Cybersecurity unter Druck: Datenflut und Personalmangel schwächen Abwehrkräfte

Immer mehr Bedrohungen, immer mehr Daten – aber zu wenig Fachpersonal: Sicherheitsexperten schlagen Alarm. Eine neue Studie zeigt, dass viele Unternehmen an der schieren Menge an Bedrohungsinformationen scheitern. Statt mehr Sicherheit zu schaffen, droht die Lage dadurch sogar gefährlicher zu werden.

Laut dem aktuellen Threat Intelligence Benchmark, einer von Forrester Consulting im Auftrag von Google Cloud durchgeführten Studie, verfügen rund 60 Prozent der befragten Unternehmen nicht über genügend Analysten, um die eingehenden Datenmengen sinnvoll auszuwerten. Befragt wurden über 1.500 IT- und Sicherheitsverantwortliche aus acht Ländern und zwölf Branchen.

Das Ergebnis: Die meisten Unternehmen verharren in einem reaktiven Modus – sie können auf Cyberangriffe oft nur noch reagieren, statt ihnen proaktiv entgegenzuwirken.

„Anstatt die Effizienz zu steigern, überschwemmen unzählige Bedrohungs-Feeds die Sicherheitsteams mit Daten. Das erschwert es, relevante Informationen herauszufiltern, Prioritäten zu setzen und rechtzeitig zu handeln“, heißt es in der Studie. Gefordert seien mehr Transparenz über konkrete Bedrohungen, eine KI-gestützte Auswertung großer Datenmengen – und nicht zuletzt: qualifizierte Fachkräfte.

Wie Unternehmen diesen Teufelskreis durchbrechen können, zeigt der vollständige Bericht.

„Anstatt die Effizienz zu steigern, überschwemmen unzählige [Threat Intelligence]-Feeds die Sicherheitsteams mit Daten, sodass es schwierig ist, nützliche Erkenntnisse zu gewinnen, Prioritäten zu setzen und auf Bedrohungen zu reagieren. Sicherheitsteams benötigen Transparenz über relevante Bedrohungen, KI-gestützte Korrelation in großem Maßstab und qualifizierte Verteidiger, um umsetzbare Erkenntnisse zu nutzen und so einen Wandel von einer reaktiven zu einer proaktiven Sicherheitsstrategie zu ermöglichen“, so die Studie.

Daten und analytische Herausforderungen, denen Unternehmen bei der Verbesserung ihrer Threat-Intelligence-Fähigkeiten gegenüberstehen. Quelle: Google Cloud

Unternehmen stehen heute vor einem vielschichtigen, komplexen Problem: Sie verfügen über zu wenige Analysten, die Threat Intelligence effektiv interpretieren und umsetzen können, und diese Analysten müssen zu viele Datenfeeds verarbeiten, die diese Rohdaten liefern. Dies hat viele Sicherheits- und IT-Verantwortliche zu der Befürchtung veranlasst, dass sie wichtige Informationen übersehen und es dadurch letztlich schwieriger wird, gegen legitime Cyberangriffe vorzugehen.

82 % der Befragten befürchten, dass ihnen aufgrund der Vielzahl an Warnmeldungen und Daten Bedrohungen entgehen könnten. Quelle: Google Cloud

Wir sind davon überzeugt, dass der Schlüssel darin liegt, Bedrohungsinformationen direkt in Sicherheitsworkflows und -tools zu integrieren, damit sie schnell und effektiv abgerufen und analysiert werden können. KI spielt bei dieser Integration eine entscheidende Rolle, da sie dabei hilft, Rohdaten zu synthetisieren, sich wiederholende Aufgaben zu verwalten und den Arbeitsaufwand zu reduzieren, sodass sich menschliche Analysten auf wichtige Entscheidungen konzentrieren können.

