Cyber-Sicherheit ist Teamarbeit

LinkedInXingPocketWhatsAppFlipboard

Cyber Security TeamIm Kampf gegen Cyber-Kriminelle reichen reaktive Vorgehensweisen nicht mehr aus. Unternehmen müssen auf gebündelte Kräfte zurückgreifen und daran arbeiten, Hackern einen Schritt voraus zu sein. Dazu gehört auch, deren Motive zu verstehen.

Robert Gerlach vom Threat-Intelligence-Plattform (TIP) Anbieter EclecticIQ erklärt, wie eine moderne Sicherheitsstrategie aussehen sollte.

Anzeige

Die immer weiter zunehmende Vernetzung eröffnet nicht nur der Wirtschaft neue Geschäftsmodelle. Auch Hacker gehen mit der Zeit und erschließen neue Möglichkeiten, um digitale Sicherheitslücken für ihre Zwecke zu nutzen. Ob sie durch DDoS-Angriffe Unternehmensseiten lahmlegen oder mit Ransomware Lösegeld erpressen, die finanziellen Schäden können sich je nach Wiederherstellungszeit in ungeahnte Höhen schwingen. Eine letztjährige Umfrage des Branchenverbandes Bitkom beziffert den Schaden für die deutsche Wirtschaft auf 22,4 Milliarden Euro pro Jahr. Auch bleibt oft ein Reputationsschaden zurück, denn wer vertraut schon einem Unternehmen, das vor kurzem zugeben musste, einem Hack zum Opfer gefallen zu sein? Daher muss ein effektiver Schutz der IT-Infrastruktur oberste Priorität haben. Althergebrachte Abwehrstrategien reichen dafür aber nicht mehr aus.

Unternehmenssicherheit basiert noch allzu oft auf einem reaktiven Ansatz, beruhend auf Indicators of Compromise (IoCs) wie Viren-Signaturen, auffällige Account-Aktivitäten und Traffic-Muster. Das Problem: Die Alarmglocken klingeln immer erst dann, wenn der Angriff bereits läuft oder gar bereits beendet wurde. Zu einem solchen Zeitpunkt lässt sich lediglich noch Schadensbegrenzung betreiben. Um proaktiv agieren zu können, bedarf es einer Strategie, die mehr als nur die Daten miteinschließt, die im eigenen Netzwerk gesammelt werden.

Mit gebündeltem Wissen gegen Hacker

Die IT-Landschaft ist heute so verzweigt und vielschichtig, dass Unternehmen mit der Menge und Komplexität von Bedrohungen überfordert sind. Einerseits fehlt es an geschultem Fachpersonal, das in der Lage ist, aus dem Datenwust die richtigen Schlussfolgerungen zu ziehen und sämtliche Sicherheitslösungen im Auge zu behalten. Andererseits haben Unternehmen zumeist weitgehend isolierte Lösungen im Einsatz, die lediglich bestimmte Aspekte der IT-Sicherheit abdecken. Während manche sich auf Firewalls und Intrusion-Prevention-Systeme zum Schutz des Perimeters verlassen, setzen andere verstärkt auf Lösungen in den Bereichen Data-Leakage-Protection (DLP) oder Security Information and Event-Management (SIEM), um sich abzusichern. All diese Lösungen erheben zwar wertvolle Daten, die für ihren Bereich Erkenntnisse liefern. Die aktuelle Bedrohungslage macht es aber nötig, möglichst vielschichtige Schutzmaßnahmen im Betrieb zu haben, um sich ein allumfassendes Bild zu schaffen und zu gewährleisten, dass Vorkehrungen für sämtliche denkbaren Szenarien getroffen werden.

