Effektive Threat Intelligence – warum ist sie wichtig und wie kann sie gelingen?

4 Min. Lesezeit
22. Mai 2023

Das erfahren Sie in diesem Artikel (4 Min. Lesezeit):

Um sich bestmöglich zu schützen, müssen Sie die Gefahren kennen. Genau darum geht’s bei Threat Intelligence: Informationen sammeln, analysieren und nutzen, um Bedrohungen und Risiken für eine Organisation oder ein System zu identifizieren und zu bewerten. Diese Informationen können aus verschiedenen Quellen stammen, wie öffentlichen Datenbanken, sozialen Medien oder Foren. Das Ziel ist immer, die Wahrscheinlichkeit eines Angriffs zu reduzieren und die Reaktionsfähigkeit einer Organisation zu verbessern.  

Jetzt keine Zeit zum Lesen? Wir beraten Sie gerne individuell:

KONTAKT AUFNEHMEN

Warum ist effektive Threat Intelligence heute so wichtig?

Weil die Gefährdung durch Cyberkriminalität so hoch ist wie nie. Weltweit kommt es alle 39 Sekunden zu einem Data Breach*. Spitzenreiter dabei sind Datenschutzverletzungen und Ransom-Angriffe, gefolgt von Malware. Doch nicht nur die Anzahl der Übergriffe steigt, sondern auch die durchschnittlichen Kosten je Datenpanne. 2023 werden sie die Marke von 5 Mio. US-Dollar wohl überschreiten (bisher: 4,35 Mio. US-Dollar). 

Das Allianz-Risikobarometer zeigt, dass Manager und Sicherheitsfachleute weltweit Cyberangriffe als die größte Bedrohung für Unternehmen betrachten. Seit zwölf Jahren veröffentlicht Industrieversicherer Allianz Global Corporate & Specialty ein Ranking der größten Unternehmensrisiken. 2023 beteiligten sich mehr als 2.712 Risikomanagement-Experten in 94 Ländern und Territorien an der Befragung. Auch der russische Angriffskrieg in der Ukraine wird teilweise im World Wide Web ausgetragen, was die Bedrohungslage für Unternehmen noch verschärfen kann: Pro-russische und pro-ukrainische Akteure, ausgestattet mit der neuesten Computertechnologie, starten immer wieder Cyberangriffe auf Organisationen und Unternehmen, basierend auf deren geografischer Lage oder ihrer Zugehörigkeit zu einer der beiden Konfliktparteien. Ein Beispiel hierfür ist die Aktion #bloodytrade, bei der alle Unternehmen ins Visier genommen wurden, die möglicherweise Russland unterstützen. Andere pro-russische Hacker haben sich zum Ziel gesetzt, die politische und öffentliche Meinung in Deutschland durch die Verbreitung von Propaganda zu beeinflussen.  

Was kann Threat Intelligence leisten?  

Einen hundertprozentigen Schutz vor Cyberkriminalität gibt es nicht. Aber effektive Threat Intelligence baut ein Ökosystem auf, das es erlaubt, sehr viele Informationen effektiv zu korrelieren und Erkenntnis zu automatisieren. So können sich die IT-Experten auf die letzten 2-3 Prozent fokussieren, bei denen sie durch keine Maschine und kein System ersetzt werden können, weil hier Erfahrung und Intuition gefragt sind. Einer Cyberattacke gehen in der Regel Tests voraus. Wir nennen diese „das Klopfen“. Gemeint sind kleine ungewöhnliche Bewegungen im System hier und da, die scheinbar in keinem Zusammenhang zueinanderstehen. Erfahrene Cybersecurity-Experten wissen diese Anzeichen zu deuten.  

Was brauche ich, um effektive Threat Intelligence im Unternehmen zu betreiben?

Für die technische Umsetzung brauchen Sie auf jeden Fall u. a. Endpoint-Protection. Ob ein klassisches Anti-Virus-Programm oder eine moderne XDR-Lösung, das Wichtige ist, dass Sie Endpoint-Protection lückenlos betreiben – auf allen Clients, allen Servern und allen Geräten! Bring your own Device (BYOD), was sich insbesondere seit der Coronapandemie großer Beliebtheit erfreut, hat das Sicherheitsrisiko in Unternehmen deutlich erhöht. Häufig sind die Geräte der Mitarbeiter*innen nicht auf dem gleichen Sicherheitsstandard wie dem der Firmen oder die zusätzlichen Geräte werden unzureichend gepatcht.  

