[datensicherheit.de, 31.10.2025] Cyberangriffe auf den öffentlichen Sektor nehmen immer mehr zu: „Staatliche Institutionen, Behörden und Betreiber Kritischer Infrastrukturen geraten zunehmend ins Visier, sowohl durch Cyberkriminelle als auch durch staatlich gesteuerte Gruppen. Die Bedrohungslage verschärft sich, da viele Angriffe inzwischen kombinierte Vektoren nutzen, veraltete IT-Systeme zusätzliche Angriffsflächen bieten und geopolitische Spannungen das Risiko gezielter Operationen erhöhen.“ Michael Chalvatzis, „Senior Director DACH & Eastern Europe“ bei Recorded Future, kommentiert die Bedrohungslage und führt zur Problematik weiter aus: „Hinzu kommt, dass oft das nötige Personal, ausreichende Ressourcen sowie die benötigten Kompetenzen fehlen, um schnell und wirksam zu reagieren.“ „Threat Intelligence“ umreißt er als zentrales Instrument zur langfristigen Absicherung der digitalen Handlungsfähigkeit des öffentlichen Sektors.

Foto: Recorded Future

Michael Chalvatzis rät zu „Threat Intelligence“: Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen

„Threat Intelligence“ als systematischer Ansatz zur frühzeitigen Erkennung von Bedrohungen empfohlen

Trotz dieser Herausforderungen blieben die Erwartungen hoch. Bürger erwarteten nach wie vor, „dass staatliche Einrichtungen ihre digitalen Dienste zuverlässig bereitstellen und sensible Daten schützen“. Ein erfolgreicher Angriff hätte nicht nur finanzielle Folgen, sondern würde auch das Vertrauen in die Handlungsfähigkeit des Staates langfristig beschädigen.

• Cyberabwehr im öffentlichen Sektor war demnach lange Zeit vorwiegend reaktiv ausgerichtet. Chalvatzis erläutert: „Sicherheitsvorfälle wurden dokumentiert, im Nachhinein analysiert und erst danach Maßnahmen eingeleitet.“

Angesichts der heutigen Bedrohungslage reiche dieses Vorgehen nicht mehr aus. Erforderlich sei ein systematischer Ansatz, „der Bedrohungen frühzeitig erkennt, in den passenden Kontext einordnet, nach Relevanz bewertet und in konkrete Maßnahmen übersetzt“.

„Threat Intelligence“-Lösungen analysieren und priorisieren Bedrohungsdaten

„Threat Intelligence“-Lösungen unterstützten dieses Vorgehen, indem sie sicherheitsrelevante Informationen aus unterschiedlichen Quellen automatisiert verarbeiteten. Dazu gehörten technische Feeds, öffentlich verfügbare Daten, branchenspezifische Informationskanäle sowie Inhalte aus schwer zugänglichen digitalen Umgebungen wie dem „Darknet“.

• Die Plattformen analysierten diese Daten in Echtzeit, priorisierten sie nach Dringlichkeit und machten sie für die weitere Bearbeitung verfügbar.

„Durch die Anbindung an bestehende Sicherheitssysteme wie SIEM oder SOAR lassen sich relevante Erkenntnisse direkt in bestehende Prozesse einbinden“, berichtet Chalvatzis. Dies verkürze Reaktionszeiten, entlaste gezielt Analystenteams und nutze Ressourcen effizienter. Gleichzeitig verbesserten kontextualisierte Informationen die Grundlage für strategische Entscheidungen, etwa bei der Bewertung geopolitischer Entwicklungen, bei der Risikoeinschätzung von Lieferketten oder bei der Einhaltung regulatorischer Vorgaben.

Strategischer Vorteil: „Threat Intelligence“ ermöglicht proaktive Verteidigung

„,Threat Intelligence’ entwickelt sich zu einem zentralen Instrument, um die digitale Handlungsfähigkeit des öffentlichen Sektors langfristig abzusichern.“ Zahlreiche staatliche Einrichtungen setzten bereits auf KI-gestützte „Threat Intelligence“-Plattformen, um diesen Anforderungen vorausschauend und effizient zu begegnen.

• Durch die automatisierte Auswertung sicherheitsrelevanter Informationen ließen sich potenzielle Bedrohungen frühzeitig erkennen, in den richtigen Kontext einordnen und nach Relevanz priorisieren.

Chalvatzis erläutert den Nutzen: „Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen.“ Gleichzeitig unterstütze ein solcher Ansatz die Umsetzung nationaler Sicherheitsstrategien sowie die Einhaltung regulatorischer Vorgaben wie der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

Recorded Future
Warum Aufgezeichnete Zukunft / Recorded Future Precision Intelligence hilft Unternehmen, die meisten Bedrohungen zuerst zu erkennen, damit sie handeln und Angriffe verhindern können. Unser KI-gesteuerter Intelligence Graph® verbindet Ihre internen Daten mit externen Informationen und liefert in Echtzeit umsetzbare Erkenntnisse, die sich nahtlos in Ihre bestehende Sicherheitsarchitektur integrieren lassen.

Linkedin
Michael Chalvatzis

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

datensicherheit.de, 01.12.2023
Mimecast Global Threat Intelligence Report Q3 / 2023: 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken / Drittes Quartal 2023 hat deutlichen Anstieg sogenannter Zero-Day-Bedrohungen gezeigt, warnt Mimecast

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand / Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence / Mimecast veröffentlicht den neuesten Bericht des Gremiums

[datensicherheit.de, 18.02.2025] Laut einer aktuellen Kaspersky-Umfrage unter IT-Entscheidern setzt fast ein Drittel (30%) der Unternehmen in Deutschland „auf für Privatnutzer konzipierte Sicherheitslösungen, die keinen dedizierten betrieblichen Schutz bieten“. 75 Prozent der Befragten verwendeten Threat-Intelligence-Dienste (TI), die meisten davon (51%) mehrere, während 14 Prozent sich auf kostenlose Anbieter verließen. Zwei Drittel (66%) konnten demnach durch ihren TI-Einsatz bereits einen Cyber-Angriff verhindern. Darüber hinaus zählten Security- (54%) und Firewall-Audits (52%) zu den am häufigsten eingesetzten Sicherheitsmaßnahmen in Unternehmen. Im November 2024 habe Censuswide im Kaspersky-Auftrag eine Online-Umfrage unter 500 IT-Entscheidern in Deutschland und 251 in der Schweiz zum Thema „Threat Intelligence“ durchgeführt.

