Cybersicherheit

Auf der Jagd nach Bedrohungen

| Autor / Redakteur: Mav Turner* / Peter Schmitz

Es heißt ja, „Wenn man einen Verbrecher fangen will, muss man zuerst so denken wie er.“. Wie wäre es also, wenn es innerhalb des Unternehmens jemanden gäbe, der wie ein Cyberkrimineller denkt, aber auf der Seite der Guten kämpft?
Es heißt ja, „Wenn man einen Verbrecher fangen will, muss man zuerst so denken wie er.“. Wie wäre es also, wenn es innerhalb des Unternehmens jemanden gäbe, der wie ein Cyberkrimineller denkt, aber auf der Seite der Guten kämpft? (Bild: Patrick Rolands - Fotolia.com)

Cyber-Angriffe auf Unternehmensnetzwerke sind für sich genommen oft schon schlimm, aber wirklich besorgniserregend ist, dass mehr als zwei Drittel der Unternehmen von Dritten auf diese Angriffe aufmerksam gemacht werden, anstatt sie selbst zu bemerken. Das ist der Grund, warum die Jagd nach Bedrohungen für IT-Sicherheitsstrategien immer wichtiger wird.

Im 21. Jahrhundert ist das Vertrauen in Vorbeugungsmaßnahmen keine ausreichende IT-Sicherheitsstrategie. Wie wäre es, wenn es innerhalb des Unternehmens jemanden gäbe, der wie ein Krimineller denkt, aber auf der Seite der Guten kämpft?

Diese Person könnte nicht nur den Schaden eines Angriffs eindämmen, sondern auch die Erkennungs- und Reaktionszeit enorm verkürzen. Solche Personen bezeichnen einige Organisationen in der IT-Sicherheitsbranche als „Bedrohungsjäger“ bzw. „Threat Hunter“.

Berufsbild Bedrohungsjäger

Die Hauptaufgabe eines Bedrohungsjägers besteht darin, nach Anzeichen für eine Manipulation oder nach Hinweisen auf eine Datensicherheitsverletzung zu suchen. Er versetzt sich hierzu in die Denkweise eines Angreifers, um herauszufinden, was dieser sehen oder welchen Spuren er folgen würde. Kurzum geht es darum, als Unternehmen dem Angreifer einen Schritt voraus zu sein, um sich vor den allzu bekannten katastrophalen Konsequenzen einer Sicherheitsverletzung zu schützen.

Bedrohungsjäger werden in der Branche sehr unterschiedlich beschrieben. Ein Bedrohungsjäger befindet sich innerhalb eines aktiven Verteidigungskonzepts, doch viele Unternehmen betrachten seine Rolle aus einer anderen Perspektive. Für die Jagd nach Bedrohungen muss eine Organisation dieser besonderen Aufgabe innerhalb der aktiven Verteidigung dedizierte Ressourcen zuweisen.

Wenn aber die Bedrohungsjagd möglicherweise einen Cyberangreifer in die Falle locken kann, warum ist sie dann in den Massenmedien kaum bekannt? Wie entstand der Bedarf an Bedrohungsjägern und warum wächst er?

Viele Sicherheitsteams gehen prinzipiell von der Annahme aus, dass bereits eine Datensicherheitsverletzung vorliegen könnte, und streben eine Balance zwischen Vorbeugungs- und Erkennungsstrategien an. Nach der großen Anzahl aufsehenerregender Angriffe wird die Cybersicherheit für Unternehmen allmählich zur höchsten Priorität. In einer von SolarWinds durchgeführten Umfrage zum Vertrauen in die Informationssicherheit gaben 84 Prozent der Befragten an, dass ihre Organisation einem schwerwiegenden Angriff ausgesetzt war, wobei 35 Prozent einräumten, dass es mindestens einen Monat dauerte, bis der Angriff entdeckt wurde. Dies belegt erneut, wie wichtig es ist, dass Unternehmen die richtigen Sicherheitspraktiken einsetzen. Zu einem runden Sicherheitsprogramm gehört auch eine Position für die Bedrohungsjagd.

Organisationen, die ihr IT-Sicherheitsteam um Bedrohungsjäger erweitern möchten, suchen nach Personen mit umfangreichen Erfahrungen. Bei der IT-Sicherheit gilt: Je mehr eine Person über Netzwerk, Anwendungen und Server weiß, desto besser. Häufig besteht ein Angriff aus verschiedenen Komponenten, die nicht nur auf das Netzwerk beschränkt sind. Wenn sich eine Person beispielsweise gut im Netzwerk auskennt, aber über kein Wissen zu den Anwendungen verfügt, wird sie vermutlich nur schwer erkennen können, dass ein Angriff stattfand oder gerade ausgeübt wird.

Nutzen der Bedrohungsjäger

Der Hauptvorteil eines Bedrohungsjägers ist ziemlich offensichtlich: Wenn eine Organisation Angriffe erkennen kann, während sie ausgeführt werden, kann sie Schäden abwenden und zukünftige Angriffe verhindern. Folgendes sind die häufigsten Sicherheitslücken in der Unternehmensinfrastruktur, die zudem den größten Schaden verursachen können:

  • Fehlen einer guten Netzwerksegmentierung
  • Zu großzügige Zugriffsberechtigungen von vertrauenswürdigen Geräten oder Konten
  • Nutzung unsicherer Protokolle
  • Fehlende Überwachung für automatisierte Erkennung und Transparenz

Im Großen und Ganzen besteht das Ziel der Bedrohungsjäger darin, die Anzeichen eines Angriffs schnell zu erkennen, um eine Organisation vor Schaden zu bewahren. Wenn ein Angreifer also möglicherweise bereits die Verteidigungslinie durchbrochen (und die vorbeugenden Maßnahmen umgangen) hat, hat er aber vielleicht noch keine Daten gestohlen, Systeme zum Ausfall gebracht oder das Geschäft anderweitig beeinträchtigt. Wurde ein Angriff erkannt, so können Bedrohungsjäger bei der Schadensbegrenzung helfen und das Unternehmen kann mithilfe ihrer Erkenntnisse die vorbeugende Verteidigung stärken.

Während Penetrationstester Schwachstellen im System eines Unternehmens ermitteln, suchen Bedrohungsjäger nach Anzeichen dafür, dass tatsächlich jemand diese Systeme aktiv angreift. Beide sind gleich wichtig, doch sie erfüllen einen sehr unterschiedlichen Zweck. Vermutlich haben die meisten Organisationen bereits regelmäßige Penetrationstests geplant, bevor sie einen Bedrohungsjäger in Vollzeit engagieren. Doch nur weil ein Penetrationstester eine Sicherheitslücke entdeckt hat, muss das nicht bedeuten, dass es auch jemand anderem gelungen ist. Ein Bedrohungsjäger kann bei der Beantwortung dieser Frage behilflich sein und konzentriert sich stärker auf Angriffe, die tatsächlich geschehen sind, als auf solche, die theoretisch geschehen könnten. Es kann erfolgsentscheidend sein, einer Person die Möglichkeit zu geben, sich ganz auf das Erkennen von Schwachstellen zu konzentrieren, so dass die IT-Sicherheit einen Angriff oder eine Datensicherheitsverletzung erkennen kann, bevor sie geschehen.

Herausforderungen der Bedrohungsjäger

Mav Turner
Mav Turner (Bild: Solarwinds)

Neben den vielen Vorteilen von Bedrohungsjägern gibt es auch einige Herausforderungen. Zu den größten Herausforderungen gehört die Suche nach geeignetem Personal. Man braucht jemanden, der über beeindruckende Fähigkeiten verfügt und sehr selbstständig arbeitet. Außerdem ist das Beschäftigen eines Bedrohungsjägers keine realistische Option für kleine oder mittelgroße Unternehmen: ihnen fehlen schlicht die Ressourcen, einer Person ganz diese Rolle zuzuweisen, da andere wichtige IT-Funktionen vernachlässigt würden. Gleichwohl werden größere Organisationen einen Bedrohungsjäger in ihrem Team als sehr gewinnbringend wahrnehmen.

Schlussendlich ist es Sache der Unternehmen, die Bedrohungsjagd als wichtige Fertigkeit zu betrachten – denn ohne sie können sich Angreifer frei in ihrer Infrastruktur bewegen und man wird dies erst erfahren, wenn es zu spät ist. Und wir wissen alle, wie diese Geschichte enden kann.

* Mav Turner ist Director Business Strategy bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43940107 / Head Geeks Speech)