Wichtigste Erkenntnisse aus der Umfrage

• Unternehmen schätzen Bedrohungsinformationen: Mehr als 80 % der Unternehmen nutzen bereits Bedrohungsinformationen oder planen deren Einsatz in acht wichtigen Anwendungsfällen.
• Die Verbesserung der Threat Intelligence-Fähigkeiten ist eine Herausforderung: Zu viele Feeds (61 %), zu wenige Analysten (60 %), die Schwierigkeit, aus Threat Intelligence-Daten klare Maßnahmen abzuleiten (59 %), und die Schwierigkeit, zu bestimmen, welche Bedrohungen echt sind (59 %), wurden als größte Herausforderungen für die Umsetzung von Threat Intelligence genannt. Insgesamt sind 82 % besorgt, dass aufgrund der Menge an Warnmeldungen und Daten Bedrohungen übersehen werden könnten.
• Blinde Flecken in Unternehmen: 80 % der Befragten gaben an, dass ihre Führungskräfte die Bedrohungen für das Unternehmen unterschätzen, und 66 % gaben an, dass sie Schwierigkeiten haben, Bedrohungsinformationen an die relevanten Teams weiterzugeben.
• Festgefahren im reaktiven Modus: Zu viele Daten erschweren es den Sicherheitsteams, Bedrohungen zu priorisieren, was zu erheblichen Sicherheitslücken führt. Infolgedessen gaben 86 % der Befragten an, dass ihr Unternehmen sein Verständnis der Bedrohungslage verbessern muss, 85 % der Befragten sagen, dass ihr Unternehmen mehr Zeit und Energie auf neu auftretende kritische Bedrohungen konzentrieren könnte, und 72 % der Befragten gaben an, dass sie meist reaktiv auf Bedrohungen reagieren.
• Unterstützung für Verteidiger durch KI: 86 % der Befragten stimmten zu, dass sie KI „unbedingt“ einsetzen müssen, um ihre Fähigkeit zur Operationalisierung von Bedrohungsinformationen zu verbessern. Auf die Frage nach den Vorteilen des Einsatzes von KI in der Bedrohungsanalyse wurde am häufigsten die Verbesserung der Effizienz durch die Erstellung leicht verständlicher Zusammenfassungen genannt (69 %).

Unternehmen nutzen KI in vielfältiger Weise, beispielsweise zur Zusammenfassung, Priorisierung und Kommunikation.

Die Threat Intelligence Benchmark-Studie unterstreicht, wie komplex das Problem ist, aber wir sehen auch einen Weg, wie selbst Unternehmen mit geringen Ressourcen das Beste aus ihren Bedrohungsinformationen herausholen können. Durch unsere Zusammenarbeit mit Kunden und der breiteren Threat Intelligence-Community haben wir Vorschläge entwickelt, wie Unternehmen die Ressourcen, die sie bereits für Bedrohungsinformationen bereitgestellt haben, optimal nutzen können.

Wie Sie Bedrohungsinformationen effektiver nutzen können

Bei Google Cloud setzen wir uns nachdrücklich dafür ein, dass Sicherheits- und IT-Verantwortliche Bedrohungsinformationen als Teil einer umfassenden mehrschichtigen Verteidigungsstrategie in ihre Sicherheitsumgebungen integrieren. Die Rohdaten aus Bedrohungsinformationen können zur Prävention, Erkennung und Abwehr von Angriffen sowie zur Unterstützung strategischer Entscheidungen im gesamten Unternehmen genutzt werden.

Hier sind vier taktische Schritte, die Ihnen den Einstieg erleichtern.

Schritt 1: Identifizieren Sie wichtige Informationsbedürfnisse

Sicherheitsteams sollten Bedrohungsinformationen als strategisches Instrument nutzen, um sich auf die Bedrohungen zu konzentrieren, die für ihr Unternehmen am relevantesten sind. Dies kann entscheidend sein, um das Cyber-Bedrohungsprofil des Unternehmens zu erstellen (eine strukturierte Methode zur Identifizierung, Analyse und Priorisierung potenzieller Cyber-Bedrohungen) und einen besseren Schutz vor den wichtigsten Bedrohungen zu gewährleisten.

1. Definieren Sie Ihre Kronjuwelen: Identifizieren Sie Ihre wichtigsten Assets, Daten und Geschäftsfunktionen und berechnen Sie die Auswirkungen, wenn diese kompromittiert werden. Dies fließt direkt in Ihre Priority Intelligence Requirements (PIR) ein.
2. Kennen Sie Ihre Gegner: Identifizieren Sie die Bedrohungsakteure, die am ehesten Ihre IT-Umgebung und die Branche, in der Ihr Unternehmen tätig ist, ins Visier nehmen. Studieren Sie ihre gängigen Taktiken, Techniken und Verfahren (TTPs). Konzentrieren Sie sich auf Informationen über diese Gruppen und ihre Methoden zum Eindringen in Ihr System.
3. Richten Sie einen Feedback-Kreislauf ein: Fragen Sie Ihre Teams für Incident Response (IR) und Security Operations Center (SOC) regelmäßig nach Bedrohungsinformationen, die ihnen helfen könnten, aktuelle Vorfälle zu verhindern, zu erkennen und schneller darauf zu reagieren. Ihre Antworten können zur Verfeinerung der PIRs verwendet werden.
4. Verstehen Sie, wie Sicherheit das Unternehmen unterstützt: Bei der Entwicklung einer robusten Bedrohungsanalyse geht es darum, intelligentere und schnellere Entscheidungen zu unterstützen. Die Sicherheit sollte eng mit der Führungsebene und anderen Teams zusammenarbeiten und sich darauf konzentrieren, das Unternehmen in die Lage zu versetzen, seine Ziele zu erreichen und gleichzeitig Risiken zu minimieren.

