Skip to main content

14.11.2024

Cyber Threat Intelligence – kontinuierliches Monitoring der Angriffsflächen aus Sicht eines Angreifers

Was brüten Internet-Kriminelle aus? Welche Bedrohungen können auf IT-Netzwerke von Unternehmen und Organisationen zukommen? Welche Maßnahmen können wir ergreifen, um
gewappnet zu sein? Die Cyber Threat Intelligence im Cyber Defense Center beschäftigt sich mit den Cyber-Angriffen von morgen. Cyber Threat Intelligence ist Wachsamkeit.
Aktuell vergeht kaum ein Tag, an dem die Medien nicht über neue Cyber-Angriffe berichten. Immer intensiver werden geopolitischen Spannungen in Folge des Ukraine-Krieges und der anhaltenden Spannungen zwischen China und den westlichen Industrienationen mit den Mitteln der Cyberkriminalität und Online-Kriegsführung ausgetragen. Von der Industriespionage über Ransomware-Erpressung bis hin zu Cyberangriffen mit dem Ziel ganze Systeme dauerhaft lahm-zulegen und damit Nutzer einzuschüchtern und zu schädigen: Buchstäblich von einer Sekunde auf die nächste können Unternehmen im Visier hochqualifizierter, skrupelloser und immer besser ausgerüsteter Krimineller zum Opfer nicht selten existenzieller Bedrohung werden. Laut Bitkom lag der direkt durch Cyber-Angriffe verursachte gesamtwirtschaftliche Schaden im Jahr 2023 bei rund 148 Milliarden Euro. Gleichzeitig belegen Umfragen eine deutliche Diskrepanz zwischen dem allgemeinen Bewusstsein Unternehmensverantwortlicher für die Gefahren und konkreten Strategien und Maßnahmen zum Schutz vor ihnen. Zwar ist Resilienz ein inzwischen weit verbreitetes Schlagwort, viele Unternehmen agieren jedoch nach wie vor hauptsächlich allen Dingen reaktiv.


Die Bedrohungslage als Gesamtbild erfassen
Aufgabe der Cyber Threat Intelligence ist aus verschiedenen Quellen Hinweise auf Bedrohun-gen zusammenzutragen und in Dossiers zusammenzustellen. Diese Ausführungen zeichnen ein Gesamtbild der weltweiten Bedrohungslage. Angriffstechniken werden analysiert, ihre Muster identifiziert und Maßnahmen für aktives Handeln vorausschauend vorbereitet oder eingeleitet.
 

Angreifern in der Cyber Defense einen Schritt voraus sein
Auch wenn Stellen wie das IT-Lagezentrum des Bundesamtes für Sicherheit in der
Informationstechnik (BSI) großen Aufwand betreibt, Gefahren frühzeitig zu erkennen und über sie zu informieren, erfahren Unternehmen in vielen Fällen erst dann von einem konkreten Risiko, wenn sich dessen Auswirkungen zeigen, sie also bereits als Opfer zu betrachten sind. Nicht zuletzt konzentriert sich das BSI auf die Information zu Gefahren, die eine breite Öffent-lichkeit oder die kritischen Infrastrukturen betreffen, also eine erkennbar gesamtwirtschaftliche und sicherheitsrelevante Bedeutung haben. Gefahren, die einzelne Unternehmen betreffen, sind hier zwar oft mit eingeschlossen stehen aber nicht im Fokus des BSI. Diese sind vielmehr gehalten, eigenständig Strategien zu entwickeln und umzusetzen, um sich zu schützen.

Im Rahmen eines Cyber Defense Centers mit den Mitteln der Threat Intelligence kann daran gearbeitet werden, Gefahren frühzeitig zu erkennen und den erforderlichen Vorsprung zu verschaffen, um Angriffe abzuwehren oder zumindest frühzeitig zu erkennen und angemessen zu reagieren. Cyber Threat Intelligence verändert die Ausgangsposition von IT-Security-Analysten und IT-Security-Engineers im Cyber Defense Centers entscheidend.Mit den Dossiers aus der Cyber Threat Intelligence sind wir vorbereitet auf das, was wächst und gedeiht: Wir können entspre-chende Maßnahmen einleiten, um Angreifern einen Schritt voraus zu sein.
 

Lerne deinen Feind kennen
Im Cyber Defense Center wird die Denk- und Handlungsweise von Hackern verstanden und nachzuvollzogen. Bekanntgewordene Bedrohungen werden untersucht, definiert Indicators of Compromise (IoC) und Indicators of Attack (IoA) und entwickelt ein grundlegendes Verständnis für Tactics, Techniques and Procedures (TTP).

Von besonderer Bedeutung für die frühzeitige Erkennung konkreter Bedrohungen im Rahmen der Threat Intelligence sind intensive Einblicke in die „Szene“. Je näher es gelingt, an die Akteu-re heranzukommen, desto früher können Signale für eine Bedrohung erkannt und analysiert werden. Erfahrene IT-Systemhäuser abeiten zu diesem Zweck mit erfahrenen Researchern zusammen. Diese nutzen ihr Fachwissen und ihre Netzwerke, um Informationen in relevanten Communities, aus Social-Media-Kanälen oder aus IoC Feeds zu sammeln. Wachsende Bedeutung haben hierbei auch Darknet-Blogs, die Hacker wie die LockBit-Ransomware-Bande nutzen, um Attacken anzukündigen und Betroffene zu erpressen.

„Beispiele wie LockBit demonstrieren anschaulich, wie groß die Gefahr durch organisierte Cy-ber-Kriminelle ist und dass selbst erfolgreich umgesetzte behördliche Maßnahmen wie die Ope-ration ‚Endgame‘ das Problem nicht endgültig beseitigen“, weiß Christoph Kronabel, Cyber Thre-at Intelligence Lead bei ConSecur. „Cyber Threat Intelligence im Cyber Defense Center ver-schafft den individuellen Vorsprung, um sich aktiv zu schützen oder durch schnelle und effizien-te Maßnahmen Schaden zu minimieren.“