Immer umfangreichere Cyberattacken haben dazu geführt, dass Organisationen sich nicht nur Gedanken über die eigene Sicherheit machen müssen, sondern auch über die Funktion von Wirtschaftsprozessen an sich. Angriffe sind gut organisiert, gezielt aber kommen gleichzeitig in riesiger Menge vor. Zudem muss man davon ausgehen, dass die Hintermänner sich weiter professionalisieren und ihre Fähigkeiten weiter ausbauen.

Laut einem Bericht der Süddeutschen-Zeitung haben ausgeklügelte Cyberattacken in der Urlaubszeit Hochsaison. Dann sei die Zeit ideal, um umfangreiche Attacken zu starten – besonders im Industriesektor. Die Kriminellen gehen dabei in kleinen Schritten vor und sind vorsichtig. Sie wollen nicht zu viel Aufsehen erregen.

Bei Siemens erkennt man bis zu 1.000 Attacken monatlich. Die Security-Experten arbeiten rund um die Uhr, um die Netzwerke zu schützen. In der Abteilung „Cybersecurity Defense“ schaut man weltweit nach Anomalien im Datenverkehr. Minimale Veränderungen an Software, Infrastruktur oder den Kommunikationsströmen sind wichtige Indikatoren für Angriffe.

Der Artikel verdeutlicht die Anforderungen an die IT-Sicherheit von heute: Unternehmen jeglicher Größe befinden sich im Visier der Kriminellen. Diese tasten sich Stück für Stück vor. Organisationen, deren Abwehrmechanismen nicht dem Stand der Technik entsprechen sind leichte Beute, da die Hacker einfach immer tiefer in die Systeme vorstoßen können. Sie rechnen dabei mit Abwehrmechanismen und haben die Möglichkeit, diese zu umgehen. Neben ausgeklügelter Malware greifen sie auf gefälschte E-Mails und Social Engineering zurück, um Angestellte für ihre Zwecke einzuspannen.

Daher müssen Führungsetagen ihre gesamte Sicherheitsstrategie an die neue Dynamik anpassen. Es sollten sämtliche verfügbaren Threat Intelligence Daten gesammelt und analysiert werden. Darunter fallen Daten aus externen Quellen, welche unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI), von kommerziellen Anbietern und Sharing-Plattformen wie MISP zur Verfügung gestellt werden. Aber auch interne Systeme wie SIEM, Firewall, Advanced Threat Detection oder Schwachstellen-Scanner stellen diese Daten bereit.

Diese enorme Menge an Wissen wächst ständig und muss entsprechend aufgearbeitet werden. Sogar für große Firmen ist dieser Prozess nicht ohne passende Tools zu bewerkstelligen. Threat Feeds und Security-Reports liegen in unterschiedlichen Dateiformaten vor und manuelle Eingaben sind für IT-Abteilungen nur schwer umsetzbar. Es ist nicht möglich alle Informationen zeitnah in das eigene System einzupflegen und so rechtzeitig nutzbar zu machen.

Die Anzahl der Personalressourcen ist begrenzt. Die Anzahl der Sicherheitstools, die Größe der Netzwerke und die Menge an Endgeräten wächst aber immer weiter. Um die Masse an Informationen richtig nutzen zu können, setzen Sicherheitsteams deshalb auf lokale Threat Intelligence Plattformen, die alle Daten, in jedem Format, aufnehmen, vereinheitlichen und nutzbar machen können. Über den Aufbau einer so genannten Threat Library ist es Unternehmen möglich, sämtliche neuen Informationen optimal zu nutzen und diese auch mit bereits vorhandenen Daten abzugleichen.Zusätzlich ist es wichtig, Threat Intelligence Daten automatisch zu priorisieren, um „Rauschen“ zu entfernen und die begrenzten Ressourcen auf für das eigene Unternehmen relevante und kritische Bedrohungen zu konzentrieren.

Dadurch lassen sich eben jene minimalen Veränderungen erkennen, die moderne Cyberattacken auffliegen lassen. Zudem können IT-Verantwortliche jederzeit ein Lagebild erstellen und richtig reagieren. Eventuell ist man von einer wütenden Ransomware gar nicht gefährdet, vielleicht unterschätzt man aber eine andere Gefahr, weil eine Gruppe von Devices in einer Zweigstelle beispielsweise nicht bedacht wurde. Mit einer Threat Library können Sicherheitsteams ihren Fokus optimal schärfen. Falls eine lokale Bibliothek keine Option ist, können Organisationen auch auf Managed Service Provider zurückgreifen, die entsprechenden Input liefern.

Der Bericht über Siemens macht deutlich, dass das Sammeln von IoCs, deren Priorisierung, die Bereitstellung und Verteilung der Informationen aktuell eine Schlüsselkompetenz der IT-Sicherheit ist. Wenn alle benötigten Daten zur passenden Zeit am richtigen Ort sind, ist es den Teams möglich, schnell eine qualifizierte Entscheidung entsprechend der Situation zu treffen – und außerdem vorbeugend zu agieren.

Quelle:

Markus Auer – Security Insider

Unser Tipp:

Wir sind Experten für einen Rund-Um-Cyberschutz.

Schützen Sie sich daher mit uns rechtzeitig!

Vergleichen Sie hier direkt Ihre Cyberversicherung und verschaffen Sie sich so zusätzlichen Schutz mit der 3. Säule der IT-Sicherheit.

Oder kontaktieren Sie uns ganz bequem und lassen sie sich umfassend beraten.