Wer Sicherheit will, braucht Verbündete
Das geteilte Bedrohungswissen vieler
Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen. Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. «Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen reagieren», so die Definition des National Institute of Standards and Technology (NIST). «Organisationen, die Informationen über Cyberbedrohungen austauschen, können ihre eigene Sicherheitslage sowie die anderer Organisationen dadurch verbessern.»
Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen – wie in einer Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.
«Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyberbedrohungslage informieren kann», so Susanne Dehmel, Mitglied der Geschäftsleitung des Digitalverbands Bitkom. «Dazu müssen wir Echtzeitinformationen nutzen und EU-weit in einem zentralen Dashboard sammeln – ähnlich dem Corona-Dashboard des Robert-Koch-Instituts. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt werden, können wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.»
Eine wichtige Basis dafür ist der gegenseitige Austausch durch Threat-Intelligence-Sharing. Um Bedrohungswissen auszutauschen und gemeinsam zu nutzen, kann man sich einer Reihe von Plattformen bedienen, neben proprietären Angeboten auch Open-Source-Plattformen wie MISP Threat Sharing und CrowdSec (siehe Tabelle auf der letzten Seite, Teil 4). Bei Plattformen für Threat-Intelligence-Sharing liefern die teilnehmenden Unternehmen sicherheitsrelevante Informationen, die das Wissen der anderen Teilnehmenden über aktuelle Cyberbedrohungen bereichern können. Im Gegenzug erhalten die Unternehmen dann Zugang zum immer weiter anwachsenden Bedrohungswissen der Community.
AlienVault Open Threat Exchange zum Beispiel ermöglicht es nach eigenen Angaben privaten Unternehmen, unabhängigen Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und die neuesten Informationen über neu auftretende Bedrohungen, Angriffsmethoden und böswillige Akteure auszutauschen und so für mehr Sicherheit in der gesamten Gemeinschaft zu sorgen. Aktuell sollen 100.000 Teilnehmer in 140 Ländern täglich mehr als 19 Millionen Bedrohungsinformationen beisteuern.
“Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann – wie beim Corona-Dashboard des RKI.„
Susanne Dehmel
Mitglied der Bitkom-Geschäftsleitung
Mitglied der Bitkom-Geschäftsleitung
Welche Plattform für das eigene Unternehmen die richtige ist, sollte nicht allein an den möglichen Kosten festgemacht werden. Es ist wichtig, sich anzusehen, welche Branchen, Unternehmensgrössen und Länder bei einem Anbieter bereits vertreten sind und dementsprechend Bedrohungswissen bereitstellen, das möglichst relevant für das eigene Unternehmen ist.
Nicht mit den Falschen teilen
Man sollte zwar offen sein für den Austausch über Security, aber auch nicht zu offen. Die US-amerikanische Cornell University hat auf die notwendige Vertrauenswürdigkeit der Teilnehmenden am Threat-Intelligence-Sharing hingewiesen: «Der Austausch von Bedrohungsinformationen gilt als einer der proaktiven Abwehransätze zur Verbesserung der Gesamtsicherheit vertrauenswürdiger Partner. Vertrauenswürdige Partnerorganisationen können Zugriff auf frühere und aktuelle Cybersicherheitsbedrohungen gewähren, um das Risiko eines potenziellen Cyberangriffs zu verringern.»
Threat-Intelligence-Sharing muss deshalb selbst Sicherheitsvorgaben beachten, damit die Cybersicherheit steigt und nicht etwa zusätzlich und ungewollt gefährdet wird. Die EU-Agentur für Cybersicherheit ENISA hat bereits auf mögliche Problemstellen und den richtigen Weg hin zum Threat-Intelligence-Sharing hingewiesen. Sie empfiehlt Unternehmen, folgende Fragen vor einem Threat-Intelligence-Sharing zu klären:
- Mit wem sollen Informationen geteilt werden?
- Wird über sichere Kanäle geliefert?
- Welche Informationsaustauschmechanismen werden verwendet?
- Können geteilte Informationen von allen Parteien genutzt werden?
- Wie können geteilte Informationen verwendet werden?