Cyber-Kriminalität wird für Unternehmen ein immer größeres Problem. Das Aufrechterhalten des Schutzes vor überlegenen Angreifern gleicht oft einem Kampf gegen Windmühlen. Erfolgreiche Angriffe können den Ruf des Unternehmens beschädigen, das Vertrauen der Anleger unterminieren und dadurch Marktanteile, Umsatz und Gewinn schädigen. Eine neue Verteidigungsmethode verspricht besseren Schutz: Cyber Threat Intelligence (CTI), die gezielte Informationen über Cyber-Bedrohungen liefert.
Welche Bedrohungen gibt es?
Die ständig fortschreitende Globalisierung und Digitalisierung bieten für Cyber-Kriminelle immer neue Chancen. Die technische Entwicklung geht sehr schnell voran: Cloud, Big Data, Social Media und andere Entwicklungen bieten viele Möglichkeiten für die Unternehmen, aber auch neue Risiken für ihr Business. Denn jede Verbindung zum Internet ist eine potenzielle Angriffsfläche.
Die Motive für Cyberangriffe sind sehr unterschiedlich: Die sogenannten Hacktivists möchten in erster Linie den Ruf von Unternehmen schädigen und Unruhe stiften. Für organisierte Cyber-Kriminelle stehen die finanziellen Gewinne im Vordergrund. Ein weiterer Akteur im Feld der Cyber-Bedrohungen sind staatlich finanzierte Institutionen, die Spionage betreiben. Letztere gehen in der Regel unauffällig von statten und zielen darauf ab, geistiges Eigentum zu stehlen oder Unternehmensinterna auszuspähen. Alle drei Gruppen verfügen über entsprechende personelle, technische und/oder finanzielle Ressourcen sowie sehr hohes technisches Know-how. Unternehmen stehen also Gegnern gegenüber, die sie kaum besiegen können.
Angriffe per CTI entschärfen
Foto: Brian A Jackson - shutterstock.com
Die Bedrohungen durch Cyber-Kriminalität können durch gezielte Analysen erkannt und entschärft werden. Allerdings müssen die Unternehmen hierfür ihre bislang vorwiegend reaktiv ausgerichteten Abwehrsysteme durch proaktive Verfahren ergänzen! Für diese Vorgehensweise eignet sich die sogenannte Cyber Threat Intelligence: Durch die Analyse von kontext- und situationsbezogenen Risiken aus vielfältigen Informationsquellen erhalten Unternehmen wichtige Einblicke in ihre Bedrohungssituation. Dabei helfen Erfahrungen aus zurückliegenden Angriffen und das Wissen über die allgemeine Situation auf dem Feld der Cyber-Kriminalität - zum Beispiel über schon bekannte Akteure und Bedrohungen. So entsteht eine detaillierte Karte der Bedrohungssituation des Unternehmens; mögliche interessante Ziele für Angreifer werden aufgedeckt.
Dieses Wissen in Kombination mit den technischen Informationen zu möglichen Angreifern können Unternehmen dazu nutzen, ihre Bedrohungen zu priorisieren. So kann die Sicherheitsarchitektur auf die spezifische Situation des Unternehmens, des Industriezweigs und des Marktes ausgerichtet werden: Gezielt entwickelte Prozesse und Gegenmaßnahmen automatisieren die Identifikation von Bedrohungen, minimieren das Bedrohungslevel und vereinfachen das Treffen von Entscheidungen. Besserer Schutz, schnellere Reaktionszeiten und schlagkräftige Gegenmaßnahmen machen das Unternehmen für Angreifer weniger attraktiv.
Die Sicherheitsarchitektur
Bei CTI lassen sich eine taktische und eine strategische Perspektive unterscheiden. Unternehmen sollten beide Blickwinkel nutzen, weil sie so ein umfassendes Bild der Cyber-Sicherheit erhalten. Die taktische Perspektive ist wichtig, um das aktuelle Level der Cyber-Sicherheit zu verbessern. Dazu werden die Erkenntnisse aus akuten Bedrohungen und das Gelernte aus Reaktionen auf Angriffe in die Sicherheits-Prozesse integriert. Die strategische Perspektive baut auf diesen Erkenntnissen auf, um die Sicherheit betreffende Entscheidungen zu vereinfachen. Das kann in allen Bereichen des Unternehmens zu nicht-technischen Prozessänderungen führen und so das Risiko von Cyber-Angriffen mittelfristig reduzieren.