69 Prozent der Unternehmen in Deutschland 2024 von Cyber-Angriff betroffen

69 Prozent der Unternehmen in Deutschland (78% in der Schweiz) seien im vergangenen Jahr, 2024, von einem Cyber-Angriff betroffen gewesen – 31 Prozent sogar von mehreren. Angesichts dieser Bedrohungslage setze rund die Hälfte der Unternehmen auf Security-Audits (54%), Firewall-Patching (52%) und dedizierte Sicherheitslösungen für Unternehmen (48%).

Allerdings verwendet fast ein Drittel (30%) weiterhin Sicherheitslösungen für Privatnutzer, welche keinen spezifischen betrieblichen Schutz böten. Zudem nutzen nur 19 Prozent der Unternehmen „Zero Trust“, obwohl dieser Ansatz maßgeblich dazu beitragen könne, Sicherheitsvorfälle durch Mitarbeiterfehler zu minimieren.

Zwei Drittel der Unternehmen konnten mittels TI-Feeds bereits erfolgreich Cyber-Angriff verhindern

„Wie die Kaspersky-Umfrage zeigt, konnten zwei Drittel der Unternehmen (66%; 59% in der Schweiz) mithilfe von Threat-Intelligence-(TI)-Feeds bereits erfolgreich einen Cyber-Angriff verhindern.“ Über die Hälfte der Unternehmen (51%) nutze eine Kombination verschiedener TI-Dienste, um von unterschiedlichen Datenquellen zu profitieren. In der Schweiz seien es hingegen nur 38 Prozent.

Ein Teil der Unternehmen (18%; 24% in der Schweiz) vertraue jedoch auf eine einzige TI-Quelle, möglicherweise zur Komplexitätsreduktion und Kostensenkung. Die in Deutschland am häufigsten genutzten Datenquellen laut Kaspersky-Umfrage seien IP-Reputationsdaten (55%), URL-Feeds (54%) sowie APT- und Crimeware-Feeds (45%).

Unternehmen setzen bei TI auf Multi-Vendor-Strategie

„Unternehmen setzen auf eine Multi-Vendor-Strategie bei ,Threat Intelligence’, um ein umfassenderes Bild von Bedrohungen zu erhalten“, erläutert Jan Oberbanscheid, Prokurist der Jo-Soft IT-Security GmbH, in seinem Kommentar. So könnten diese ihre Infrastruktur kostengünstiger mit „Threat Data Feeds“ verschiedener Provider anreichern und damit ihre Cyber-Sicherheit flexibler und robuster gegen neue und sich entwickelnde Angriffe gestalten.

Zwar setzten vier von zehn Unternehmen (42%) bei TI auf professionelle Bezahllösungen privater Dienstleister, jedoch verließen sich immerhin 14 Prozent auf kostenlose TI-Quellen. In der Schweiz fielen diese Anteile mit 53 beziehungsweise 24 Prozent jeweils höher aus.

Vor allem mittelgroße Unternehmen vertrauen auf unbezahlte TI-Lösungen

In beiden Ländern seien es vor allem mittelgroße Unternehmen mit 250 bis 499 Mitarbeitern, welche auf unbezahlte TI-Lösungen vertrauten (Deutschland: 21%; Schweiz: 26%).

„,Threat Intelligence’ und ,Data Feeds’ können auch von kleinen und mittleren Unternehmen einfach in eine Firewall integriert werden“, so Sören Kohls, „Head of Channel DACH Germany“ bei Kaspersky. Er erläutert: „So werden viele Cyber-Bedrohungen schon direkt an der Peripherie automatisch abgefangen und unwirksam gemacht. Es kommt damit weniger auf die Endpunkte zu und das allgemeine Schutzlevel eines Unternehmens ist sofort um ein Vielfaches höher.“

Stärkung der IT-Sicherheit: Kaspersky-Empfehlungen für Unternehmen:

Unternehmen benötigen dedizierte Sicherheitslösungen
Unternehmen sollten statt auf für Privatnutzer konzipierte Tools auf dedizierte Sicherheitslösungen (wie z.B. „Kaspersky Extended Detection and Response“) zurückgreifen. Diese böten umfassende Funktionen, welche speziell auf betriebliche Anforderungen abgestimmt seien.

Aktualisierte Bedrohungsdaten via „Threat Intelligence“
TI biete Unternehmen und SOC-Teams (Security Operations Center) Zugang zu detaillierten und regelmäßig aktualisierten Bedrohungsdaten. Die Integration solcher Daten (wie etwa vom „Kaspersky Threat Intelligence Portal“) in bestehende Sicherheitsstrategien könne die Effektivität der Abwehrmechanismen erheblich steigern.

Dienste zur Abwehr hochkomplexer Bedrohungen
„Services wie ,Kaspersky Managed Detection and Response’ oder ,Kaspersky Incident Response’ bieten wertvolle Unterstützung für interne IT-Teams.“ Diese trügen dazu bei, hochkomplexe Bedrohungen effektiv zu bekämpfen und Sicherheitsmaßnahmen präzise umzusetzen.

Regelmäßiges Training des Sicherheitsbewusstseins
Regelmäßige Schulungen zum Sicherheitsbewusstsein seien essenziell, um Bedrohungen vorzubeugen. Diese minimierten Risiken auch dann, wenn ein „Zero Trust“-Ansatz noch nicht umgesetzt ist oder später eingeführt wird.

Weitere Informationen zum Thema:

kaspersky, November 2024
WHITEPAPER: Kaspersky Studie TI / Data Feeds / Executive Summary / Unternehmen in Deutschland verhindern Cyberangriffe durch Threat Intelligence / Data Feeds

kaspersky
Kaspersky Threat Intelligence

[datensicherheit.de, 13.02.2023] Laut einer Umfrage mangelt es Organisationen in Deutschland im Kontext der Cyber-Sicherheit offenbar an Wissen über die unterschiedlichen Hacker-Gruppen und deren Vorgehensweisen. Die Nutzung vorhandener „Threat Intelligence“ gestalte sich in vielen Organisationen als Herausforderung, warnt Jens Monrad, „Head of Mandiant Intelligence, EMEA“ bei Google Cloud, in seiner aktuellen Stellungnahme.

Foto: Mandiant

Jens Monrad: Deutsche Organisationen sehen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit…

40% der Organisationen in Deutschland in den letzten 12 Monaten Opfer eines Cyber-Angriffs

Der vorliegende Mandiant-Bericht „Global Perceptions on Threat Intelligence“ gibt demnach Aufschluss darüber, wie Organisationen mit der zunehmend komplexen Bedrohungslandschaft umgehen. Der Bericht basiert nach Mandiant-Angaben auf einer weltweiten Umfrage unter 1.350 Entscheidungsträgern für Cyber-Sicherheit in 13 Ländern, darunter 100 in Deutschland, und 18 Branchen, darunter Finanzdienstleistungen, Gesundheitswesen und Regierungsbehörden.

40 Prozent der Befragten aus Organisationen in Deutschland gäben an, dass ihre Organisation in den letzten zwölf Monaten Opfer eines Cyber-Angriffs geworden sei – sieben Prozentpunkte mehr als weltweit gesehen. „Dabei sehen deutsche Organisationen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit“, so Monrad.

Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu potenziellen Angreifern

Um sich besser gegen Angriffe verteidigen zu können, sei es 77 Prozent der deutschen Umfrageteilnehmer wichtig, Informationen über die Vorgehensweise potenzieller Angreifer zu kennen. Dennoch erklärten 81 Prozent der Befragten, „dass in ihrer Organisation alle oder die Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu den potenziellen Angreifern getroffen werden“.

Nur 35 Prozent der Befragten in Deutschland seien der Meinung, dass ihre Organisation überhaupt über ein umfassendes Wissen über die unterschiedlichen Hacker-Gruppen und deren Taktiken, Techniken und Verfahren verfüge. Monrad ergänzt: „95 Prozent der deutschen Entscheidungsträger sind der Meinung, dass Cyber-Security-Strategien bei Verfügbarkeit neuer ,Threat Intelligence’ nicht schnell genug an die Gefahren angepasst werden.“

Führungsebenen unterschätzen offenbar Cyber-Gefahren

Nur 32 Prozent der Befragten sähen einen Mangel an Talent und Expertise als Herausforderung in Bezug auf die Nutzung von „Threat Intelligence“. Bei den Befragten in Nordamerika sei diese Sorge größer (47%). Mehr als die Hälfte der deutschen Entscheidungsträger (60%) glaube zudem, dass ausreichend Budget vorhanden sei, um den Angreifern einen Schritt voraus zu sein. Monrad führt aus: „Dafür sehen beinahe zwei Drittel (64%) der Befragten das Problem in der Führungsriege ihrer Organisation, die Cyber-Gefahren unterschätzt. 62 Prozent fordern hier ein Umdenken und dass ihre Organisation mehr Zeit und Energie in die wichtigsten neuen Entwicklungen im Bereich ,Cyber Security’ investiert.“

Er mahnt: „Organisationen in Deutschland bleiben ein begehrtes Ziel für Cyber-Kriminelle. Angesichts einer Reihe an bedeutenden Sicherheitsvorfällen in diesem noch jungen Jahr sind sich die Sicherheitsexperten mehr denn je der Notwendigkeit besserer Sicherheitspraktiken bewusst.“ Oft hätten Sicherheitsteams jedoch Schwierigkeiten, mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten. Zudem sorgten sie sich darüber, „dass leitende Angestellte das Ausmaß der Bedrohung nicht vollständig begreifen“.

Abschließend rät er: „Sicherheitsteams sollten sich daher ,Threat Intelligence’ aneignen, die vertrauenswürdig, zeitig und verwertbar ist und relevante ,Intelligence’ (taktischer, operativer und strategischer Natur) regelmäßig mit den entsprechenden Interessengruppen bis hoch zur Führungsebene teilen.“ Dann könnten Organisationen Security- und Geschäftsentscheidungen mit Einblick in die potenziellen Angreifer treffen.

Weitere Informationen zum Thema:

MANDIANT (Google Cloud)
Global Perspectives on Threat Intelligence

[datensicherheit.de, 19.12.2020] Sicherheitsexperten für Threat Intelligence bei Avast identifizieren Malware im Zusammenhang mit einigen der beliebtesten Plattformen, die sich in mindestens 28 Browser-Erweiterungen von Drittanbietern für Google Chrome und Microsoft Edge versteckt. Die Schadsoftware kann den Datenverkehr der Nutzer auf Werbung und Phishing-Seiten umleiten sowie persönliche Daten wie Geburtsdatum, E-Mail-Adressen und Geräteinformationen extrahieren. Laut den Download-Zahlen in den App-Stores könnten weltweit bereits etwa drei Millionen Anwender betroffen sein.

Malware durch Browser-Erweiterungen im Zusammenhang mit einigen der beliebtesten Plattformen

Zu den Erweiterungen, die Nutzern helfen, Videos von Plattformen herunterzuladen, gehören Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock und andere Browser-Erweiterungen für Google Chrome sowie einige Add-ons für Microsoft Edge. Die Sicherheitsexperten konnten in den Erweiterungen, die auf JavaScript basieren, bösartige Codezeilen identifizieren. Diese ermöglichen den Add-ons, weitere Malware auf den PC eines Benutzers herunterzuladen.

Umleitung auf andere Websites

Anwender haben auch berichtet, dass diese Add-ons ihr Interneterlebnis manipulieren und sie auf andere Websites umleiten. Jedes Mal, wenn ein Benutzer auf einen Link klickt, senden die Erweiterungen Informationen über den Klick an den Kontrollserver des Angreifers. Dieser kann einen Befehl geben, das Opfer vom eigentlichen Ziel zu einer gekaperten URL umzuleiten, ehe die erwartete und gewünschte Website erscheint.

Die Privatsphäre des Benutzers wird durch dieses Verfahren beeinträchtigt, weil alle Klicks protokolliert und an diese zwischengeschalteten Websites von Drittanbietern weitergegeben werden. Die Akteure sammeln auch die Geburtsdaten, E-Mail-Adressen und Geräteinformationen des Nutzers. Die betroffenen Anwenderinformationen schließen die Zeit der ersten und letzten Anmeldung, den Gerätenamen, das Betriebssystem, den verwendeten Browser sowie seine Versionsnummer und sogar die IP-Adressen ein. Mit diesen Informationen könnten böswillige Angreifer den ungefähren geografischen Standortverlauf des Benutzers ermitteln.

Die Forscher von Avast gehen davon aus, dass die Malware darauf abzielt, den Datenverkehr selbst zu monetarisieren. Für jede Weiterleitung zu einer fremden Domain erhalten die Cyberkriminellen vermutlich eine Zahlung. Dennoch hat die Erweiterung auch die grundlegende Möglichkeit, die Nutzer auf Werbung oder Phishing-Seiten umzuleiten.

„Unsere aktuelle Hypothese ist, dass die Erweiterungen entweder absichtlich mit eingebauter Malware erstellt wurden oder der Entwickler darauf gewartet hat, dass die Erweiterungen populär werden und die Malware dann mit einem Update ausgeliefert hat. Es wäre auch möglich, dass der Autor die ursprünglichen Erweiterungen verkauft hat und erst der Käufer für die Malware verantwortlich ist“, berichtet Jan Rubín, Malware Researcher bei Avast.

