IT-SicherheitVorteile von Threat Hunting
In der heutigen Cyber-Welt ist es gefährlich anzunehmen, dass Behörden nur die richtigen Tools installieren müssten, um Angriffe auf ihre Systeme zu verhindern. Die Frage sollte eher lauten: Was tun, wenn Angreifer im Behördennetzwerk sind? Bundesbehörden haben es mit finanziell gut ausgestatteten Angreifern aus dem Ausland zu tun, die sich neuartiger Methoden und Technologien bedienen, denen die zu ihrer Abwehr eingesetzten Tools nur mit Mühe begegnen können. Diese Angriffe sind deutlich schwerer vorherzusagen, was die Fähigkeit einschränkt, den damit verbundenen Bedrohungen entgegenzuwirken.
An dieser Stelle kommt das Threat Hunting ins Spiel, eine Sicherheitsstrategie, in deren Mittelpunkt das proaktive Aufspüren von Bedrohungen steht und deren Grundlage die Kenntnisse der Organisation und das Wissen um deren Widersacher sind. Jede Threat-Hunting-Jagd beginnt mit einer Anomalie, auf die eine Hypothese folgt, die auf menschlicher Intelligenz beruht. Anschließend gilt es, auf Grundlage der vorhandenen Daten die richtigen Fragen zu stellen, um Beweise für die Theorie zu finden oder sie zu verwerfen.
Proaktiv suchen statt reaktiv alarmieren
Threat Hunting ist das Gegenteil von reaktivem Alarmieren. Natürlich sind Alarme sinnvoll, aber zuviele davon können dazu führen, das Sicherheitsteams Tag für Tag denselben Alarm sehen. Dies kann Frust verursachen, selbst wenn das Ereignis den Alarm rechtfertigt. Um von dieser Alarmkultur wegzukommen, ist ein profunder Einstellungswandel gefragt. Der Threat-Hunting-Ansatz geht davon aus, dass Bedrohungen in den Systemen existieren und dass man diese finden kann, indem man sie proaktiv aufspürt.
Das setzt voraus, dass Behörden in der Lage sind, ihre IT-Logs, Firewalls, Datenbanken, Intranets und Clouds zu durchsuchen. Die Notwendigkeit, Daten in einer Vielzahl unterschiedlicher Formate, strukturiert und unstrukturiert, in all diesen Orten zu sieben, macht das Durchsuchen komplex. Moderne Such-Tools sind jedoch in der Lage, die unterschiedlichen Datentypen zu knacken, damit sie indexiert, analysiert und so aufbereitet werden können, dass sie die Einblicke liefern, welche die IT-Verantwortlichen in den Behörden benötigen, um mit der Suche beginnen zu können.
Dank ihres Wissens über die verwundbaren Stellen ihrer Behörde, die wahrscheinlichen Gegner und deren mögliche Absichten können IT- und Sicherheitsteams Daten aus jeder Ecke ihrer Infrastruktur abfragen, Hypothesen prüfen und ungewöhnliche Aktivitäten identifizieren – und das innerhalb von Sekunden.
Geschwindigkeit ist alles
Die Jagd auf Cyber-Bedrohungen wird erfolgreicher, je mehr Daten vorliegen. Nicht jede Hypothese fördert eine Bedrohung zutage. Die meisten erweisen sich sogar als falsch. Deshalb braucht es Tools, die Hypothesen schnell prüfen und gegebenenfalls auch schnell verwerfen, damit sofort die nächste Hypothese auf den Prüfstand gestellt werden kann. Diese Anforderung bedingt in der Regel eine Modernisierung der Systeme.
Enterprise-Search-Tools haben ihren Ursprung in den Zeiten der Mainframes, aber die Suchanforderungen von Behörden sind heute deutlich komplexer. Moderne verteilte Systeme benötigen Suchfunktionen, die in Echtzeit tief in riesige Datenmengen eintauchen können und in der Lage sind, Indizes kontinuierlich zu aktualisieren, während immer mehr Daten hinzukommen. Suchen müssen so schnell Einblicke ermöglichen, dass Behörden ohne Verzögerung missionskritische Entscheidungen treffen können.
Keine Jagd in Silos
Einige Bundesbehörden in den USA nutzen bereits Threat Hunting, allerdings häufig in Silos. IT- und Sicherheitsverantwortliche, die mit Firewalls, Erkennungsplattformen, Endpunkt-Agents und anderen Diensten zu tun haben, können Hypothesen nur innerhalb bestimmter Systeme prüfen. So gibt es beispielsweise Punktlösungen, mit denen sich hervorragend Endpunktdaten evaluieren lassen, aber nichts anderes. Das ist besser als ohne Threat Hunting zu agieren, für ein echtes Threat Hunting braucht es jedoch Tools, welche die gesamte Behörde im Blick haben – nur so können Anomalien entdeckt werden, die Grenzen und Silos durchbrechen.
Hinzu kommt, dass eine Beschränkung der Suche nach Bedrohungen auf Einzelsysteme den Weg für neue Angriffsvektoren freimachen könnte. Angreifer, welche die Untersuchungstaktiken einer Behörde auswerten, haben die Möglichkeit, ihre Strategien flexibel anzupassen und sich auf die Bereiche zu konzentrieren, die gerade nicht im Fokus stehen.
Stark in Gemeinschaft
Mittlerweile gibt es in der Sicherheits-Community eine Reihe von Zusammenschlüssen, deren Ziel es ist, Best Practices auszutauschen, sich vor neuen Bedrohungen zu warnen und gemeinsam an Lösungen zu arbeiten. Um ein umfassendes Bild der Cyber-Anforderungen und -Strategien zu erhalten, ist es sehr wichtig, dass in diesen Communities Experten von Regierung, Vertragsunternehmen und Herstellern von Sicherheitslösungen vertreten sind.
Der Mensch ist nicht nur das schwächste Glied in der Sicherheitsstrategie von Unternehmen und Behörden, sondern auch der wichtigste Faktor, wenn es um die Entwicklung und erfolgreiche Umsetzung einer Threat-Hunting-Strategie geht.
Baden-Württemberg/Bayern/Hessen: Kooperation für starke IT-Sicherheit
[11.12.2024] Die Cybersicherheitsagentur Baden-Württemberg, das bayerische Landesamt für Sicherheit in der Informationstechnik und Hessens CyberCompetenceCenter bündeln ihre Kräfte. Gemeinsam wollen sie eine schlagkräftige Allianz für mehr IT-Sicherheit bilden. mehr...
Sachsen: Tausende Cyberattacken auf Landesbehörden
[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen
[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...
Niedersachsen: NIS2-Richtlinie umgesetzt
[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...
Hessen: Höhere Cybersicherheit
[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
Thüringen: Datenschutzbericht übergeben
[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[29.10.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt „SicherKommunal“. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
it-sa: So steht es um die Cybernation Deutschland
[25.10.2024] Zum Stand der Initiative „Cybernation Deutschland“, den BSI-Grundschutz der Zukunft und über die NIS2-Richtlinie informierte die BSI-Präsidentin Claudia Plattner auf der Kongressmesse it-sa in Nürnberg (22. bis 24. Oktober 2024). mehr...
Utimaco/genoa: Sichere Telearbeit für VS-NfD-Umgebungen
[23.10.2024] Utimaco und genua haben die genusecure-Suite entwickelt, um den Anforderungen an sicheres mobiles Arbeiten in VS-NfD-Umgebungen gerecht zu werden. Die Lösung kombiniert Festplattenverschlüsselung und VPN-Technologie, zugelassen vom BSI, um Behörden und Unternehmen datenschutzkonforme Telearbeitsplätze zu bieten. mehr...
Bayern: Cyberabwehr gemeinsam stärken
[21.10.2024] Bei einer gemeinsamen Übung haben Bayerns Cybersicherheitsbehörden ihre Reaktionsfähigkeit auf komplexe Cyberangriffe getestet. Im Fokus standen übergreifende Kommunikation und die Entwicklung gemeinsamer Lösungen, um Kritische Infrastrukturen und Verwaltung besser zu schützen. mehr...
Bundesdruckerei: Cybersicherheit für das Quantenzeitalter
[18.10.2024] Die Bundesdruckerei erprobt neue kryptografische Methoden, um die Kommunikation der öffentlichen Verwaltung auch im Quantenzeitalter sicher zu gestalten. Unterstützt vom BSI testet sie eine quantensichere Public-Key-Infrastruktur, die künftig für sichere Identifikation und verschlüsselte Kommunikation sorgen soll. mehr...
Rheinland-Pfalz: Landesverwaltung setzt NIS2 um
[10.10.2024] Bis zum 17. Oktober müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Mit der Verabschiedung einer Verwaltungsvorschrift hat das Land Rheinland-Pfalz jetzt die entsprechenden rechtlichen Regelungen hierfür getroffen. mehr...
Bayern: Gemeinsam gegen Cybercrime
[26.09.2024] Die Bedrohungslage im Bereich Cybersicherheit hat sich in Bayern weiter verschärft. Laut dem neuen Cybersicherheitsbericht 2024 des Freistaats werden immer mehr kleine und mittelständische Unternehmen sowie Behörden Opfer von Cyberangriffen. mehr...
Niedersachsen: Sicherheit im Cyberspace
[25.09.2024] Eine neue Cybersicherheitsstrategie soll das Land Niedersachsen besser vor digitalen Bedrohungen schützen. Das jetzt von der Landesregierung verabschiedete Konzept umfasst zwölf Handlungsfelder und bindet alle gesellschaftlichen Akteure ein. mehr...