Threat Intelligence: Günstiger als ein Hackerangriff

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

IT-S: Die Methoden der Cyberkriminellen werden immer komplexer, das ist eine bekannte Tatsache. Wie schätzen Sie die aktuelle Lage ein?

Waldemar Bergstreiser: Die Zahl der Cyberbedrohungen nimmt weltweit kontinuierlich zu, da Angreifer immer neue Malware, Techniken und Methoden entwickeln, um Nutzer und Unternehmen zu attackieren. Hinzu kommt der Einsatz von KI-Tools, die die Generierung von Malware oder Phishingmails und -websites erleichtern. So entdeckten die Lösungen von Kaspersky im vergangenen Jahr durchschnittlich 467.000 schädliche Dateien pro Tag! Das entspricht einer 14-prozentigen Steigerung im Vergleich zu 2023, wobei Trojaner um 33 Prozent stiegen, während Trojan-Dropper einen Zuwachs von 150 Prozent verzeichneten. Schadfamilien, die über MS-Office-Dokumente verbreitet wurden, machten sechs Prozent aller täglich erkannten Dateien aus. Dabei richtete sich der Großteil der Angriffe (93 Prozent) gegen Windows.

IT-S: Welche möglichen Angriffsszenarien sehen Sie für das laufende Jahr?

Waldemar Bergstreiser: IT-Ausfälle und Angriffe auf Lieferketten zählen – das zeigte das vergangene Jahr – zu den zentralen Herausforderungen der Cybersicherheit. Beispielsweise betraf ein fehlerhaftes Update von CrowdStrike Millionen von Systemen und führte weltweit unter anderem zu Flugausfällen und Zahlungsproblemen.

Weiterhin drang die hochentwickelte XZ-Backdoor unbemerkt in Systeme ein, griff sensible Daten ab und verdeutlichte so die Risiken, die in weitverbreiteten Tools schlummern. Solche Vorfälle zeigen, wie wichtig strenge Sicherheitsmaßnahmen, robuste Patch- und Update-Strategien sowie proaktive Abwehrmechanismen sind, um globale Lieferketten und Infrastrukturen nachhaltig zu schützen.

IT-S: Gibt es darüber hinaus Szenarien, die derzeit spezielle Risiken bergen?

Waldemar Bergstreiser: Ausgehend von der aktuellen Sicherheitslage möchte ich zwei Szenarien speziell hervorheben. Erstens Sicherheitsvorfälle bei führenden Anbietern von künstlicher Intelligenz (KI): Kommt es bei einem dieser Dienstleister zu einem kritischen Ausfall, könnten bis zu Tausende auf diesen Systemen basierende Dienste erheblich beeinträchtigt werden. Zudem bergen solche Systeme ein hohes potenzielles Risiko für Datenlecks, da sie oft große Mengen sensibler Informationen speichern, die bei einem Vorfall offengelegt werden könnten. Und zweitens, die Ausnutzung von Schwachstellen in Windows und Linux. Diese Betriebssysteme sind das Rückgrat zahlreicher kritischer Systeme – von Internet-of-Things-(IoT)-Geräten über Produktionsanlagen bis hin zu Logistiksystemen. Eine aus der Ferne ausnutzbare Schwachstelle im Kernel dieser Systeme könnte unzählige Geräte und Netzwerke weltweit Angriffen aussetzen und zu einer Situation führen, in der globale Lieferketten grundlegend gestört würden.

IT-S: Wie können sich Unternehmen vor solchen Gefahren schützen? Was raten Sie?

Waldemar Bergstreiser: Grundsätzlich sollten Unternehmen stets Zugang zu aktuellen Bedrohungsinformationen haben, zum Beispiel über ein Threat-Intelligence-Portal, das die jeweils relevanten Cyberangriffsdaten und Erkenntnisse liefert. Wenn die internen Ressourcen nicht ausreichen, helfen Managed Security Services wie Managed Detection and Response und Incident Response, zusätzliches externes Know-how zu nutzen, ohne weiteres Personal einstellen zu müssen. Weiterhin entlasten maßgeschneiderte, anpassungsfähige und robuste cloudnative Cybersicherheitslösungen IT-Sicherheitsteams und ermöglichen die Reduzierung der mittleren Zeit bis zur Bedrohungserkennung (Mean Time To Detect, MTTD) sowie eine schnelle automatisierte Vorfallreaktion.

Und schließlich: Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Unternehmen ihren Mitarbeitern praktische Schulungen zum Sicherheitsbewusstsein anbieten, die in den Arbeitsalltag integriert werden können und so regelmäßig Wissen und Fähigkeiten vermitteln und auffrischen. IT-S: Für viele Unternehmen sind die Kosten der von Ihnen genannten Sicherheitslösungen zweifellos eine Herausforderung.

Waldemar Bergstreiser: Das Thema Kosten und Budget beschäftigt Unternehmen jeder Größe in allen Bereichen. Sparen sie an Cybersicherheit, dann sparen sie jedoch am falschen Ende. Ein Beispiel: Große Unternehmen waren im vergangenen Jahr weltweit durchschnittlich von zwölf Cybersicherheitsvorfällen betroffen und gaben rund 5,9 Millionen Euro aus, um diese zu beheben. Das ist 1,1-mal mehr als das für IT-Sicherheit insgesamt bereitgestellte Budget. Kleine und mittlere Unternehmen hingegen hatten es im Jahr 2024 sogar durchschnittlich mit 16 Vorfällen zu tun, für deren Behebung sie circa 290.000 Euro ausgaben, was 1,5-mal höher ist als ihr Gesamtbudget für IT-Sicherheit.

IT-S: Kann Threat Intelligence (TI) Unternehmen dabei helfen, ihre IT-Sicherheitskosten zu optimieren und Angriffe frühzeitig abzuwehren?

Waldemar Bergstreiser: Ja, denn wenn man das Ganze nun mit Blick auf TI betrachtet, dann zeigt sich deren Return on Investment (ROI) nochmals deutlich mehr. In unserer kürzlich durchgeführten Umfrage[1] unter IT-Entscheidern in Deutschland bestätigten 66 Prozent, dass sie mithilfe von TI-Data-Feeds, also strukturierten Bedrohungsdaten zur Erkennung und Abwehr von Cyberangriffen, bereits einen Vorfall verhindert haben (kas.pr/ti-data-feeds-whitepaper). Fest steht also, dass sich schon viele Unternehmen mithilfe von TI effektiv vor Cyberangriffen schützen konnten.

Und 79 Prozent sind davon überzeugt, dass TI vor Angriffen schützt. Deshalb sind auch drei Viertel der Befragten der Meinung, TI-Data-Feeds sollten Teil jeder grundlegenden Sicherheitslösung sein und 21 Prozent planen, diese noch dieses Jahr einzuführen. Das kostet normalerweise auch deutlich weniger als ein erfolgreicher Cyberangriff. Angesichts der ernsten Bedrohungslage bedarf es mehr denn je aktueller und umfassender Bedrohungsinformationen, um Angriffe frühzeitig zu erkennen, zu analysieren und schnell darauf reagieren zu können – und Threat Intelligence ist dafür unabdingbar.

IT-S: Und wie lassen sich TI-Data-Feeds am besten einsetzen?

Waldemar Bergstreiser: Mit TI-Data-Feeds können Unternehmen Schwachstellen oder Bedrohungen proaktiv und frühzeitig erkennen, und so das Risiko von Datenverlusten oder Betriebsunterbrechungen verringern. Dabei eignen sie sich nicht nur für große Unternehmen; sie können auch von kleinen und mittleren ganz einfach in eine Firewall integriert werden. Der Vorteil davon ist, dass viele Cyberbedrohungen schon direkt an der Peripherie automatisch abgefangen und unwirksam gemacht werden. Es kommt damit weniger auf die Endpunkte zu, und das allgemeine Schutzlevel eines Unternehmens ist sofort um ein Vielfaches höher. In Verbindung mit Managed-Security-Services ermöglicht TI somit Firmen jeglicher Größe einen realistisch umsetzbaren und proaktiven Cyberschutz.

IT-S: An welchen Stellen werden TI-Data-Feeds noch in die IT-Infrastruktur eingebunden, und welche Arten von Feeds kommen dabei zum Einsatz?

Waldemar Bergstreiser: Die Integration von TI-Data-Feeds ist vielfältig. Bei vielen stehen Cloud-Server an erster Stelle (77 Prozent), gefolgt von Firewalls (57 Prozent). Gut die Hälfte der Unternehmen nutzt Proxyserver für die Einbindung oder E-Mail-Server. Aber auch Endpoints, Intrusion- revention-Systeme (IPS) und Security Information and Event Management (SIEM) werden berücksichtigt. Die am häufigsten eingesetzten TI-Data-Feeds sind IP-Reputation (55 Prozent), URL-Feeds (54 Prozent) und „APT & Crimeware“-  Feeds (45 Prozent).

IT-S: Herr Bergstreiser, wie würden Sie die wichtigsten Vorteile von Threat Intelligence zusammenfassen?

Waldemar Bergstreiser: Das Ausschlaggebende für Unternehmen beim Einsatz ist, dass ein leistungsstarker Threat-Data-Feeds-Service eine Reduzierung der Komplexität und einen Fokus auf die wirklich relevanten aktuellen Bedrohungen ermöglicht. Die Daten können unmittelbar von diversen Systemen automatisch genutzt werden.

Die Anwender benötigen direkten Zugriff auf Informationen aus zahlreichen Datenbanken, darunter Advanced-Persistent-Threat-(APT)- , Crimeware- , Industrial-Control-Systems-(ICS)- und Digital-Footprint-Intelligence-Berichte, Profile von Bedrohungsakteuren sowie Quellen aus dem Dark Web, Surface Web und validierte Open Source Intelligence Indicators of Compromise (OSINT IoCs). Außerdem bieten internationale Cybersicherheitsexperten Handlungsempfehlungen und Erkenntnisse zu spezifischen Bedrohungen, sodass es keiner zusätzlichen Spezialisten bedarf. Das ist eine Win-win-Situation für kleine,mittlere und große Unternehmen!

IT-S: Vielen Dank für das Gespräch

Literatur

[1] Kasperksy Lab, Whitepaper TI/Data Feeds, kas.pr/ti-data-feeds-whitepaper