Das Team für Threat Intelligence beobachtet die Bedrohung bereits seit November 2020, geht aber davon aus, dass sie schon seit Jahren unbemerkt aktiv sein könnte. Es gibt Berichte im Chrome Web Store, die Link-Hijacking schon im Dezember 2018 andeuten. Rubín ergänzt: „Die Hintertüren in den Erweiterungen sind gut versteckt und beginnen erst Tage nach der Installation mit ihrem bösartigen Verhalten. Das erschwert es jeder Sicherheitssoftware, sie zu entdecken.”

Malware schwer zu entdecken

Da die Malware die Fähigkeit hat, sich zu verstecken, kann sie nur schwer entdeckt werden. Jan Vojtěšek, Malware-Forscher bei Avast, erklärt: „Der Virus erkennt, ob der Benutzer eine seiner Domains googelt oder ob er beispielsweise ein Webentwickler ist. In diesem Fall führt sie keine bösartigen Aktivitäten in seinem Browser aus. Damit vermeidet die Browser-Erweiterung, Menschen zu infizieren, die Erfahrung in der Webentwicklung haben. Denn diese können leichter herausfinden, was die Erweiterungen im Hintergrund tun.“

Aktuell sind einige der infizierten Erweiterungen noch zum Download verfügbar. Avast hat sie allerdings bereits den Teams bei Microsoft und Google Chrome gemeldet und sowohl Microsoft als auch Google bestätigten, dass sie sich derzeit mit den betroffenen Add-ons befassen. In der Zwischenzeit empfiehlt Avast den Anwendern, die Erweiterungen vorerst zu deaktivieren oder zu deinstallieren und dann nach der Malware zu suchen sowie diese zu entfernen, bis das Problem behoben wurde.

Liste der betroffenen Browser-Erweiterungen:

• Direct Message for Instagram (entfernt)
• Direct Message for Instagram
• DM for Instagram (entfernt)
• Invisible mode for Instagram Direct Message (entfernt)
• Downloader for Instagram (entfernt)
• Instagram Download Video & Image
• App Phone for Instagram (entfernt)
• App Phone for Instagram
• Stories for Instagram (entfernt)
• Universal Video Downloader
• Universal Video Downloader (entfernt)
• Video Downloader for FaceBook (entfernt)
• Video Downloader for FaceBook
• Vimeo Video Downloader (entfernt)
• Vimeo Video Downloader
• Volume Controller
• Zoomer for Instagram and FaceBook (entfernt)
• VK UnBlock. Works fast. (entfernt)
• Odnoklassniki UnBlock. Works quickly (entfernt)
• Upload photo to Instagram (entfernt)
• Upload photo to Instagram
• Spotify Music Downloader (entfernt)Stories for Instagram
• Pretty Kitty, The Cat Pet (entfernt)
• Video Downloader for YouTube
• SoundCloud Music Downloader (entfernt)
• The New York Times News (entfernt)
• Instagram App with Direct Message DM

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

Avast
Website

Von unserem Gastautor Jonathan Couch, SVP Strategy bei ThreatQuotient

[datensicherheit.de, 15.07.2020] Es gibt zwei Arten von Cyber-Bedrohungen, mit denen sich Organisationen befassen und die in folgende Kategorien eingeteilt werden können: Hurrikane und Erdbeben. Hurrikane sind, ähnlich wie ihr Namensvetter, die Angriffe, mit denen man rechnen kann, und Erdbeben, mit denen man nicht rechnen kann. Beide sind unvermeidlich, und Organisationen müssen entsprechend planen und handeln. Das beginnt damit, dass man versteht, was Bedrohungsinformationen sind und wie man sie relevant und umsetzbar macht. Der Schlüssel dazu ist die Vorbereitung sowohl auf die vorhersehbaren als auch auf die eher unvorhersehbaren Angriffe. An dieser Stelle kommt die Bedrohungsaufklärung, die Threat Intelligence ins Spiel. Sie hilft Unternehmen von der ständigen bloßen Reaktion auf Bedrohungen zu einem proaktiveren Ansatz überzugehen. Threat Intelligence ermöglicht es, sich auf Wirbelstürme vorzubereiten und außerdem noch auf die Erdbeben mit einem effizienten, integrierten Ansatz zu reagieren.

Jonathan Couch, SVP Strategy, Bild: ThreatQuotient

Störungen eliminieren

Wenn man Bedrohungsinformationen erwähnt, denken die meisten Organisationen über mehrere Daten-Feeds nach, die sie abonnieren – kommerzielle Quellen, Open Source und zusätzliche Feeds von Sicherheitsanbietern – jeder in einem anderen Format und meist ohne Kontext, um eine Priorisierung zu ermöglichen. Diese globalen Bedrohungsdaten geben einen gewissen Einblick in Aktivitäten, die außerhalb eines Unternehmens stattfinden; nicht nur die Angriffe selbst, sondern auch, wie die Angreifer operieren und Netzwerke infiltrieren. Die Herausforderung besteht darin, dass die meisten Unternehmen unter einer Datenüberlastung leiden. Ohne die Tools und Einblicke, die es ermöglichen, Berge von unterschiedlichen globalen Daten automatisch zu durchforsten und für Analysten und Maßnahmen zu aggregieren, werden diese Bedrohungsdaten zu einem Grundrauschen, dass irgendwann ignoriert wird. Man erhält Warnmeldungen zu Angriffen, die nicht kontextbezogen, relevant oder priorisiert sind. Um diese Daten effektiver nutzen zu können, müssen sie an einem überschaubaren Ort aggregiert und in ein einheitliches Format übersetzt werden, damit die Security-Verantwortlichen das „Rauschen“ automatisch beseitigen und sich auf das Wesentliche konzentrieren können.

Den Fokus auf Bedrohungen setzen

Wenn die globalen Bedrohungsdaten organisiert und verwaltet sind, können sich die Verantwortlichen auf die Hurrikane und Erdbeben konzentrieren. Hurrikane sind die Art von Bedrohungen, die bekannt sind und auf die man sich vorbereiten kann. Man kann sich vor ihnen schützen und sie auf der Grundlage vergangener Trends antizipieren. Ein Beispiel ist die Annahme auf der Grundlage von Forschungsergebnissen an, dass eine bestimmte Datei eine Malware ist. Diese Informationen sollten operationalisiert, in eine Richtlinie, eine Regel oder eine Signatur umgewandelt und an den entsprechenden Sensor gesendet werden. Dann lässt sich verhindern, dass bösartige Akteure wertvolle Daten stehlen, eine Störung verursachen oder Schaden anrichten. Wenn die Sicherheitsoperationen ausgereifter werden, können zusätzlich zur automatischen Blockierung dieser bekannten Bedrohungen auch Warnmeldungen erstellt werden, so dass mehr über den Angreifer und sein Vorgehen bekannt wird. So können sich die Verantwortlichen auf die Angriffe konzentrieren, die wirklich wichtig sind.

