Threat Intelligence für den Mittelstand
Threat Intelligence eignet sich auch für den Mittelstand, um sich vor Cyberangriffen zu schützen. Die vorhandenen Daten und Services sind vielfältig – und lassen sich recht einfach in die Sicherheitsstrategie integrieren. Mittelständische Firmen, die Threat Intelligence in Zukunft einsetzen wollen, sollten darauf achten, dass die Software beziehungsweise der Service für die eigenen Spezifikationen des Unternehmens auch passend ist. Worauf es ankommt, erklärt unser Fachartikel.
"Wir sind doch zu klein, um für Cyberkriminelle von Interesse zu sein", diese Ansicht vertreten leider noch allzu viele nicht ausreichend geschützte Unternehmen – auch in Deutschland. Dabei sieht die Realität anders aus, denn mehr als ein Viertel der mittelständischen Unternehmen waren in den vergangene zwei Jahren Opfer eines Cyberangriffs. Das beweist einmal mehr, dass Cyberbedrohungen Unternehmen jeder Größe betreffen können; kleine und mittlere werden genauso von Cyberkriminellen ins Visier genommen wie große Unternehmen.
Neben dieser fatalen Einstellung einiger Betriebe kommt in mittelständischen Unternehmen eine weitere Herausforderung in Sachen Cybersicherheit hinzu: der Mangel an Budgets für Sicherheit, an Expertise und an spezialisiertem Personal in diesem Bereich. All das macht Unternehmen anfällig für Cyberangriffe und kann sie im schlimmsten Fall die Existenz kosten. Denn erfolgreiche Angriffe gehen mit hohen Kosten einher, die sich aus Umsatzeinbußen, Reputationsschäden sowie rechtlichen Sanktionen zusammensetzen. So belaufen sich die durchschnittlichen Kosten eines Cyberangriffs auf über 300.000 Euro.
Mit Threat Intelligence aktiv statt reaktiv
Neben einer dezidierten Schutzsoftware sollten mittelständische Unternehmen auch auf Threat Intelligence (TI) setzen, also auf Bedrohungsdaten in Echtzeit, die in einem breiten Kontext analysiert werden und einen Überblick über die aktuelle Bedrohungslandschaft bieten. Damit können sie sich aktiv gegen Cyberkriminelle wappnen und etwaige Schwachstellen und Einfallstore eliminieren, bevor diese ausgenutzt werden. Die umfassenden Bedrohungsinformationen fördern zudem ein vorausschauendes statt eines reaktiven Verhaltens hinsichtlich Abwehr und Reaktion.
Das Gute daran: Threat Intelligence kann in Unternehmen jeder Größe zum Einsatz kommen. Sind die nötige Expertise und Ressourcen in der Firma vorhanden, kann das interne Sicherheitsteam direkt damit arbeiten; wenn nicht – was häufig im Mittelstand der Fall ist – kann Threat Intelligence über einen Managed-Detection-and-Response-Dienst (MDR) zum Einsatz kommen, bei dem die Verwaltung der Cybersicherheit an Experten ausgelagert wird.
Threat Intelligence an die eigenen Bedürfnisse anpassen
Wer der Meinung ist, mittelständische Unternehmen könnten nicht von Threat Intelligence profitieren und Bedrohungsdaten seien nur für Großunternehmen mit eigenem Security Operation Center (SOC) von Interesse, der irrt. Denn die eine allumfassende TI gibt es nicht, vielmehr handelt es sich dabei um eine Vielzahl von Funktionen und Services, die individuell auf die jeweiligen Bedürfnisse und Anforderungen eines Unternehmens angepasst und miteinander kombiniert werden. Zum Glück haben viele mittelständische Unternehmen in Deutschland den Wert von Threat Intelligence bereits erkannt: 46 Prozent setzen bereits entsprechende Services ein.
Generell sind Threat-Intelligence-Werkzeuge so konzipiert, dass sie einfach zu einzusetzen sind, selbst für technisch nicht versierte Anwender. Dies ermöglicht es auch Mittelständlern ohne ein großes SOC-Team oder große IT-Abteilung, die ausgewählten Produkte schnell zu implementieren und davon zu profitieren. Entsprechend dem Unternehmensbedarf lassen sich diese zudem nach oben oder nach unten skalieren. Zu der vereinfachten Bedienbarkeit dieser Tools gehören auch die automatisierten Warnmeldungen, wenn potenzielle Bedrohungen erkannt werden. Dadurch können auch kleine und mittlere Unternehmen schnell darauf reagieren und das Risiko eines erfolgreichen Angriffs verringern. Kaspersky Threat Intelligence bietet beispielsweise eine solche sofortige Erkennung von Bedrohungen sowie eine Analyse und Priorisierung von Warnungen und stellt einen umfangreichen und relevanten Kontext für weitere Untersuchungen bereit.
