Einen Schritt voraus

Risikokontrolle 5.7: Bedrohungsintelligenz


Die Risikokontrolle „Bedrohungsintelligenz“ gemäß ISO 27002:2022 (Abschnitt 5.7) bezieht sich auf das Sammeln und Analysieren von Informationen über potenzielle Bedrohungen für die Informationssicherheit einer Organisation. Ziel dieser Kontrolle ist es, proaktive Maßnahmen zu ergreifen, um Sicherheitsvorfälle zu verhindern, bevor sie auftreten. Durch die systematische Erfassung und Auswertung von Bedrohungsinformationen – sowohl aus internen als auch externen Quellen – wird ein umfassendes Verständnis über mögliche Angriffe und Schwachstellen gewonnen. Diese Bedrohungsinformationen unterstützen Sicherheitsverantwortliche dabei, angemessene Schutzmaßnahmen zu entwickeln und anzupassen, um der dynamischen Bedrohungslandschaft entgegenzuwirken.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Hauptgefahren, die durch die Implementierung von Bedrohungsintelligenz minimiert werden sollen, umfassen:

  1. Unentdeckte Sicherheitsbedrohungen: Ohne Bedrohungsintelligenz können Organisationen keine potenziellen Angriffe vorhersehen. Sie werden reaktiv statt proaktiv, was dazu führt, dass Bedrohungen oft erst entdeckt werden, wenn der Schaden bereits eingetreten ist.
  2. Zero-Day-Angriffe: Eine der größten Herausforderungen für Unternehmen sind Angriffe, die auf noch unbekannte Schwachstellen abzielen (Zero-Day-Angriffe). Bedrohungsintelligenz hilft, solche potenziellen Schwachstellen durch frühzeitige Informationen zu identifizieren und entsprechende Maßnahmen zu ergreifen.
  3. Fehlende Vorbereitung auf neue Angriffe: Da die Bedrohungslandschaft sich ständig weiterentwickelt, können ohne Bedrohungsinformationen neue Angriffsmethoden und Taktiken unentdeckt bleiben, was es Angreifern erleichtert, Schwachstellen auszunutzen.
  4. Unzureichende Ressourcenallokation: Ohne präzise Informationen über Bedrohungen setzen Unternehmen möglicherweise ihre Ressourcen ineffizient ein, indem sie sich auf falsche oder weniger relevante Bedrohungen konzentrieren. Bedrohungsintelligenz hilft, die Maßnahmen gezielt auf die dringendsten Gefahren auszurichten.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die Bedrohungsintelligenz adressiert eine Reihe von Schwachstellen, die in vielen Organisationen häufig zu Sicherheitsproblemen führen:

  1. Reaktive Sicherheitsstrategien: Viele Organisationen reagieren erst dann auf Angriffe, wenn sie bereits stattfinden oder erfolgreich waren. Ohne ein starkes Bedrohungsintelligenz-Programm ist es schwer, proaktiv zu handeln und Angriffe im Voraus zu verhindern.
  2. Mangel an externen Informationen: Organisationen, die sich nur auf interne Bedrohungen und Sicherheitsvorfälle konzentrieren, übersehen oft größere, globale Entwicklungen im Bereich der Cyberkriminalität. Bedrohungsinformationen von externen Quellen liefern wichtige Einblicke in branchenweite oder regionsspezifische Bedrohungen.
  3. Keine Priorisierung von Bedrohungen: Ohne Bedrohungsintelligenz ist es schwierig, die Relevanz und das Risiko verschiedener Bedrohungen einzuschätzen. Das kann dazu führen, dass Ressourcen auf weniger dringende Probleme verwendet werden, während kritische Bedrohungen übersehen werden.
  4. Veraltete Schutzmaßnahmen: Wenn Organisationen nicht auf dem neuesten Stand über aktuelle Bedrohungen sind, können sie mit veralteten Schutzmaßnahmen arbeiten, die gegen moderne Angriffe ineffektiv sind. Bedrohungsintelligenz hilft, Sicherheitsstrategien aktuell zu halten.


Beispiel für die Umsetzung der Risikokontrolle

Ein konkretes Beispiel für die effektive Nutzung von Bedrohungsintelligenz stammt aus der Energiebranche, die oft Ziel von Cyberangriffen ist, insbesondere von staatlich unterstützten Akteuren. Ein großer Energieversorger, der sowohl im Bereich der Stromversorgung als auch bei der Energieverteilung tätig ist, hat ein umfassendes Bedrohungsintelligenz-Programm implementiert, um seine kritische Infrastruktur zu schützen.