Threat Intelligence ist daher ein entscheidender Bestandteil moderner Cyber-Sicherheitsstrategien. Dieser Ansatz bündelt das Wissen verschiedener Quellen und stellt somit einen größeren Pool an Informationen bereit, anhand derer sich Gegenmaßnahmen effektiver einleiten lassen. Automatisierungstechnologien und Plattformen mit übergreifenden Standards machen es dabei möglich, große Mengen an Daten und Informationen zusammenzuführen, auszuwerten und Schlussfolgerungen daraus zu ziehen. Die Basis für die gemeinsame Kommunikation bildet STIX (Structured Threat Information Expression), eine standardisierte Auszeichnungssprache für die strukturierte Weitergabe von Informationen über IT-Risiken. Sie erfasst nicht nur Wissen über Schwachstellen und zur Verfügung stehende Gegenmaßnahmen, sondern auch über Akteure und deren Tactics, Techniques and Procedures (TTPs). Die Strukturierung vereinfacht die Informationsweitergabe zwischen unterschiedlichen Tools und Systemen sowie das Einleiten von Gegenmaßnahmen. Zusätzlich ermöglichen die gewonnenen Einblicke neue Ansätze für Sicherheitsabteilungen.

Angreifern voraus sein

Die Analyse von gesammelten Bedrohungsdaten versetzt Unternehmen in die Lage, den reaktiven Ansatz ihrer Sicherheitsstrategie zu verändern. Anhand der kontextualisierten Daten, die aus früheren Angriffen zusammengetragen werden, können sie Erkenntnisse gewinnen und diese auf ihr eigenes System übertragen. So lassen sich Sicherheitslücken und potenzielle Einfallstore schließen, bevor sie von Cyber-Kriminellen ausgenutzt werden. Ist das System schon befallen, können von der Plattform zudem Informationen für Gegenmaßnahmen eingeholt oder automatisierte Prozesse zur Bedrohungsbekämpfung abgerufen werden, da die Daten von vorausgehenden Vorfällen bereits vorliegen. Je mehr Daten in den Wissenspool wandern, desto größer wird das Wissen um Schwachstellen, mögliche Angriffsszenarien und Lösungsansätze.

Dabei hilft es auch, sich nicht nur mit den Angriffsvektoren zu befassen, sondern auch die Angreifer selbst zu verstehen. Diese handeln aufgrund bestimmter Intentionen, die Aufschluss über voraussichtliche Angriffsmuster geben. Politisch motivierten Hackern geht es primär um Informationsbeschaffung, während nichtstaatliche Gruppierungen auf finanziellen Mehrwert aus sind. Sind die Motive bekannt, lassen sich leichter Vorkehrungen treffen und die Unternehmenssicherheit bleibt gewährleistet.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit: Einzelkämpfer verlieren

Heutzutage ist die IT-Bedrohungslage so komplex, dass Unternehmen sowohl in technischer als auch personeller Hinsicht an ihre Grenzen geraten, wenn sie sich nur auf die Erkenntnisse aus dem eigenen Netzwerk verlassen. Isoliert betrachtete Vorfälle und Datensätze erlauben keinen Blick auf das große Ganze und verhindern eine effektive Angriffsprävention. Threat-Intelligence-Technologien ermöglichen es, Daten zusammenzutragen, praxisrelevante Erkenntnisse zu gewinnen und auf dieser Grundlage proaktiv zu agieren. Diese Möglichkeiten muss die IT-Sicherheit nutzen, damit sie Angreifern mit gebündelten Kräften entgegentreten kann. 

Robert GerlachRobert Gerlach ist Sales Manager DACH bei EclecticIQ. In Deutschland, Österreich und der Schweiz leitet er alle Sales-Aktivitäten und erschließt neue Möglichkeiten und Partnerschaften für das Unternehmenswachstum. Bevor er 2017 zu EclecticIQ kam, hat er viele Jahre als Senior Sales Manager bei ArcSight (jetzt Teil von HPE) und AlienVault gearbeitet – zwei führende Anbieter für SIEM (Security Information & Event Management). Gerlach ist Diplom-Kaufmann und war an der TU Berlin.

www.EclecticIQ.com
 


Anzeige

Weitere Artikel

Cyber & Cloud Security
Worauf es bei Data Security Posture Management (DSPM) ankommt
Cyber & Cloud Security
Sicheres Management von SSH-Schlüsseln am Beispiel PuTTY
Cyber & Cloud Security
VASA-1: Microsofts neue KI ist ein Deepfake-Horrorszenario
Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.