Erdbeben sind unbekannte Bedrohungen oder Bedrohungen, gegen die möglicherweise keine adäquaten Gegenmaßnahmen eingeleitet werden können, weil die bestehenden Abwehrmaßnahmen umgangen werden. Sobald sich die Angreifer im Netzwerk befinden, besteht daher die Aufgabe darin, sie aufzuspüren, zu reagieren und die Systeme vor den Angreifern zu schützen. Dies hängt von der Fähigkeit ab, globale Bedrohungsdaten in Bedrohungsinformationen umzuwandeln. Wenn diese Daten mit internen Bedrohungs- und Eventdaten angereichert werden und Analysten zur besseren Entscheidungsfindung zusammenarbeiten können, ist bereits ein wichtiger Schritt erfolgt. Mit Hilfe von Bedrohungsdaten kann eine Malware-Kampagne besser eingegrenzt werden. Sobald die Bedrohung erkannt ist, mehr über den Gegner bekannt ist, betroffene Systeme davor geschützt sind, können dann die auf Basis der vorliegenden Informationen die besten Abhilfemaßnahmen ergriffen werden. Durch die Korrelation von Ereignissen und zugehörigen Indikatoren aus der IT-Umgebung (z.B. SIEM-Warnungen oder Case-Management-Aufzeichnungen) mit externen Daten zu Indikatoren, Cyberkriminellen und deren Methoden erhalten die Verantwortlichen den Kontext, um das Wer, Was, Wann, Wo, Warum und Wie eines Angriffs zu verstehen.

Wenn Unternehmen dann noch einen Schritt weiter gehen und den Kontext auf ihre Geschäftsprozesse und Infrastruktur anwenden, können sie die Relevanz einer Bedrohung besser beurteilen. Ist alles, was der Organisation wichtig ist, gefährdet? Wenn die Antwort nein lautet, dann hat das, was als Bedrohung erkannt wurde, niedrige Priorität. Wenn die Antwort ja lautet, dann ist es eine wichtige Bedrohung. So oder so verfügen Unternehmen dann über die Informationen, die die Verantwortlichen benötigen, um schnell handeln zu können.

Threat Intelligence umsetzen

Die Threat Intelligence hat drei Attribute, die dabei helfen „nachverfolgbar“ zu definieren:

• Genauigkeit: Sind die Informationen zuverlässig und detailliert?
• Relevanz: Trifft die Information auf Ihr Unternehmen oder Ihre Branche zu?
• Rechtzeitigkeit: Verfügen sie durch die erhaltenen Informationen über genügend Zeit, um Gegenmaßnahmen einzuleiten?

Ein alter Branchenwitz ist, dass Verantwortliche nur zwei der drei Informationen haben können, also müssen sie selbst bestimmen, was für ihr Unternehmen am wichtigsten ist. Wenn sie die Informationen so schnell wie möglich für die eigenen Sensoren benötigen, kann die Genauigkeit darunter leiden. Das führt unweigerlich zu einigen False Positives. Wenn die Informationen akkurat und zeitnah sind, dann kann die Zeit möglicherweise nicht für eine gründliche Analyse zur Gefahreneinstufung ausgereicht haben. Dies könnte dazu führen, dass Ressourcen für etwas aufgewendet wurden, was gar kein großes Risiko darstellt.

Fazit

Letztendlich muss das Ziel von Unternehmen sein, Erkenntnisse aus der Threat Intelligence über Bedrohungen nachverfolgbar zu machen. Aber die Umsetzung wird vom Benutzer definiert. Ein SOC sucht normalerweise nach IP-Adressen, Domänennamen und anderen Indikatoren für Kompromittierungen – also alles, was dazu beiträgt, eine Bedrohung zu erkennen, einzudämmen und zu verhindern. Für das Netzwerkteam geht es darum, die Abwehr mit Informationen über Schwachstellen, Signaturen und Regeln zu stärken, um Firewalls sowie Patch- und Schwachstellenmanagementsysteme zu aktualisieren. Das Incident Response-Team benötigt Informationen über den Angreifer und die beteiligten Malware-Kampagnen, damit es Nachforschungen anstellen und Abhilfe schaffen kann. Und das Management und der Vorstand benötigen Informationen über Bedrohungen mit ihren geschäftlichen, finanziellen und betrieblichen Konsequenzen, um die Einnahmen zu steigern und die Aktionäre und das Unternehmen als Ganzes zu schützen. Analysten müssen unternehmensweit zusammenarbeiten, um die richtigen Informationen im richtigen Format und in der richtigen Häufigkeit bereitzustellen, damit sie von mehreren Teams genutzt werden können.

Die Operationalisierung von Informationen über Bedrohungen wird natürlich Zeit in Anspruch nehmen und erfordert eine gründliche Planung. Viele Organisationen beginnen bereits damit, von einem reaktiven Modus zu einem proaktiveren Modus überzugehen. Aber um sich Zeit zu nehmen, den Blick auf den Horizont zu richten und Hurrikane zu erkennen und sich auf sie vorzubereiten, während sie sich gleichzeitig mit Erdbeben auseinandersetzen, müssen Organisationen zu einem vorausschauenden Modell übergehen, das kontextbezogene Informationen, Relevanz und Einblick in Trends in der Bedrohungslandschaft bietet.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

Von unserem Gastautor Chris Carlson, VP Product and Technology bei Qualys

[datensicherheit.de, 28.04.2020] Cyberkriminelle machen sich gern Großereignisse und aufsehenerregende Nachrichten zunutze, die Millionen von Menschen interessieren, um Malware leicht und effektiv an den Mann zu bringen. So nutzten sie in der Vergangenheit schon Themen wie internationale Sportwettkämpfe, Promi-Scheidungen oder Wahlen als Vehikel zur Verbreitung von Schadprogrammen.

Die Coronavirus-Pandemie (COVID-19) ist der jüngste Aufhänger für solche Angriffe. Die Krise schafft ideale Bedingungen für eine großflächige Verbreitung von Malware: eine riesige Angriffsfläche, die sowohl Unternehmen als auch private Nutzer umfasst, Angst und Unsicherheit wegen der Auswirkungen des Virus und eine verstärkte Nutzung von sozialen Medien und direkter elektronischer Kommunikation, um Neuigkeiten, Informationen und Meinungen zu verbreiten.

In der vergangenen Woche machte sich ein neuer Malware-Angriff diese Situation zunutze. Eine Gruppe von Cyberkriminellen entwickelte eine gefälschte Corona-Map-Anwendung für Windows, in die Malware zum Datendiebstahl eingebettet ist. Sobald ein Benutzer die Anwendung heruntergeladen und installiert hat, beginnt sie, sensible Daten wie Passwörter, Kreditkartennummern, Bankkontendaten und andere sensible Informationen zu sammeln und zu senden.

