Links überspringen
Threat Intelligence

Threat Intelligence – Werkzeuge zur Bedrohungsaufklärung

Threat Intelligence – was ist das, was kann das, wozu braucht man das?

Die Informationssicherheit ist heute mehr denn je gefordert, sich den ständig wechselnden und wachsenden Bedrohungen aus dem Cyberraum zu stellen. Hacker, Cyberkriminelle, Spione und andere böswillige Akteure versuchen immer wieder, in die Netzwerke und Systeme von Organisationen einzudringen, um Daten zu stehlen, zu manipulieren oder zu zerstören. Wie kann man sich gegen diese Angriffe schützen? Wie kann man wissen, welche Gefahren aktuell lauern und wie man ihnen begegnen kann? Hier kommt Threat Intelligence ins Spiel, ein Konzept, das in diesem Fachartikel näher erläutert wird.

Die Bedrohungsaufklärung (englisch: „Threat Intelligence“ – keinesfalls mit „Bedrohungsintelligenz“ zu übersetzen!) ist eine Anforderung, die in der aktuellen Version der ISO-27001-Norm von 2022 erstmals ausdrücklich als Maßnahme formuliert wurde:

Maßnahme 5.7 – „Informationen über die Bedrohungslage“:
„Informationen über Bedrohungen der Informationssicherheit müssen erhoben und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen.“

Als eine solche Maßnahme spielt die Bedrohungsaufklärung nunmehr ausdrücklich eine wichtige Rolle und wird so zum wesentlichen Bestandteil des Prozesses zur Bewertung und Behandlung von Informationssicherheitsrisiken. Die jederzeitige Kenntnis aktueller abstrakter Bedrohungsszenarien sowie konkret vorliegender Bedrohungen der Informationssicherheit werden damit in den PDCA-Zyklus des ISO-27001-Risikomanagements integriert.

Wie wird Bedrohungsaufklärung eingesetzt, wie soll die Maßnahme umgesetzt werden?

Der zur ISO 27001 gehörende Umsetzungsleitfaden ISO 27002 wurde ebenfalls aktualisiert; die 2022er Fassung erläutert den Zweck der Maßnahme 5.7 wie folgt:

„Sensibilisierung für die Bedrohungsumgebung der Organisation, damit geeignete Gegenmaßnahmen ergriffen werden können.“

und bestimmt in der Orientierungshilfe näher:

„Informationen über bestehende oder neu auftretende Bedrohungen werden gesammelt und analysiert, um fundierte Maßnahmen zu ermöglichen, die verhindern sollen, dass die Bedrohungen der Organisation Schaden zufügen, sowie die Auswirkungen solcher Bedrohungen zu verringern.“

Mit „Bedrohungen“ sind sowohl aktuelle abstrakte Bedrohungsszenarien sowie konkret vorliegende Bedrohungen gemeint. Das Sammeln, Analysieren und Verwenden von Informationen über diese Bedrohungen beinhaltet die Identifikation von Bedrohungsakteuren, deren Taktiken, Techniken und Verfahren (TTPs – „Tactics, Techniques, and Procedures“) sowie die potenziellen Auswirkungen auf die Organisation.

Ziel ist es, in Kenntnis der Bedrohungslage den „Sichtbarkeitsfußabdruck“ der Organisation durch proaktive Maßnahmen so klein wie möglich zu halten, um Akteuren geringstmögliche Ansatzmöglichkeiten für Angriffe zu bieten.

Zusammengefasst ist die jetzt per ISO 27001 gebotene Bedrohungsaufklärung nicht nur nützlich, sondern essenziell für die Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Sie trägt dazu bei, die Sicherheitslage einer Organisation zu verbessern und Vorfälle effektiv zu managen.

Empfehlungen zur Umsetzung

Konkret kennt die Orientierungshilfe zur Maßnahme 5.7 drei Stoßrichtungen der Empfehlungen lt. ISO 27002:

  • Strategisch: „Wie sollen Bedrohungsinformationen sein?“
    „Relevant, aufschlussreich, kontextbezogen und umsetzbar!“
  • Taktisch: „Wie sollen Bedrohungsinformationen bezogen werden? Und woher?“
    z.B. per Zieldefinition für die Erkenntnisgewinnung oder über die Identifizierung, Überprüfung und Auswahl sowohl notwendiger, als auch geeigneter interner und externer Informationsquellen.
  • Operativ: „Was soll mit gewonnenen Bedrohungsinformationen geschehen?“
    z.B. als integraler Bestandteil eines ISMS bzgl. eines präventiven Schwachstellenmanagements.

Für die Abdeckung der drei Stoßrichtungen proaktiver Erkenntnisgewinnung zu Bedrohungslagen – strategisch, taktisch und operativ – stehen nun verschiedenste Quellen und Werkzeuge zur Verfügung.

Und da eine Bedrohungsaufklärung zwar nicht ausschließlich, aber in den allermeisten Fällen doch zu sehr großen Anteilen die jeweils eingesetzte IT-Landschaft im Blick hat, stellen wir Ihnen im Sinne der taktischen Stoßrichtung im Folgenden eine Auswahl solcher Quellen und Werkzeuge vor, die wir in unserer täglichen Arbeit als nützlich kennengelernt haben.

