Ein Threat-Intelligence-Programm aufzusetzen, kann Unternehmen überfordern. Es gibt viele Modelle dafür und ebenso viel Literatur über Quellen, Methoden und die richtige Expertise zur Auswertung von Daten. Eine Lösung zu finden, die den Ressourcen und Anforderungen des eigenen Unternehmens entspricht, ist dennoch eine Herausforderung. Ein relevantes und passgenaues Ergebnis lässt sich aber auch auf einfacherem Weg erhalten, indem Sie die Sache ganz pragmatisch angehen: Sie können sich zur eigenen Bedrohungsumgebung Gedanken machen und sie in Ihren eigenen Worten notieren.
Dieser Artikel ist der erste einer Reihe von Beiträgen, in denen wir Ihnen zeigen möchten, wie Sie zumindest ein Basisprogramm für Threat Intelligence aufs Gleis heben, indem Sie sich drei Fragen stellen: 1. Welche Daten sollen geschützt werden? 2. Für wen sind die Daten potenziell von Interesse? 3. Wie kommen wir an Informationen zu potenziellen Bedrohungen in einem Format, mit dem wir etwas anfangen können? Die besagten Artikel ergänzen unsere Serie zum Thema Priority Intelligence Requirements (PIR) kongenial, denn sie sind auch nützlich für die Vorbereitung und Erstellung von PIR (die regeln, welche Daten zum Treffen einer guten Entscheidung am wichtigsten sind). Der erste Artikel widmet sich der Frage, was genau Hacker von Ihrem Unternehmen wollen könnten.
Wie fangen Sie an?
Der erste Schritt lautet: Ermitteln Sie, was Sie Schützenswertes besitzen. Dazu müssen Sie die Sachlage aus Ihrer eigenen sowie aus der Angreiferperspektive betrachten. Was ist für Sie von Bedeutung – und was für die Angreifer? Dies auf einfache und prägnante Weise umreißen zu können, ist schon die Basis eines guten Threat-Intelligence-Programms.
Was erachten Sie für wichtig?
Zunächst einmal müssen Sie klären, was wichtig für Sie bzw. Ihr Unternehmen ist. Sie identifizieren also die wesentlichen Geschäftsressourcen – also alle, die betriebsentscheidend sind – und weitere Dinge, deren Besitz aus Ihrer Sicht essenziell für das Unternehmen ist (z. B. geistiges Eigentum, Daten oder andere einzigartige betriebliche Aspekte).
- Betriebsrelevante Ressourcen: Zu diesen zählt Grundlegendes wie Geld und Finanzdaten (für jedes Unternehmen entscheidend), aber auch Technik und/oder Software, die für Ihren Unternehmensbetrieb unerlässlich ist. Überlegen Sie, welchen Bedrohungen diese Ressourcen ausgesetzt sein könnten.Möglicherweise müssen Sie sich auch Gedanken machen zu industriellen Steuerungssystemen (ICS) oder IoT-Geräten (Internet der Dinge), die Sie hinsichtlich potenzieller Bedrohungen im Auge behalten müssen.Auch Kundendaten fallen in diese Kategorie.
- Weitere Ressourcen: Hier stellen Sie sich die Frage, was Ihr Unternehmen einzigartig macht. Ist es ein bestimmtes geistiges Eigentum? Sind es Forschungsdaten oder sonstige spezielle und/oder sensible Daten?Welche Daten, welchen Zugriff, welche Prozesse könnte es in Ihrem Unternehmen geben, die schützenswert wären?
Was erachten Angreifer für wichtig?
Der nächste Schritt besteht darin, einen Schritt zurückzutreten und Ihr Unternehmen mit den Augen potenzieller Angreifer zu betrachten: Was bieten Sie, das für Cyberkriminelle oder staatliche Akteure mit böswilligen Absichten interessant sein könnte? In vielen Fällen wird das Ergebnis zusammenfallen mit dem, was für Sie selbst wichtig ist, zum Beispiel Geld. Ransomware-Gruppen und andere Cyberkriminelle handeln aus finanziellen Motiven. Für Ihr geistiges Eigentum wiederum könnten sich staatliche Akteure interessieren (China beispielsweise hat es insbesondere auf Informationen zu Energietechnik abgesehen). Ein weiterer Punkt, zu dem Sie sich Gedanken machen sollten, ist Ihr Kundenstamm und die Frage, mit welchen Unternehmen Sie in Verbindung stehen. In einer kürzlich lancierten Warnung der US-amerikanischen Regierung zu Bedrohungen für wichtige Infrastrukturen wurden kleine und mittlere Unternehmen darauf hingewiesen, dass sie aufgrund ihrer geschäftlichen Beziehungen zu größeren Betreibern wichtiger Infrastrukturen ein potenzielles Angriffsziel seien.i
Und nun?
Der erste Schritt beim Aufbau eines Threat-Intelligence-Programms lautet: Ermitteln Sie, was wichtig für Sie ist.. Im nächsten Artikel dieser Serie sehen wir uns an, was davon für Angreifer interessant sein könnte. Dieser Schritt hilft Ihnen dabei, böswillige Akteure und ihre Vorgehensweisen besser einzuordnen. Sodann können Sie sich schon einmal gegen die bekanntesten Bedrohungen wappnen und den Wirkungshebel Ihrer Investition in Cybersicherheit optimieren.