Allerdings müssen Unternehmen ihre Sicherheitsvorkehrungen stetig verbessern, damit sie mit den Cyber-Angreifern Schritt halten können. Dabei durchlaufen sie drei Stufen, die sogenannten drei ‚A’s: Aktivierung, Anpassung, Antizipation.
Während der Aktivierung schaffen sich Unternehmen eine solide Grundlage für ihre Cyber-Sicherheit. Sie implementieren zum Beispiel grundlegende Verteidigungsmaßnahmen.
Im nächsten Schritt, der Anpassung, richten sie diese Maßnahmen kontinuierlich auf die sich ständig wechselnden Umweltbedingungen aus.
In der Phase der Antizipation hat das Unternehmen eine ausgereifte Infrastruktur für die Cyber-Sicherheit, die auch Cyber Threat Intelligence beinhaltet. Basierend auf den Erkenntnissen der CTI-Analysen entwickelt das Unternehmen Taktiken, um mögliche Angriffe zu erkennen und abzuwehren. Unternehmen in diesem Stadium sind also in der Lage, einen Großteil möglicher Angriffe bereits im Vorhinein zu erkennen.
Weil sich die Bedrohungsszenarien aber ständig weiterentwickeln, müssen die Unternehmen die skizzierten Schritte jedoch immer wieder durchlaufen, um ihre CTI dauerhaft zu optimieren.
Das passende CTI-Produkt finden
Foto: Dejan Dundjerski - shutterstock.com
Es gibt verschiedene Anbieter von Cyber-Threat-Intelligence-Paketen. Der Umfang der angebotenen Informationen unterscheidet sich dabei zum Teil erheblich. In erster Linie müssen die Produkte auf die Bedürfnisse des Business und auf das Risikoprofil des Unternehmens abgestimmt sein. Damit sich Unternehmen für den richtigen Anbieter entscheiden, sollten die angebotenen Informationen vor allem die folgenden vier Kriterien erfüllen:
Sie müssen frühzeitig die Bedrohungen adressieren, die gerade akut sind oder wahrscheinlich zukünftig auftreten.
Sie sollten außerdem nur Aktivitäten aufzeigen, die real und bekannt sind.
Die aus den Informationen generierten Erkenntnisse müssen anwendbar
und relevant beziehungsweise von Wert für das Unternehmen sein.
Nur wenn die angebotenen Daten diese Kriterien erfüllen, können die Firmen die Potenziale von Cyber Threat Intelligence voll erschließen.
Nach der Auswahl eines Anbieters treten in vielen Unternehmen allerdings die entscheidenden Fehler auf: Wird CTI nicht vollständig in die bestehende Sicherheits-Infrastruktur integriert, können nicht alle Vorteile abgerufen werden. Das ist allerdings kein reines IT-Thema: Die aus den Analysen generierten Erkenntnisse führen oft dazu, dass in allen Bereichen unternehmensweit Prozesse geändert werden müssen. Werden die technische Integration und die nicht-technischen Änderungen versäumt oder nur halbherzig vorangetrieben, entsteht ein lückenhafter Schutz und das Unternehmen verschwendet teure Ressourcen. Um die technische Integration zu vereinfachen, haben viele Anbieter von Cyber-Threat-Intelligence-Software Service-Komponenten entwickelt oder bieten vorgefertigte Programmierschnittstellen an. Mit der schnellen und vollständigen Integration lassen sich auch große Datenmengen besser bearbeiten und kontextbezogene Analysen von Bedrohungen schneller durchführen.
Die CTI-Zukunft
Cyber Threat Security ist neu auf dem Markt und die Potenziale sind noch nicht voll ausgeschöpft. Unternehmen müssen sich einen genauen Überblick über das Angebot und ihre eigene Situation verschaffen, um bestmöglich von CTI zu profitieren. Nur so können sie sich von einer reaktiven zu einer aktiveren Herangehensweise bei der Cyber-Sicherheit entwickeln. Eine dynamische Threat Intelligence hilft ihnen dabei, immer auf dem neusten Stand der Bedrohungen zu sein und so die Risiken dauerhaft zu minimieren. Mit wachsender Erfahrung werden Unternehmen immer besser in der Lage sein, die Vorteile eines integrierten CTI-Programms für sich zu nutzen und so nicht nur die Sicherheit, sondern auch ihren Wettbewerbsvorteil im Markt zu steigern.