Security Operations Center Service (SOC-Service) ist ebenfalls wichtiger Bestandteil der Sicherheitsinfrastruktur. SOC-Service bezieht sich auf ein spezialisiertes Team, dessen Aufgabe es ist, potenzielle Sicherheitsverletzungen in Echtzeit zu identifizieren, zu analysieren und zu bewerten, um schnell darauf reagieren zu können. SOC-Teams sind in der Regel rund um die Uhr besetzt und verfügen über spezielle Kenntnisse und Erfahrungen im Bereich der Cyber-Sicherheit. Sie nutzen Security Information and Event Management, sog. SIEM-Technologien, für eine umfassende Sicht auf das Sicherheitsrisiko und eine schnellere Reaktionszeit auf Bedrohungen. Dabei arbeiten sie eng mit anderen Teams innerhalb des Unternehmens oder der Organisation zusammen, wie z. B. dem Incident-Response-Team. Große Unternehmen haben in der Regel eigene SOC-Teams, diesen Service kann man aber auch mieten.  

SOC setzt voraus, dass im Unternehmen Logging betrieben wird. Das heißt, die Daten aus allen Systemen (Server, Firewalls etc.) werden konsolidiert und korreliert (Data Lake schaffen). Dann brauchen Sie etwas, das aus diesen vielen leisen Signalen einen Alarm generiert. Dabei hilft KI mittlerweile sehr. Durch die Zusammenführung aller verfügbaren Daten entsteht ein umfassendes Bild der Lage, das Ihnen eine fundierte Beurteilung ermöglicht. Die letzten 2-3 Prozent macht die Erfahrung der Experten.  

Zu guter Letzt brauchen Sie Ausdauer. Threat Intelligence ist – wie IT-Sicherheit insgesamt – ein Langstreckenlauf und kein Sprint. Viele Unternehmen installieren einmal eine Firewall und meinen, damit sei die Sache erledigt. Um Ihr Unternehmen oder Ihre Organisation umfassend zu schützen, müssen diese regelmäßig überprüft und ggf. erweitert und gepatcht werden. Dazu gehören alle Verbindungen zu Partnern und auch Zulieferern z. B. über Schnittstellen zu ERP-Systemen.  

Auch sollten Sie sich fragen, ob Sie funktionale Notfallpläne und vollständige Listen mit Verantwortlichkeiten, aktuellen Zahlen zu Clients und Systemen etc. haben. Immer wieder stellen wir ein großes Gap fest zwischen physischer und digitaler Sicherheit.  

shutterstock_2136966131-1

Welchen Einfluss hat Threat Intelligence auf meine Cyberversicherung? 

Alles, was effektive Threat Intelligence erfordert, möchte auch ein Versicherer sehen: lückenlose Endpoint-Protection, Logging, eine funktionierende Notfallkette etc. Es ist vergleichbar mit einer Kfz-Versicherung, deren Beitrag sich reduziert, wenn Sie einen TG-Parkplatz haben. Insofern verschafft Ihnen eine effektive Threat Intelligence auch beim Abschluss Ihrer Cyberversicherung einen Vorteil.  

Top 3 Empfehlungen an CIOs  

  1. Penetration Tests: Mithilfe von White Heads vierstufige Tests durchführen, die auf Ihr Unternehmen zugeschnitten sind. Wir empfehlen, niemandem von den Pentests zu erzählen, und sie jedes Jahr mit verschiedenen Dienstleistern durchführen.  
  2. Regelmäßiges und lückenloses Patching: Alte Server, die es zwecks Archivierung noch gibt, müssen genauso gepatcht werden wie die Smart-Conferencing-Lösung im Besprechungsraum.  
  3. Schulung und Kommunikation: Es hilft nicht, wenn Mitarbeiter*innen jedes Jahr das gleiche Formular unterschreiben. Schulungen für den Umgang mit verdächtigen E-Mails und Links sind ebenso wichtig wie klare Anweisungen, was im Ernstfall zu tun ist. Zudem darf es keine Hürde sein, Verdächtiges der IT-Abteilung zu melden, denn es zählt jede Sekunde.  

*University of Maryland