Threat Intelligence – der Gefahr immer einen Schritt voraus

Aktuell vergeht kaum ein Tag, an dem die Medien nicht über neue Cyber-Angriffe berichten. Immer intensiver werden geopolitischen Spannungen in Folge des Ukraine-Krieges und der anhaltenden Spannungen zwischen China und den westlichen Industrienationen mit den Mitteln der Cyberkriminalität und Online-Kriegsführung ausgetragen. Von der Industriespionage über Ransomware-Erpressung bis hin zu Cyberangriffen mit dem Ziel ganze Systeme dauerhaft lahmzulegen und damit Nutzer einzuschüchtern und zu schädigen: Buchstäblich von einer Sekunde auf die nächste können Unternehmen im Visier hochqualifizierter, skrupelloser und immer besser ausgerüsteter Krimineller zum Opfer nicht selten existenzieller Bedrohung werden. Laut Bitkom lag der direkt durch Cyber-Angriffe verursachte gesamtwirtschaftliche Schaden im Jahr 2023 bei rund 148 Milliarden Euro. Gleichzeitig belegen Umfragen eine deutliche Diskrepanz zwischen dem allgemeinen Bewusstsein Unternehmensverantwortlicher für die Gefahren und konkreten Strategien und Maßnahmen zum Schutz vor ihnen. Zwar ist Resilienz ein inzwischen weit verbreitetes Schlagwort, viele Unternehmen agieren jedoch nach wie vor hauptsächlich allen Dingen reaktiv.

Threat Intelligence – das Ohr auf dem Gleis

Auch wenn Stellen wie das IT-Lagezentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI) großen Aufwand betreibt, Gefahren frühzeitig zu erkennen und über sie zu informieren, erfahren Unternehmen in vielen Fällen erst dann von einem konkreten Risiko, wenn sich dessen Auswirkungen zeigen, sie also bereits als Opfer zu betrachten sind. Nicht zuletzt konzentriert sich das BSI auf die Information zu Gefahren, die eine breite Öffentlichkeit oder die kritischen Infrastrukturen betreffen, also eine erkennbar gesamtwirtschaftliche und sicherheitsrelevante Bedeutung haben. Gefahren, die einzelne Unternehmen betreffen, sind hier zwar oft mit eingeschlossen stehen aber nicht im Fokus des BSI. Diese sind vielmehr gehalten, eigenständig Strategien zu entwickeln und umzusetzen, um sich zu schützen.

Im Rahmen ihres Cyber Defense Centers arbeitet die ConSecur GmbH aus Meppen mit den Mitteln der Threat Intelligence daran, Gefahren für ihre Kunden frühzeitig zu erkennen und ihnen den erforderlichen Vorsprung zu verschaffen, um Angriffe abzuwehren oder zumindest frühzeitig zu erkennen und angemessen zu reagieren.

Gefahr erkannt, Gefahr gebannt …

Die IT-Sicherheitsexperten im ConSecur Cyber Defense Center nutzen ihre langjährige Erfahrung, um die Denk- und Handlungsweise von Hackern zu verstehen und nachzuvollziehen. ConSecur untersucht bekanntgewordene Bedrohungen, definiert Indicators of Compromise (IoC) und Indicators of Attack (IoA) und entwickelt ein grundlegendes Verständnis für Tactics, Techniques and Procedures (TTP).

Von besonderer Bedeutung für die frühzeitige Erkennung konkreter Bedrohungen im Rahmen der Threat Intelligence sind intensive Einblicke in die „Szene“. Je näher es gelingt, an die Akteure heranzukommen, desto früher können Signale für eine Bedrohung erkannt und analysiert werden. ConSecur arbeitet zu diesem Zweck mit erfahrenen Researchern zusammen. Diese nutzen ihr Fachwissen und ihre Netzwerke, um Informationen in relevanten Communities, aus Social Media Kanälen oder aus IoC Feeds zu sammeln. Wachsende Bedeutung haben hierbei auch Darknet-Blogs, die Hacker wie die LockBit-Ransomware-Bande nutzen, um Attacken anzukündigen und Betroffene zu erpressen.

„Beispiele wie LockBit demonstrieren anschaulich, wie groß die Gefahr durch organisierte Cyber-Kriminelle ist und dass selbst erfolgreich umgesetzte behördliche Maßnahmen wie die Operation ‚Endgame‘ das Problem nicht endgültig beseitigen“, weiß Christoph Kronabel, Cyber Threat Intelligence Lead bei ConSecur. „Mit ConSecur und Cyber Threat Intelligence im Cyber Defense Center verschaffen wir unseren Kunden den individuellen Vorsprung, um sich aktiv zu schützen oder durch schnelle und effiziente Maßnahmen Schaden zu minimieren.“