Diese Auswahl ist weder abschließend, noch muss sie für Ihre Zwecke ebenso gut geeignet sein. Wir wollen Ihnen mit dieser Auswahl vielmehr eine Anregung geben, welche Quellen und Werkzeuge Sie wie nutzen können und wonach Sie ggf. recherchieren können, um diese entsprechend sinnvoll zu ergänzen.

Alle nachfolgend vorgestellten Quellen und Werkzeuge sind (semi-) öffentlich nutzbar – ggf. muss ein Account angelegt werden, der dann eine z.T. entgeltliche Nutzung ermöglicht – und können zur Sammlung von Erkenntnissen zu sowie zur Aufklärung von sowohl aktuellen abstrakten Bedrohungsszenarien wie auch konkret vorliegenden Bedrohungen genutzt werden.

Die Quellen und Werkzeuge haben dabei unterschiedliche Schwerpunkte und ermöglichen oft „einen Blick von außen“, d.h. sie analysieren ein Ziel aus der Sicht des öffentlichen Internets.

Threat Intelligence

Der Cyber Security Check unserer Schwesterunternehmens, der Pentest Factory GmbH bietet einen spezialisierten Pentest hinsichtlich der öffentlicht bekannten Informationen über Ihr Unternehmen inkl. Passwort Leak Check.

Übersicht von Threat Intelligence Tools

NameURLSprache(n)Beschreibung
OSINT Frameworkhttps://osintframework.com/enMeta-Portal im Stil einer Mind Map zu verschiedensten Portalen, über die je nach gewünschter Auskunft Abfragen gestellt werden können.
X-Force Exchangehttps://exchange.xforce.ibmcloud.com/de|enStrukturiert-kategorisierte Sammlung von weltweiten Bedrohungen und Bedrohungslagen, die durchsucht, aber auch durch eigene Beiträge ergänzt werden kann.
RiskIQhttps://community.riskiq.com/homeenStrukturiert-kategorisierte Sammlung von weltweiten Bedrohungen und Bedrohungslagen.
Intel-Explorerhttps://aka.ms/mdti-intel-explorerenPortal zur Bedrohungsaufklärung, das über eine einzige Oberfläche vielfältige Recherchen erlaubt.
Copilot für Securityhttps://aka.ms/securitycopilotdeTool zur KI-gestützten Bedrohungsanalyse und -bekämpfung.
ThreatMinerhttps://threatminer.org/enPortal zur Bedrohungsaufklärung, das über eine einzige Oberfläche vielfältige Recherchen erlaubt.
Talos Intelligencehttps://talosintelligence.com/enPortal zur Erkenntnisgewinnung und Bedrohungsaufklärung, das über eine einzige Oberfläche vielfältige Recherchen erlaubt.
Shodan Search Enginehttps://www.shodan.io/enStellt alle öffentlich ermittelbaren Informationen zu einer öffentlichen IP-Adresse oder auch einem ganzen Bereich sowie den dort bereitgestellten Servern und Services zur Verfügung.
Censys Searchhttps://search.censys.io/enStellt alle öffentlich ermittelbaren Informationen zu einer öffentlichen IP-Adresse oder auch einem ganzen Bereich sowie den dort bereitgestellten Servern und Services zur Verfügung.
Identity Leak Checkerhttps://sec.hpi.de/ilc/de|enPrüft jeweils für eine Email-Adresse, ob diese in verschiedensten bekanntgewordenen Datenlecks enthalten ist.
Have I Been Pwnedhttps://haveibeenpwned.com/enPrüft jeweils für eine Email-Adresse, ob diese in verschiedensten bekanntgewordenen Datenlecks enthalten ist.
Certificate Searchhttps://crt.sh/enDurchsucht die gemeinsame Datenbank von Zertifizierungsstellen, in die diese ihre ausgestellten Zertifikate eintragen.
Test for modern Internet Standardshttps://internet.nl/enFührt in zwei Tests eine gründliche Analyse der Konfiguration eines SSL- bzw. TLS-verschlüsselnden Webservices und eines SSL- bzw. TLS-verschlüsselnden Mailservices im öffentlichen Internet durch.
SSL Server Testhttps://www.ssllabs.com/ssltest/enFührt eine gründliche Analyse der Konfiguration eines SSL- bzw. TLS-verschlüsselnden Webservices im öffentlichen Internet durch.
Hardenizehttps://www.hardenize.com/enFührt eine gründliche Analyse diverser aus dem öffentlichen Internet erreichbarer Server und Services durch.
DNSVizhttps://dnsviz.net/enTool zur Visualisierung des Status einer DNS-Zone.
DNSSEC Debuggerhttps://dnssec-analyzer.verisignlabs.com/enTool zur Analyse des Status einer DNS-Zone.
MxToolboxhttps://mxtoolbox.com/enTool, das zur Überprüfung der Erreichbarkeit per Email aus dem öffentlichen Internet herangezogen werden kann.