Nicht als Stand-Alone-Werkzeug
Threat Intelligence sollte jedoch nicht als Stand-Alone-Tool betrachtet werden. Die Integration mit weiteren Sicherheitsmeachanismen ist von entscheidender Bedeutung. So bietet die zusätzliche Integration von Firewalls und Intrusion-Detection-Systemen umsetzbare Informationen, die Mittelständler für sich nutzen können, um die Auswirkungen eines Angriffs zu verhindern oder abzumildern. Dazu gehören Informationen zum Patchen von Schwachstellen, zum Blockieren von schädlichem Datenverkehr und zum Isolieren gefährdeter Systeme.
Dadurch, dass Threat Intelligence vielschichtig ist, können Unternehmen die Art von TI wählen, die ihrem Budget und ihren Anforderungen entspricht, ohne für unnötige Funktionen bezahlen zu müssen. Damit ist wird der Dienst auch für kleinere Unternehmen zugänglich und erschwinglich. In Kombination mit kostenlosen Threat-Intelligence-Diensten, die online zur Verfügung stehen, wie beispielsweise Blogs, Foren und Podcasts sowie kostenfreier Malware-Analysetools kann jede Firma, unabhängig von ihrer Größe die eigene Cybersicherheit weiter stärken.
Schritt für Schritt: Threat Intelligence für mittlere Unternehmen
Mittelständische Unternehmen, die sich dem Thema Threat Intelligence nähern und es in Zukunft einsetzen wollen, sollten darauf achten, dass das Werkzeug beziehungsweise der Service für die eigenen Spezifikationen des Unternehmens auch passend ist.
- Die wichtigsten Vermögenswerte identifizieren: Entscheider sollten bestimmen, welche Vermögenswerte für ihr Unternehmen am wichtigsten sind. Das können Kundendaten, geistiges Eigentum oder Finanzinformationen sein. Dementsprechend konzentriert sich die Threat Intelligence spezifisch auf den Schutz dieser Ressourcen.
- Aktuelle Sicherheitslage bewerten: Dazu zählen auch die Überprüfung vorhandener Sicherheitskontrollen und die Analyse nach potenziellen Schwachstellen.
- Welcher Bedrohungsinformationen bedarf es: Entscheider sollten überlegen, welche Arten von Bedrohungsinformationen sie zum Schutz ihres Unternehmens benötigen. Dazu gehören unter anderem Angaben zu bestimmten Bedrohungen, Schwachstellen oder Bedrohungsakteuren.
- Sich über verfügbare Threat-Intelligence-Angebote informieren: Basierend auf den eigenen Anforderungen und dem verfügbaren Budget entsprechende Tools in Betracht ziehen und bewerten. Dabei sollten sowohl kostenlose als auch kostenpflichtige Produkte und Services in den Blick genommen werden.
- Interne Expertise feststellen: Unternehmen benötigen einen Überblick über die vorhandene Expertise intern, um zu entscheiden, ob sie eine Threat-Intelligence-Plattform implementieren und verwalten können oder ob es sich eher anbietet mit einem externen Anbieter zusammenzuarbeiten und auf ein MDR-Angebot zu setzen.
- Threat Intelligence implementieren: Es ist ratsam, eine TI-Plattform zunächst im Rahmen eines Pilotprojekts einzuführen, um diese zu testen und weiter anzupassen, bevor sie unternehmensweit ausgerollt wird.
- Mitarbeiter schulen: Mitarbeiter sollten im Umgang mit dem TI-Werkzeug und potenziellen Bedrohungen gezielt geschult werden.
- Überwachung und Aktualisierung: Regelmäßig kontrollieren, ob das TI-Produkt die gewünschten Erkenntnisse und den gewünschten Wert liefert und gegebenenfalls die Parameter und Funktionen anpassen.
- Integration mit anderen Sicherheitswerkzeugen: Threat Intelligence sollte mit anderen Sicherheitsmaßnahmen wie Firewalls und Intrusion-Detection-Systemen integriert werden, da dadurch eine umfassendere Cybersicherheit des Unternehmens erzielt wird.
Fazit
Threat Intelligence eignet sich nicht nur für große Unternehmen, sondern auch für den Mittelstand, um sich vor Cyberangriffen zu schützen. Das Feld rund um die Bedrohungsinformationen mag für viele Entscheider vielleicht zunächst abschreckend wirken, allerdings lässt sich TI mit einem konkreten Plan recht einfach in die Sicherheitsstrategie eines Unternehmens integrieren. IT-Verantwortliche, die Threat Intelligence einsetzen möchten und dafür Unterstützung benötigen, sollten mit einem Managed Service Provider zusammenarbeiten. Diese bieten eine Reihe von Cybersicherheitsdiensten an, einschließlich TI, deren Implementierung auch für kleinere und mittlere Unternehmen realistisch sind.
ln/Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky