Wer Sicherheit will, braucht Verbündete

Um gegen die internationalen Cybercrime-Banden Chancen zu haben, müssen sich auch die Unternehmen untereinander vernetzen. [...]

Das geteilte Bedrohungswissen vieler

Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen.

Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. „Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen reagieren“, so die Definition des National Institute of Standards and Technology (NIST).

„Organisationen, die Informationen über Cyberbedrohungen austauschen, können ihre eigene Sicherheitslage sowie die anderer Organisationen dadurch verbessern.“

Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen – wie in einer Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.

„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyberbedrohungslage informieren kann“, so Susanne Dehmel, Mitglied der Geschäftsleitung des Digitalverbands Bitkom.

„Dazu müssen wir Echtzeitinformationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.“

Eine wichtige Basis dafür ist der gegenseitige Austausch durch Threat-Intelligence-Sharing. Um Bedrohungswissen auszutauschen und gemeinsam zu nutzen, kann man sich einer Reihe von Plattformen bedienen, neben proprietären Angeboten auch Open-Source-Plattformen wie MISP Threat Sharing und CrowdSec (siehe Tabelle auf Seite letzter Seite, Teil 4).

Bei Plattformen für Threat-Intelligence-Sharing liefern die teilnehmenden Unternehmen sicherheitsrelevante Informationen, die das Wissen der anderen Teilnehmenden über aktuelle Cyberbedrohungen bereichern können. Im Gegenzug erhalten die Unternehmen dann Zugang zum immer weiter anwachsenden Bedrohungswissen der Community.

AlienVault Open Threat Exchange zum Beispiel ermöglicht es nach eigenen Angaben privaten Unternehmen, unabhängigen Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und die neuesten Informationen über neu auftretende Bedrohungen, Angriffsmethoden und böswillige Akteure auszutauschen und so für mehr Sicherheit in der gesamten Gemeinschaft zu sorgen.

Aktuell sollen 100.000 Teilnehmer in 140 Ländern täglich mehr als 19 Millionen Bedrohungsinformationen beisteuern.

„Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann – wie beim Corona-Dashboard des RKI.“

Susanne Dehmel – Mitglied der Bitkom-Geschäftsleitung

Welche Plattform für das eigene Unternehmen die richtige ist, sollte nicht allein an den möglichen Kosten festgemacht werden.

Es ist wichtig, sich anzusehen, welche Branchen, Unternehmensgrößen und Länder bei einem Anbieter bereits vertreten sind und dementsprechend Bedrohungswissen bereitstellen, das möglichst relevant für das eigene Unternehmen ist.

Nicht mit den Falschen teilen

Man sollte zwar offen sein für den Austausch über Security, aber auch nicht zu offen. Die US-amerikanische Cornell University hat auf die notwendige Vertrauenswürdigkeit der Teilnehmenden am Threat-Intelligence-Sharing hingewiesen:

„Der Austausch von Bedrohungsinforma­tionen gilt als einer der proaktiven Abwehransätze zur Verbesserung der Gesamtsicherheit vertrauenswürdiger Partner. Vertrauenswürdige Partnerorganisationen können Zugriff auf frühere und aktuelle Cybersicherheitsbedrohungen gewähren, um das Risiko eines potenziellen Cyberangriffs zu verringern.“

Threat-Intelligence-Sharing muss deshalb selbst Sicherheitsvorgaben beachten, damit die Cybersicherheit steigt und nicht etwa zusätzlich und ungewollt gefährdet wird. Die EU-Agentur für Cybersicherheit ENISA hat bereits auf mögliche Problemstellen und den richtigen Weg hin zum Threat-Intelligence-Sharing hingewiesen. Sie empfiehlt Unternehmen, folgende Fragen vor einem Threat-Intelligence-Sharing zu klären:

  • Mit wem sollen Informationen geteilt werden?
  • Wird über sichere Kanäle geliefert?
  • Welche Informationsaustauschmechanismen werden verwendet?
  • Können geteilte Informationen von allen Parteien genutzt werden?
  • Wie können geteilte Informationen verwendet werden?

Fazit & Ausblick

Gewiss: Allein das Nutzen der Crowd für die Suche nach Schwachstellen und das Austauschen von Bedrohungswissen können nicht den notwendigen Schutz gegen die sich verschärfenden Cyberattacken gewährleisten. Es müssen Taten im eigenen Unternehmen folgen – und deren Wirksamkeit muss dann auch überprüft werden.

So ergab zum Beispiel eine Umfrage des Analystenhauses Forrester Research: Nahezu zwei Drittel der IT-Sicherheitsverantwortlichen (64 Prozent) sagen, dass ihr Unternehmen Schwierigkeiten hat, sein Threat-Intelligence-Programm mit seinem Risikomanagementprogramm abzustimmen, und 62 Prozent haben Probleme bei der Implementierung von Messverfahren zur Verfolgung der Threat-Intelligence-Effektivität.

Ob das neu gewonnene Wissen über Bedrohungen und Schwachstellen wirklich hilft, sollten Unternehmen also unbedingt hinterfragen. Denn nur wenn dieses Wissen in geeignete Maßnahmen überführt wird, zum Beispiel in ein umfassendes, möglichst weitgehend automatisiertes Patchmanagement zum Schließen der bereits erkannten Sicherheitslücken, kann die Cybersicherheit wirklich nennenswert erhöht werden.

Andernfalls tauscht man sich nur über Cyberbedrohungen aus, anstatt etwas Konkretes gegen sie zu unternehmen. Das Wissen über Schwachstellen und Bedrohungen erleichtert den Zugang zur Security-Expertise, es ersetzt aber nicht die eigene Cybersicherheit.

AnbieterPlattformBesonderheiten
AlienVaultOpen Threat ExchangeOpen Threat Intelligence Community, Integration mit OTX Endpoint Security sowie anderen Security-Lösungen, die die OTX DirectConnect API unterstützen
CrowdSecCrowdSecCrowdSec bietet eine crowdbasierte Cybersicherheitssuite zum Schutz von Online-Diensten, ein Dashboard zur Visualisierung und Reaktion auf Bedrohungen und eine TIP (Threat Intel Platform) für das Blockieren von IP-Adressen, von denen bekannt ist, dass Angriffe davon ausgehen
CywareCyware for Information Sharing, Cyware Threat Intelligence eXchangeClient-Server Threat Intelligence Platform (TIP) zur Erfassung, Anreicherung, Analyse und bidirektionalen Weitergabe von Bedrohungsdaten innerhalb eines vertrauenswürdigen Netzwerks
IBMIBM X-Force ExchangeCloudbasierte Threat-Intelligence-Plattform, mit der man Informationen zu Sicherheitsbedrohungen nutzen, austauschen und in Maßnahmen umsetzen kann, Integration mit anderen Lösungen über Standardschnittstellen (STIX und TAXII)
MISP projectMISP Threat SharingMISP ist eine Open-Source-Software-Gemeinschaft von MISP-Benutzern. Das MISP-Threat-Sharing-Projekt besteht aus mehreren Initiativen, von Software zur Erleichterung der Bedrohungsanalyse und -freigabe bis hin zu frei nutzbaren strukturierten Cyberbedrohungsinformationen
Palo Alto Networks MineMeldMineMeld lässt sich nativ in die Sicherheitsplattformen von Palo Alto Networks integrieren, um automatisch neue präventionsbasierte Kontrollen für URLs, IPs und Domänenintelligenz zu erstellen, die aus allen Quellen stammen, die in das Tool eingespeist werden
SOCRadarThreatShareIndividualisierbare Threat Intelligence, DarkMirror (Deep und Dark Web News), Filterung nach Regionen und Branchen
ThreatConnectThreatConnect for Intelligence SharingNutzende können Bedrohungsinformationen im STIX-Format sammeln und senden und kompatible TAXII-Clients direkt mit Indikator-Beobachtungslisten in ThreatConnect verbinden. Der TAXII-Server stellt ThreatConnect-exklusive Metriken wie Beobachtungen, Fehlalarme und ThreatAssess-Bewertungen bereit
ThreatQThreatQ Data ExchangeBietet eine Schnittstelle, um einfach bidirektionale oder unidirektionale Verbindungen mit externen Systemen herzustellen, damit Bedrohungsdaten ausgetauscht werden können
Plattformen für Threat-Intelligence-Sharing (Auswahl)

*Oliver Schonschek ist Autor bei com!professional.


Mehr Artikel

Christina Decker, Director Strategic Channels Europe bei Trend Micro (c) Trend Micro
Kommentar

Wie der Channel die tickende Zeitbombe „Compliance-Risiko“ entschärfen kann

Cybersicherheitsregulatoren hatten ein geschäftiges Jahr 2024. Zuerst kam die NIS2-Richtlinie, deren Umsetzungsfrist Mitte Oktober ablief. Nur wenige Monate später trat in der gesamten EU der lang erwartete Digital Operational Resilience Act (DORA) in Kraft. Beide Regelwerke wurden dringend benötigt, haben aber auch enormen Druck auf Unternehmen in der Region ausgeübt. Besonders KMU spüren diesen Druck. […]

Bjørn Toonen, Managing Director von Randstad Österreich (c) Randstad
News

Randstad-Arbeitsmarktstudie mit Schwerpunkt auf KI

Laut EU AI-Act müssen seit 2. Februar 2025 alle Mitarbeitenden, die Künstliche Intelligenz (KI) nutzen, entwickeln oder betreiben, über ausreichende KI-Kompetenzen verfügen. Das hat die „Employer Brand Research 2025“ des internationalen Personaldienstleisters Randstad als Schwerpunktthema untersucht. […]

Kommentar

Cyber Dominance: Digitale Abhängigkeit ist das neue Geschäftsrisiko

Bei Cyber Dominance geht es um die Fähigkeit von Herstellern digitaler Produkte, auch nach dem Kauf dauerhaft Zugriff auf Systeme und Informationen ihrer Kunden zu behalten. Eine Form der Kontrolle, die tief in technische Infrastrukturen eingreift – oft unbemerkt und ungefragt. Diese Art der digitalen Abhängigkeit ist längst Realität – und sie ist eines der größten unterschätzten Geschäftsrisiken unserer Zeit. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*