Bild: Qualys

Chris Carlson, VP Product and Technology bei Qualys

Dieser Angriff, der erstmals von Forschern bei Reason Labs beschrieben wurde, basiert auf einer Variante der Malware-Familie Azorult, die in die Corona-Map-Anwendung integriert ist und ausgeführt wird. Wenn diese Malware-Kampagne erfolgreich ist, steht zu erwarten, dass weitere Varianten der Schadsoftware auftauchen und neben der gefälschten Corona-Map-Anwendung auch noch andere Auslieferungsmethoden entwickelt werden.

Antiviren-Engines mit Einzelerkennung helfen Sicherheitsanalytikern nur begrenzt

Zum Zeitpunkt der Abfassung dieses Beitrags zeigt VirusTotal, dass viele Antiviren-Engines (58 von 70) die Corona-Map-Malware erkennen. Das ist die gute Nachricht: Die meisten kommerziellen Produkte finden diese Malware, sofern der Virenschutz auf jedem Endgerät ordnungsgemäß installiert ist, ausgeführt wird und richtig konfiguriert ist.

Das Problem bei Antiviren-Engines mit Einzelerkennung ist jedoch, dass sie die tatsächliche Bedrohung oft nur begrenzt analysieren. Die Sicherheitsanalytiker erhalten zu wenig verwertbare Informationen, um feststellen zu können, ob die Corona-Map-Malware ihr Netzwerk wirklich infiziert hat. Dies gilt insbesondere dann, wenn die Malware-Autoren den Namen der infizierten Datei ändern, um der Erkennung zu entgehen.
Die VirusTotal-Liste zeigt auch, dass einige Anbieter, die die Corona-Map-Malware erkennen können, nicht den Namen der Malware-Familie aufführen. Stattdessen beschreiben sie die Bedrohung mit ganz allgemeinen Begriffen wie „Unsafe“, „Win/malicious_confidence_100% (W)“, „Malicious“, „Heuristic“, oder „Generic.ml“.  (Siehe: )
Abgesehen von der mangelnden Beschreibung dieser spezifischen Bedrohung, die den Sicherheitsteams die Feststellung erschwert, ob Systeme kompromittiert wurden, ist es mit solchen Lösungen oft auch nicht möglich, den Corona Map Malware-Angriff auf Passwörter und Daten von anderen potenziell unerwünschten, aber weniger riskanten Anwendungen und Programmen zu unterscheiden, wie etwa Coupon-Toolbars. Die Zeit von Sicherheitsanalytikern ist jedoch kostbar – sie müssen sich zuallererst auf die echten Bedrohungen in ihrer IT-Umgebung konzentrieren.

Sichtbarkeit mit Erkennung von Malware-Familien

Qualys Indication of Compromise (IOC) verfolgt bei der Endpunkterkennung und -reaktion (EDR) einen Ansatz zur Erkennung von Malware-Familien, der auf Threat Intelligence basiert. Malware wird nach Bedrohungsfamilien und Bedrohungskategorien klassifiziert, um den Sicherheitsanalytikern und Incident-Respondern umfassenderen Kontext zu liefern.

Im Fall der Corona-Map-Malware erkennt und bewertet die Lösung die Malware als „bösartig“ (der Punktwert 8 bezeichnet ein Dateiereignis, das jedoch nicht als Prozess oder mit Netzwerkverbindungen ausgeführt wird) und gibt den Namen der Malware-Familie („Azorult“) sowie die Malware-Kategorie („Trojaner“) an. Dadurch können Sicherheitsanalytiker schnell alle Systeme identifizieren, die mit Azorult infiziert sind, und automatisch eine Warnung ausgeben, wenn im Netzwerk Trojaner-Malware ausgeführt wird.

Mithilfe dynamischer Dashboards und Widgets, die für alle Anwendungen von Qualys verfügbar sind, können ganz einfach Trend-Widgets erstellt werden, um alle Azorult-Infektionen im Netzwerk zu verfolgen – unabhängig von Varianten oder Hashwerten – und sie mit aktiven Abhilfemaßnahmen abzugleichen. Der nachstehende Screenshot zeigt aktive Azorult-Infektionen an, jedoch keine Abhilfemaßnahmen. In einem solchen Fall sollten die Sicherheitsanalytiker die Problembehebung priorisieren, um alle Spuren der Malware-Familie Azorult einzudämmen und zu entfernen.

Die Qualys Cloud-Plattform

Die Qualys Cloud-Plattform bietet eine kontinuierliche „Always-on“-Bewertung des Sicherheits- und Compliance-Status der gesamten Umgebung und eine sekundenschnelle Übersicht über alle IT-Assets, egal, wo sich diese befinden. Die Sensoren von Qualys lassen sich einfach bereitstellen, werden zentral verwaltet und aktualisieren sich selbst. Sie sind als physische oder virtuelle Appliances oder als schlanke Agenten für Benutzer-Endgeräte, lokale Server und Cloud-Instanzen verfügbar. Alle Dienste sind über ein Webinterface in der Cloud zugänglich – Es muss also nichts installiert oder verwaltet werden.

Weitere Informationen zum Thema:

Qualys
Qualys Cloud Platform (Free-Trial)

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

[datensicherheit.de, 27.02.2020] Das Mimecast Threat Center hat zwischen Oktober und Dezember 2019 weltweit über 202 Milliarden E-Mails analysiert und 92 Milliarden davon als schädlich eingestuft und blockiert. Im Betrachtungszeitraum wurden 61 signifikante Kampagnen gefahren, was einen Anstieg von 145 Prozent zum vorhergehenden Quartal markiert.
Die vier primär verwendeten Bedrohungskategorien sind Spam, Angriffe auf Basis vorgetäuschter Identität, opportunistische Angriffe sowie gezielte Angriffe.

Das punktuell höchste Aufkommen von Angriffen fand am 17. Oktober statt. An diesem Tag allein wurden über fünf Millionen Angriffsversuche erkannt und vereitelt.

Die vordergründige Erkenntnis des Berichts ist, dass der im vorhergehenden Quartal so gut wie abgetauchte Malware-Dropper Emotet ein Revival erfahren hat und nun wieder in den Fokus der IT-Sicherheitsbranche gerückt ist. Emotet wird häufig als Malware as a Service im Internet angeboten und von Cyberkriminellen weltweit genutzt, um bei Bedarf weitere Schadsoftware auf befallene Computer und Netzwerke nachzuladen. Dabei wird die Schadsoftware sowohl mit Hilfe von Dateianhängen – oftmals im ZIP/RAR oder DOC/DOCX Format – oder anhangslos via Links auf den Computer des Opfers aufgespielt.

Foto: Mimecast

Carl Wearn. Mimecast

In Deutschland sowie in gesamt Kontinentaleuropa steht die Logistikbranche im Fokus der Angreifer

Die Analyse der Gefahrenlage in Kontinentaleuropa hat ergeben, dass hier vorwiegend Angriffe auf Logistikunternehmen gefahren wurden. Betroffen sind alle Bereiche, angefangen beim Transportwesen über Lager- bis hin zu Zustellungsbetrieben.
Die verwendeten Schadprogramme waren vornehmlich Emotet, AgentTesla, Lokibot, Nanobot, Racoonstealer, Remcos sowie Strictor. Der Einsatz von Ransomware ist im vierten Quartal 2019 förmlich explodiert und muss als ernstzunehmende Bedrohung betrachtet werden.
Eine weitere Erkenntnis der Vorfälle in Kontinentaleuropa ist, dass viele der Angriffe einem festen Muster folgten. Das legt die Vermutung nahe, dass es sich dabei um orchestrierte Kampagnen von einigen wenigen Hackerkollektiven handelt.

Microsoft Office 365 for Business Schwachstelle erleichtert den Befall durch Emotet

Einen besonderen Grund zur Sorge bietet die jüngste Meldung einer Office 365 for Business Schwachstelle. In der Premiumversion können Nutzer der Software die vom Administrator festgelegten Richtlinien zur Verwendung von Makros umgehen. Dieser Umstand ist besonders heikel, da sich Emotet eben dieser Schwachstelle bedient, um die Endgeräte seiner Opfer zu befallen und somit in die IT-Infrastruktur eines Unternehmens eindringen zu können. Geschäftskunden, die auf die Premiumversion von MS Office 365 upgraden, setzen sich dadurch einem beträchtlichen und vor allem vermeidbaren Risiko aus, einem Hackerangriff zum Opfer zu fallen. „Wenn man bedenkt, dass ca. 90 Prozent aller Angriffe über E-Mails erfolgen und dass der Malware- und Ransomware-Dropper Emotet als die zentrale Bedrohung zu betrachten ist, sollten sich Unternehmen dieser Sicherheitslücke bewusst sein.“ sagt dazu Carl Wearn, Head of E-Crime bei Mimecast.

Mimecasts fünf goldene Regeln gegen Cyberangriffe

1. Nutzung von IT-Sicherheitsapplikationen wie Anti-Malware und Daten-Backups
2. Updates und Patches laufend aktuell aufspielen, Shadow IT vermeiden
3. Mitarbeiter regelmäßig bezüglich Cyberbedrohungen schulen
4. Strenge Passwortrichtlinien etablieren
5. Wann immer möglich zwei-Faktor-Authentifizierung nutzen

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2020
Ursnif lauert im Gewand scheinbar legitimer Geschäfts-E-Mails

datensicherheit.de, 12.01.2020
Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten

[datensicherheit.de, 16.11.2018] Mimecast Limited hat den jüngsten Bericht des Cyber Resilience Think Tanks veröffentlicht, der den Titel „Threat Intelligence: Far-fetched Idea or Must-have Security Tactic?“ trägt. Dem unabhängigen Cyber Resilience Think Tank gehören mehr als ein Dutzend führender Sicherheitsspezialisten an, die gemeinsam Unternehmen helfen wollen, die Herausforderungen im Bereich Cyber Resilience zu bewältigen.

Der von Mimecast gesponserte Bericht führt Erkenntnisse von IT-Experten aus aller Welt zusammen und bietet Empfehlungen und Taktiken aus erster Hand, mit denen sich die Herausforderungen im Bereich Threat Intelligence leichter bewältigen lassen. Dabei geht es auch um die Frage, wie Unternehmen jeder Größe verwertbare Threat Intelligence zu einer Priorität machen können. So meint ein führender Sicherheitsexperte: „Gute, verwertbare Threat Intelligence kann Ihnen helfen zu erkennen, wer hinter einem Angriff steckt, welche Werkzeuge und Taktiken die Angreifer verwenden und worauf sie aus sind – also das Wer, Was und Warum.“

Ohne Threat Intelligence, die in die gesamte Cyber-Resilience-Strategie integriert wird, kann ein Unternehmen anfällig für Phishing-Angriffe, Malware-Attacken und noch Schlimmeres sein. Vor kurzem traf der Cyber Resilience Think Tank zusammen, um die Frage zu erörtern, warum Threat Intelligence für Unternehmen jeder Größe ein unverzichtbares und erreichbares Sicherheitselement ist – unabhängig vom verfügbaren Budget.

Dazu Malcolm Harkins, Chief Security and Trust Officer bei Cylance und Mitglied des Cyber Resilience Think Tanks: „Die Sicherheitsbranche muss aus dem ständigen Reaktionsmodus herauskommen. Ich will den Schaden für mein Unternehmen minimieren – also will ich Prävention. Die Threat Intelligence habe ich immer aus einer breiten Perspektive betrachtet: Welche Open-Source-Quellen stehen mir zur Verfügung? Welche von Menschen gewonnenen Erkenntnisse? Welche Informationen aus signalerfassender Aufklärung? Ich will das alles, weil alles wichtig ist.“

Der Bericht liefert Erkenntnisse des Think Thanks zu einer Reihe grundlegender Fragen: wie sich Datenüberflutung vermeiden lässt; wie Unternehmen intern bereits vorhandene Informationen nutzen können, zum Beispiel frühere Berichte über Datenschutzverletzungen und Schwachstellen;  und was bei der Implementierung dieser kritischen Sicherheitsfunktion unerlässlich ist. Darüber hinaus werden noch weitere Themen angesprochen:

• Warum Threat Intelligence nicht nur für eine kleine Minderheit interessant ist
• Wie sich offene APIs und bekannte Bedrohungsmuster nutzen lassen
• Wie man den Nutzen von Threat Intelligence auch mit einem kleinen (oder gar keinem) Budget nachweisen kann und
• Warum Threat Intelligence zumeist ausgelagert wird – und weshalb das auch ganz in Ordnung ist.

Maurice Stebilia, CISO bei HARMAN und Mitglied des Cyber Resilience Think Tanks, erklärt: „Ich habe eine Reihe von Cyber-Security-Partnern, die für mich Informationen sammeln. Ihre Tools schützen die Cloud, das Netzwerk, den Endpunkt, und sie integrieren diese Informationen in ihre Produkte. Wenn es also eine Schwachstelle gibt, dann wird diese blockiert und erfasst. Und ich bekomme einen Alarm.“

Bild: Mimecast

Marc French, Chief Trust Officer bei Mimecast

Für Marc French, Chief Trust Officer bei Mimecast und Mitglied des Cyber Resilience Think Tanks, bedeutet wahre Threat Intelligence, dass Informationen praktisch umgesetzt werden.

