Cyber-Kriminalität ist eine wachsende Bedrohung. Der Schaden wächst mit jeder Minute, die vom Auftreten der Bedrohung bis zu Erkennung und Gegenwehr vergeht. Mit Threat Intelligence gelingt es proaktiv zu agieren, statt nur zu reagieren.
Aktuell vergeht kaum ein Tag, an dem die Medien nicht über neue Cyber-Angriffe berichten. Immer intensiver werden geopolitischen Spannungen in Folge des Ukraine-Krieges und der anhaltenden Spannungen zwischen China und den westlichen Industrienationen mit den Mitteln der Cyberkriminalität und Online-Kriegsführung ausgetragen. Von der Industriespionage über Ransomware-Erpressung bis hin zu Cyberangriffen mit dem Ziel ganze Systeme dauerhaft lahmzulegen und damit Nutzer einzuschüchtern und zu schädigen: Buchstäblich von einer Sekunde auf die nächste können Unternehmen im Visier hochqualifizierter, skrupelloser und immer besser ausgerüsteter Krimineller zum Opfer nicht selten existenzieller Bedrohung werden. Laut Bitkom lag der direkt durch Cyber-Angriffe verursachte gesamtwirtschaftliche Schaden im Jahr 2024 bei rund 266 Milliarden Euro. Gleichzeitig belegen Umfragen eine deutliche Diskrepanz zwischen dem allgemeinen Bewusstsein Unternehmensverantwortlicher für die Gefahren und konkreten Strategien und Maßnahmen zum Schutz vor ihnen. Zwar ist Resilienz ein inzwischen weit verbreitetes Schlagwort, viele Unternehmen agieren jedoch nach wie vor hauptsächlich allen Dingen reaktiv.
Die Bedrohungslage als Gesamtbild erfassen
Auch wenn Stellen wie das IT-Lagezentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI) großen Aufwand betreibt, Gefahren frühzeitig zu erkennen und über sie zu informieren, erfahren Unternehmen in vielen Fällen erst dann von einem konkreten Risiko, wenn sich dessen Auswirkungen zeigen, sie also bereits als Opfer zu betrachten sind. Nicht zuletzt konzentriert sich das BSI auf die Information zu Gefahren, die eine breite Öffentlichkeit oder die kritischen Infrastrukturen betreffen, also eine erkennbar gesamtwirtschaftliche und sicherheitsrelevante Bedeutung haben. Gefahren, die einzelne Unternehmen betreffen, sind hier zwar oft mit eingeschlossen stehen aber nicht im Fokus des BSI. Diese sind vielmehr gehalten, eigenständig Strategien zu entwickeln und umzusetzen, um sich zu schützen.
Im Rahmen eines Cyber Defense Centers mit den Mitteln der Threat Intelligence kann daran gearbeitet werden, Gefahren frühzeitig zu erkennen und den erforderlichen Vorsprung zu verschaffen, um Angriffe abzuwehren oder zumindest frühzeitig zu erkennen und angemessen zu reagieren.
Autor: Christoph Kronabel
Cyber Threat Intelligence Lead & Management Consultant
ConSecur GmbH www.consecur.de
Angreifern in der Cyber Defense einen Schritt voraus ein
Im Cyber Defense Center wird die Denk- und Handlungsweise von Hackern verstanden und nachvollzogen. Das permanente IT-Security-Monitoring rund um die Uhr ist die Basis einer erfolgreichen Cyber Defense. Nur so können Gefahren für das IT-Netzwerk frühzeitig erkannt werden und Gegenmaßnahmen eingeleitet werden, bevor Schaden entstehen kann.
Die Cyber Threat Intelligence im Cyber Defense Center beschäftigt sich mit den Cyber-Angriffen von morgen. Aufgabe der Abteilung ist, aus verschiedenen Quellen Hinweise auf Bedrohungen zusammenzutragen und in Dossiers zusammenzustellen. Diese Ausführungen geben Hinweise auf beobachtete Angriffstechniken, die die Ausgangsposition von IT-Security-Analysten und IT-Security-Engineers im Cyber Defense Centers entscheidend verändern können.
Von besonderer Bedeutung für die frühzeitige Erkennung konkreter Bedrohungen im Rahmen der Threat Intelligence sind intensive Einblicke in die „Szene“. Je näher es gelingt, an die Akteure heranzukommen, desto früher können Signale für eine Bedrohung erkannt und analysiert werden. IT-Sicherheitsspezialisten arbeiten zu diesem Zweck mit erfahrenen Researchern zusammen. Diese nutzen ihr Fachwissen und ihre Netzwerke, um Informationen in relevanten Communities, aus Social Media Kanälen oder aus IoC Feeds zu sammeln. Wachsende Bedeutung haben hierbei auch Darknet-Blogs, die Hacker wie die LockBit-Ransomware-Bande nutzen, um Attacken anzukündigen und Betroffene zu erpressen.