitsrelevante Informationen, die das Wissen der anderen Teilnehmenden über aktuelle Cyberbedrohungen bereichern können. Im Gegenzug erhalten die Unternehmen dann Zugang zum immer weiter anwachsenden Bedrohungswissen der Community.
AlienVault Open Threat Exchange zum Beispiel ermöglicht es nach eigenen Angaben privaten Unternehmen, unabhängigen Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und die neuesten Informationen über neu auftretende Bedrohungen, Angriffsmethoden und böswillige Akteure auszutauschen und so für mehr Sicherheit in der gesamten Gemeinschaft zu sorgen.
Aktuell sollen 100.000 Teilnehmer in 140 Ländern täglich mehr als 19 Millionen Bedrohungsinformationen beisteuern.
„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann – wie beim Corona-Dashboard des RKI.“
Susanne Dehmel – Mitglied der Bitkom-Geschäftsleitung
Welche Plattform für das eigene Unternehmen die richtige ist, sollte nicht allein an den möglichen Kosten festgemacht werden.
Es ist wichtig, sich anzusehen, welche Branchen, Unternehmensgrößen und Länder bei einem Anbieter bereits vertreten sind und dementsprechend Bedrohungswissen bereitstellen, das möglichst relevant für das eigene Unternehmen ist.
Nicht mit den Falschen teilen
Man sollte zwar offen sein für den Austausch über Security, aber auch nicht zu offen. Die US-amerikanische Cornell University hat auf die notwendige Vertrauenswürdigkeit der Teilnehmenden am Threat-Intelligence-Sharing hingewiesen:
„Der Austausch von Bedrohungsinformationen gilt als einer der proaktiven Abwehransätze zur Verbesserung der Gesamtsicherheit vertrauenswürdiger Partner. Vertrauenswürdige Partnerorganisationen können Zugriff auf frühere und aktuelle Cybersicherheitsbedrohungen gewähren, um das Risiko eines potenziellen Cyberangriffs zu verringern.“
Threat-Intelligence-Sharing muss deshalb selbst Sicherheitsvorgaben beachten, damit die Cybersicherheit steigt und nicht etwa zusätzlich und ungewollt gefährdet wird. Die EU-Agentur für Cybersicherheit ENISA hat bereits auf mögliche Problemstellen und den richtigen Weg hin zum Threat-Intelligence-Sharing hingewiesen. Sie empfiehlt Unternehmen, folgende Fragen vor einem Threat-Intelligence-Sharing zu klären:
- Mit wem sollen Informationen geteilt werden?
- Wird über sichere Kanäle geliefert?
- Welche Informationsaustauschmechanismen werden verwendet?
- Können geteilte Informationen von allen Parteien genutzt werden?
- Wie können geteilte Informationen verwendet werden?
Fazit & Ausblick
Gewiss: Allein das Nutzen der Crowd für die Suche nach Schwachstellen und das Austauschen von Bedrohungswissen können nicht den notwendigen Schutz gegen die sich verschärfenden Cyberattacken gewährleisten. Es müssen Taten im eigenen Unternehmen folgen – und deren Wirksamkeit muss dann auch überprüft werden.
So ergab zum Beispiel eine Umfrage des Analystenhauses Forrester Research: Nahezu zwei Drittel der IT-Sicherheitsverantwortlichen (64 Prozent) sagen, dass ihr Unternehmen Schwierigkeiten hat, sein Threat-Intelligence-Programm mit seinem Risikomanagementprogramm abzustimmen, und 62 Prozent haben Probleme bei der Implementierung von Messverfahren zur Verfolgung der Threat-Intelligence-Effektivität.
Ob das neu gewonnene Wissen über Bedrohungen und Schwachstellen wirklich hilft, sollten Unternehmen also unbedingt hinterfragen. Denn nur wenn dieses Wissen in geeignete Maßnahmen überführt wird, zum Beispiel in ein umfassendes, möglichst weitgehend automatisiertes Patchmanagement zum Schließen der bereits erkannten Sicherheitslücken, kann die Cybersicherheit wirklich nennenswert erhöht werden.
Andernfalls tauscht man sich nur über Cyberbedrohungen aus, anstatt etwas Konkretes gegen sie zu unternehmen. Das Wissen über Schwachstellen und Bedrohungen erleichtert den Zugang zur Security-Expertise, es ersetzt aber nicht die eigene Cybersicherheit.
Anbieter | Plattform | Besonderheiten |
AlienVault | Open Threat Exchange | Open Threat Intelligence Community, Integration mit OTX Endpoint Security sowie anderen Security-Lösungen, die die OTX DirectConnect API unterstützen |
CrowdSec | CrowdSec | CrowdSec bietet eine crowdbasierte Cybersicherheitssuite zum Schutz von Online-Diensten, ein Dashboard zur Visualisierung und Reaktion auf Bedrohungen und eine TIP (Threat Intel Platform) für das Blockieren von IP-Adressen, von denen bekannt ist, dass Angriffe davon ausgehen |
Cyware | Cyware for Information Sharing, Cyware Threat Intelligence eXchange | Client-Server Threat Intelligence Platform (TIP) zur Erfassung, Anreicherung, Analyse und bidirektionalen Weitergabe von Bedrohungsdaten innerhalb eines vertrauenswürdigen Netzwerks |
IBM | IBM X-Force Exchange | Cloudbasierte Threat-Intelligence-Plattform, mit der man Informationen zu Sicherheitsbedrohungen nutzen, austauschen und in Maßnahmen umsetzen kann, Integration mit anderen Lösungen über Standardschnittstellen (STIX und TAXII) |
MISP project | MISP Threat Sharing | MISP ist eine Open-Source-Software-Gemeinschaft von MISP-Benutzern. Das MISP-Threat-Sharing-Projekt besteht aus mehreren Initiativen, von Software zur Erleichterung der Bedrohungsanalyse und -freigabe bis hin zu frei nutzbaren strukturierten Cyberbedrohungsinformationen |
Palo Alto Networks | MineMeld | MineMeld lässt sich nativ in die Sicherheitsplattformen von Palo Alto Networks integrieren, um automatisch neue präventionsbasierte Kontrollen für URLs, IPs und Domänenintelligenz zu erstellen, die aus allen Quellen stammen, die in das Tool eingespeist werden |
SOCRadar | ThreatShare | Individualisierbare Threat Intelligence, DarkMirror (Deep und Dark Web News), Filterung nach Regionen und Branchen |
ThreatConnect | ThreatConnect for Intelligence Sharing | Nutzende können Bedrohungsinformationen im STIX-Format sammeln und senden und kompatible TAXII-Clients direkt mit Indikator-Beobachtungslisten in ThreatConnect verbinden. Der TAXII-Server stellt ThreatConnect-exklusive Metriken wie Beobachtungen, Fehlalarme und ThreatAssess-Bewertungen bereit |
ThreatQ | ThreatQ Data Exchange | Bietet eine Schnittstelle, um einfach bidirektionale oder unidirektionale Verbindungen mit externen Systemen herzustellen, damit Bedrohungsdaten ausgetauscht werden können |
*Oliver Schonschek ist Autor bei com!professional.
Be the first to comment