Die Mitglieder des Cyber Resilience Think Tanks treffen vierteljährlich zusammen, um Sicherheitspraktikern und deren Teams wertvolle, aus eigener Erfahrung gewonnene Erkenntnisse bereitzustellen.

Weitere Informationen zum Thema:

Mimecast
Threat Intelligence: Far-fetched Idea or Must-have Security Tactic?

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

[datensicherheit.de, 25.07.2018] Digital Shadows, Anbieter von Lösungen zum digitalen Risikomanagement und Threat Intelligence, und Onapsis, spezialisiert auf  SAP- und Oracle-Cyber-Security, registrieren einen signifikanten Anstieg von Cyberangriffen auf ERP-Anwendungen. Laut dem Report „ERP Application under Fire“ rücken dabei vor allem ERP-Anwendungen von SAP und Oracle ins Visier der Angreifer.

Verstärkt werden bekannte Schwachstellen genutzt

Cyberkriminelle, Hacktivisten aber auch staatlich gesteuerte Akteure nutzen verstärkt bekannte Schwachstellen, um hochwertige Assets wie SAP HANA zu attackieren und Distributed Denial-of-Service (DDoS)-Angriffe zu starten. Allein SAP und Oracle weisen derzeit insgesamt 9.000 bekannte Vulnerabilities auf. Für Unternehmen steigt damit die Gefahr, Opfer von Spionage, Sabotage oder Erpressung zu werden.

Das United States Computer Emergency Readiness Team (US-CERT) des Ministeriums für Innere Sicherheit veröffentlichte zeitgleich eine diesbezügliche Warnung, die auf die Risiken möglicher ERP-Angriffe hinweist. Bereits im Mai 2016 warnte die Behörde vor einer erheblichen Bedrohung für ERP-Anwendungen durch eine damals seit fünf Jahren bekannte Schwachstelle in SAP-Anwendungen. Insgesamt 36 führende Unternehmen weltweit waren damals betroffen.

Die wichtigsten Ergebnisse des ERP-Reports im Überblick:

Ausnutzung von Schwachstellen

• In den letzten drei Jahren ist die Anzahl der öffentlich gemachten Exploits von ERP-Anwendungen von SAP und Oracle um 100% gestiegen.
• Das Interesse an ERP-spezifischer Schwachstellen im Dark Web und auf einschlägigen Plattformen sowie damit verbundene Aktivitäten nahm zwischen 2016 und 2017 um 160% zu.
• Fehlende Sicherheitspatches der ERP-Awendungsebene sowie unsichere Konfigurationen stellen den häufigsten Angriffsvektor dar. Selbst seit vielen Jahren bekannte Schwachstellen (z. B. Alert TA16-132A) werden noch immer von Cyberkriminellen für Angriffe genutzt.

ERP-spezifische Taktiken, Techniken und Verfahren (TTPs)

• Hacktivisten, zum Beispiel des Anonymous-Kollektivs, zielen verstärkt auf geschäftskritische ERP-Plattformen. Seit 2013 fanden insgesamt neun Kampagnen dieser Art statt.
• Mehrere Botnets der bekannten Malware Dridex wurden weiterentwickelt, um Anmeldeinformationen und Daten der am weitesten verbreitete SAP-Client-Software hinter der Firewall zu stehlen.
• Kompromittierte ERP-Anwendungen konnten mit staatlich gesteuerten Akteuren in Zusammenhang gebracht werden, die versuchten, hochsensible Informationen abzufangen und/oder kritische Geschäftsprozesse zu stören.

Risiko durch Mitarbeiter und Dritte

Von Mitarbeitern, Partnern, Kunden oder Dritten unbeabsichtigt veröffentlichte Daten ermöglichen es Cyberkriminellen, vertrauliche Daten in den Unternehmensnetzwerken schneller und einfacher aufzuspüren. Laut Report fanden die Analysten beispielsweise 545 SAP Konfigurationsdateien, die auf falsch konfigurierten FTP und SMB-Server öffentlich zugänglich sind.

Digitale Transformation vergrößert Angriffsfläche

Mit der Cloud und mobilen Anwendungen wächst die ERP-Angriffsfläche rapide. Die Analysten fanden mehr als 17.000 mit dem Internet verbundene SAP- und Oracle-ERP-Anwendungen, darunter eine große Anzahl angreifbarer Versionen und ungeschützter ERP-Komponenten. Am stärksten betroffen waren Unternehmen aus USA, Deutschland und Großbritannien.

ERP-Anwendungen von SAP und Oracle werden von der Mehrheit von Unternehmen genutzt. Zu den häufigsten Anwendungen gehören SAP Business Suite, SAP S/4HANA und Oracle E-Business Suite / Financials. Die Systeme speichern und arbeiten häufig mit hochsensiblen Daten – angefangen bei Finanzergebnissen, Kreditkarten und Konten über Fertigungsdaten, Produktiondesigns und Geistiges Eigentum bis hin personenbezogenen Daten (PIIs) von Kunden, Mitarbeitern und Zulieferern. Das Thema Cybersicherheit wurde dabei in der Vergangenheit oft vernachlässigt: Zum einen sind nur wenige Fälle von erfolgreichen Angriffen auf ERP-Systeme überhaupt bekannt. Zum anderen mangelt es an Informationen zu den möglichen Bedrohungsakteuren, die innerhalb eines komplexen und oft obskuren Umfelds agieren.

„Cyberkriminelle entwickeln ihre Taktiken, Techniken und Verfahren ständig weiter. Dass ERP-Plattformen mit ihrer Fülle an unternehmenskritischen Daten, ein vielversprechendes Ziel abgeben, ist deshalb nicht unbedingt neu. Uns hat jedoch überrascht, wie real und ernst die Gefahr für Unternehmen in den letzten Jahren geworden ist”, so Rick Holland, CISO and VP of Strategy bei Digital Shadows.

„Durch die Zusammenarbeit mit Digital Shadows haben wir eine noch nie dagewesene Breite und Tiefe an Informationen über aktuelle Bedrohungen erhalten“, so JP Perez, CTO von Onapsis. „Wir können genau einsehen, wie unterschiedliche Akteure Anwendungen in verschiedenen Regionen und Branchen ins Visier nehmen. Solche Informationen erleichtern es uns, die Aufmerksamkeit in der Branche zu schärfen. Zudem können wir CIOs und CISOs noch besser dabei unterstützen, das Risiko von Angriffen zu minimieren und möglicherweise schwerwiegende Folgen abzuwenden.“

Weitere Informationen zum Thema:

digital shadows
ERP Applications Under Fire

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 09.05.2018
Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit