Threat Intelligence: Den Angreifern eine Nasenlänge voraus
Bildquelle: Adobe Stock
Wissen ist ein wichtiges Instrument zur Abwehr von Cyberattacken. Wenn ein Unternehmen weiss, wie und wo ein Angriff erfolgen könnte, kann es sich entsprechend wappnen. Hier, bei der Prävention, setzt Threat Intelligence an, ein Wissensvorsprung auf mehreren Ebenen.
Text: Andreas Heer, 12. März 2018, aktualisiert am 23.04.2025 4 Min.
Jeden Tag eine schlechte Tat: Täglich sorgen neue Cyberattacken auf Unternehmen und Behörden für Schlagzeilen. Die Motivation der Angreifer ist dabei vielfältig. Manchmal ist das Ziel, an vertrauliche Daten zu gelangen (beispielweise Betriebsgeheimnisse), manchmal soll mittels Ramsomware Lösegeld erpresst werden. Und in anderen Fällen geht es den Angreifern nur um Informationsbeschaffung, um sich für ein grösseres Ziel vorzubereiten. So vielfältig die Formen von Cyberattacken auch sind: Meistens stehen kommerzielle Interessen dahinter.
Angriffe erkennen, bevor sie stattfinden
Schutzlos sind Unternehmen deswegen nicht. Denn auch gezielte Angriffe lassen sich abwehren, wenn die Bedrohungslage und die Angriffsszenarien bekannt sind. Mit Hilfe eines «Frühwarnsystems» können Unternehmen präventiv Schutzmassnahmen ergreifen, bevor ein Angriff erfolgt. Und genau hier setzt Threat Intelligence an. Darunter versteht man das Wissen über aktuelle und mögliche Bedrohungen und Angriffsszenarien. Threat Intelligence (TI) oder Cyber Threat Intelligence (CTI) ist also keine Sicherheitssoftware, sondern eine Sammlung von Daten, die für die gezielte Abwehr potenzieller Angriffe genutzt werden kann. Das ist in etwa vergleichbar mit Wetterdaten, die verwendet werden, um den möglichen Verlauf von Wirbelstürmen vorherzusagen.
Threat Intelligence ist eine junge Disziplin der IT-Sicherheit und wird von verschiedenen Anbietern unterschiedlich interpretiert. So unterscheiden sich Art und Menge der Daten von Angebot zu Angebot. Und Threat Intelligence setzt Fachwissen auf dem Gebiet der Cybersecurity voraus, um die Informationen in konkrete Abwehrmassnahmen zu giessen. Dann aber erweist sich dieser Ansatz als wirksamer Schutz zur präventiven Verhinderung von Angriffen und damit auch zur Schadensverhinderung.
Threat Intelligence gewinnt für Unternehmen zunehmend an Bedeutung. Erfahren Sie in diesem Whitepaper wie Threat Intelligence definiert wird und welche Ziele sich damit verfolgen lassen.
Threat Intelligence: nicht nur technisch, sondern auch strategisch
Doch Threat Intelligence beschränkt sich nicht auf die technische Umsetzung, sondern sollte in den gesamten Lebenszyklus der IT-Sicherheitsstrategie eingebunden werden. Das bedeutet, dass die vorliegenden Informationen auch in die strategische Planung einfliessen. Entsprechend benennt das britische «Centre for the Protection of National Infrastructure»(öffnet ein neues Fenster) (CPNI) vier Ebenen, auf denen Threat Intelligence ansetzt:
- Strategisch: Informationen, mit denen das Risk Management die aktuelle Cyber-Bedrohungslage einschätzen kann. Dazu gehören etwa Angaben über die Häufigkeit regionaler oder branchenspezifischer Angriffe.
- Taktisch: Wie gehen die Angreifer vor, und welche Werkzeuge und Informationsquellen nutzen sie? Wenn am Anfang eines Angriffs beispielsweise gezielte Phishing-Attacken auf einzelne Mitarbeiter stehen, lassen sich aus dieser Information entsprechende Präventionsmassnahmen ableiten.
- Operativ: Details zu bekannten Angriffen, mit denen Abwehrmassnahmen für diese Art von Attacken.
- Technisch: Konkrete Informationen, die Sicherheitssystemen erlauben, Angriffe zu erkennen. Beispiele dafür sind Adressen von Command & Control Servern, Malware-Signaturen, IP-Adressen und Domain-Namen oder Social-Media-Konten, über die Angriffe lanciert wurden.
Sicherheit dank Wissensvorsprung
Richtig eingesetzt, ergänzt Threat Intelligence Cybersecurity um eine präventive Komponente. Denn technische Sicherheitssysteme greifen immer erst dann, wenn ein Angriff stattfindet. Mit Threat Intelligence können sich Unternehmen gegen mögliche Angriffe wappnen und frühzeitig Massnahmen ergreifen. Dazu gehört auch, dass die IT-Security bei einer tatsächlichen Attacke vorbereitet ist und den Angriff abwehren kann. Threat Intelligence ist aber kein Selbstläufer, sondern benötigt Fachwissen auf strategischer und technischer Ebene, um die Daten zu interpretieren und die richtigen Schlüsse daraus zu ziehen. Dann bietet das Vorwissen einen hohen Nutzen bei der präventiven Abwehr von Angriffen und der Stärkung der Cyberresilienz. Oder anders gesagt: Threat Intelligence ist eine Chance für Unternehmen, den Angreifern im ewigen Katz-und-Maus-Spiel wieder eine Nasenlänge voraus zu sein.