  1. Sammeln von Bedrohungsdaten: Der Energieversorger nutzt sowohl interne als auch externe Quellen, um Bedrohungsinformationen zu sammeln. Dazu gehören Open-Source-Intelligence (OSINT), branchenspezifische Sicherheitsforen und der Austausch von Bedrohungsdaten mit anderen Unternehmen der Energiebranche sowie Regierungsstellen. Zudem werden spezialisierte Threat-Intelligence-Dienstleister genutzt, die Informationen über aktuelle Bedrohungen und Angriffe bereitstellen.
  2. Analyse und Priorisierung: Ein dediziertes Team analysiert die gesammelten Bedrohungsinformationen und bewertet deren Relevanz für das Unternehmen. Sie erstellen detaillierte Berichte über potenzielle Bedrohungen, insbesondere über neue Angriffsmethoden, die in der Energiebranche beobachtet werden. Diese Berichte helfen dabei, die Sicherheitsmaßnahmen proaktiv anzupassen und Bedrohungen zu priorisieren.
  3. Automatisierte Erkennung und Reaktion: Das Unternehmen hat seine Sicherheitslösungen mit der Bedrohungsintelligenz-Plattform verknüpft, sodass potenzielle Bedrohungen automatisch erkannt und darauf reagiert werden kann. Beispielsweise wurde eine frühzeitige Warnung über eine neu entdeckte Malware für industrielle Kontrollsysteme (ICS) genutzt, um Sicherheitsupdates vor einem möglichen Angriff durchzuführen.

Durch dieses Bedrohungsintelligenz-Programm konnte der Energieversorger einen versuchten Angriff auf seine industrielle Kontrollsysteme abwehren. Dank der rechtzeitigen Information über die neu aufgetauchte Malware und der schnellen Implementierung von Schutzmaßnahmen konnten mögliche Schäden verhindert werden.


Notwendige Ressourcen

Die Implementierung eines Bedrohungsintelligenz-Programms erfordert sowohl finanzielle als auch personelle Ressourcen. Die Kosten und der Aufwand hängen von der Größe der Organisation, der Branche und der Tiefe der gewünschten Bedrohungsanalysen ab.

  1. Kosten für externe Threat-Intelligence-Dienstleister: Organisationen, die spezialisierte Bedrohungsinformationen von externen Anbietern nutzen, müssen mit mehreren tausend bis zehntausend Euro jährlich rechnen, abhängig vom Umfang und der Art der gelieferten Bedrohungsdaten.
  2. Technologische Investitionen: Für die Erfassung und Analyse von Bedrohungsinformationen sind spezialisierte Plattformen und Tools erforderlich. Diese Plattformen können zwischen 10.000 und 100.000 Euro kosten, abhängig von den gewünschten Funktionen, der Anzahl der Nutzer und der Komplexität der Bedrohungsanalysen.
  3. Zeitaufwand: Die Einführung eines Bedrohungsintelligenz-Programms kann je nach Organisation mehrere Monate in Anspruch nehmen. Die Integration von Tools, die Schulung des Personals und die Anpassung bestehender Sicherheitsprozesse an die neue Bedrohungsintelligenz erfordern eine sorgfältige Planung und Durchführung.
  4. Einfachheit vs. Komplexität: Die Implementierung eines einfachen Bedrohungsintelligenz-Programms, das auf allgemein verfügbare Informationen setzt, ist relativ einfach und schnell durchzuführen. Komplexer wird es, wenn spezielle Bedrohungsquellen und Automatisierungswerkzeuge eingebunden werden. Auch die Integration in bestehende Sicherheits- und Incident-Response-Systeme erfordert technisches Know-how und Ressourcen.
  5. Personalbedarf: Größere Unternehmen benötigen spezialisierte Bedrohungsanalysten, die die Informationen auswerten und darauf basierend Empfehlungen geben. In kleineren Unternehmen kann diese Aufgabe von bestehenden IT-Sicherheitsteams übernommen werden, jedoch erfordert dies zusätzliche Schulungen und Kapazitäten. Die Kosten für dedizierte Analysten oder externe Berater können erheblich variieren, je nach Erfahrung und Umfang der Aufgabe.


Fazit

Die Risikokontrolle „Bedrohungsintelligenz“ nach ISO 27002:2022 bietet Organisationen die Möglichkeit, proaktiv auf die sich ständig weiterentwickelnde Bedrohungslandschaft zu reagieren. Durch das Sammeln und Analysieren von Informationen über potenzielle Bedrohungen können Organisationen Sicherheitslücken schließen, bevor sie ausgenutzt werden, und ihre Ressourcen effizienter einsetzen. Obwohl die Implementierung einer umfassenden Bedrohungsintelligenz-Lösung Zeit und finanzielle Investitionen erfordert, sind die Vorteile in Form von erhöhter Sicherheit, schnellerer Reaktionsfähigkeit und besserer Vorbereitung auf neue Angriffe entscheidend für den langfristigen Schutz der Organisation.