Schritt 2: Aufbau einer taktischen Bedrohungsinformations-Pipeline

In der Cybersicherheit ist Effizienz entscheidend. Das Ziel ist es, Bedrohungsinformationen so schnell wie möglich von der Quelle zur Umsetzung zu bringen.

• Zentrale Aggregation: Implementieren Sie eine Threat Intelligence Platform (TIP) und nutzen Sie vorhandene SIEM-Funktionen (Security Information and Event Management), um Bedrohungsinformationen aus allen Quellen (OSINT, kommerzielle Feeds, ISACs, Dark-Web-Überwachung) zu erfassen, zu normalisieren und zu deduplizieren.
• Automatische Anreicherung: Bereichern Sie eingehende Indikatoren (IPs, Domains, Hashes) automatisch mit Kontextinformationen wie Geolokalisierung, Reputationsbewertungen und zugehörigen Bedrohungsakteuren. Die Tools sollten die Schwerarbeit übernehmen.
• Priorisierungs-Engine: Anstatt Analysten Tausende von Warnmeldungen manuell zu sichten, entwickeln Sie in Ihrer TIP und SIEM Regeln, um Informationen automatisch anhand ihrer Relevanz für PIRs und ihrer Schwere zu bewerten und zu priorisieren.
• Direkte Integration in Kontrollen: Leiten Sie relevante, hochpräzise Indikatoren und Erkennungsregeln direkt an Firewalls und Proxys, Endpunkt- und erweiterte Erkennungs- und Reaktionssysteme (EDR und XDR), Intrusion Detection- und Prevention-Systeme (IDS und IPS) sowie SIEM-Systeme weiter.

Schritt 3: Befähigen Sie Ihre Sicherheitsteams

Zwei wichtige Möglichkeiten, wie IT- und Sicherheitsexperten die Nützlichkeit der von ihnen verwendeten Bedrohungsinformationen erkennen können, sind die Entlastung der Analysten von mühsamen Aufgaben und die Konzentration auf Schulungen und Tools.

• Fokus der Analysten: Entlasten Sie Ihre SOC- und IR-Analysten von der Datenerfassung und grundlegenden Korrelation. Ihre Zeit ist besser für die proaktive Suche nach Bedrohungen, die Kontextualisierung von Warnmeldungen, die Entwicklung benutzerdefinierter Erkennungsmechanismen und die Verbesserung der Incident Response genutzt.
• Schulung und Fachwissen: 79 % der Befragten gaben an, dass externe Anbieter von Bedrohungsinformationen dabei helfen sollten, „jüngere Mitarbeiter weiterzubilden oder einen Analysten für Bedrohungsinformationen (CTI) in ihr Team zu integrieren“. Bieten Sie Analysten gezielte Schulungen zur Umstellung auf einen stärker informationsgesteuerten Ansatz und vermitteln Sie ihnen Bedrohungsinformationen, die auf Ihr Unternehmen zugeschnitten sind.

Schritt 4: Kontinuierliche Messung und Anpassung

Die Operationalisierung von Bedrohungsinformationen ist ein fortlaufender Zyklus und kein einmaliges Projekt.

• Wichtige Kennzahlen: Verfolgen Sie diese wichtigen Kennzahlen für Bedrohungsinformationen und stellen Sie zu jeder Kennzahl die folgenden Fragen:
  • Reduzierung der mittleren Erkennungszeit (MTTD) und der mittleren Reaktionszeit (MTTR): Helfen uns Bedrohungsinformationen dabei, Bedrohungen schneller zu erkennen und darauf zu reagieren?
  • Alarmgenauigkeit: Gibt es weniger Fehlalarme aufgrund besser kontextualisierter Warnmeldungen aus Bedrohungsinformationen?
  • Blockierte Bedrohungen: Wie viele Bedrohungen wurden proaktiv durch Systeme blockiert, die mit Bedrohungsinformationen gespeist wurden?
  • Erfolgreiche Jagd: Wie viele neue Bedrohungen wurden durch informationsgesteuerte Jagd identifiziert?
• Regelmäßige Überprüfungen: Monatliche oder vierteljährliche Überprüfungen der PIRs, der Bedrohungsinformationsquellen und der Wirksamkeit der Integrationen können dazu beitragen, Ihre Bedrohungsinformationsstrategie auf dem neuesten Stand zu halten.
• Vorfallsgesteuerte Verfeinerung: Führen Sie nach jedem bedeutenden Vorfall eine Sitzung durch, in der speziell die Beiträge der Bedrohungsinformationen zur Reaktion auf den Vorfall analysiert werden.

Wie Google Threat Intelligence helfen kann

Trotz Bedenken hinsichtlich einer Datenüberflutung gaben 80 % der Befragten an, dass Anbieter von Bedrohungsinformationen sowohl umfassende als auch detaillierte Informationsquellen bereitstellen sollten. Sicherheitsteams sollten sich darauf verlassen können, dass sie einen ganzheitlichen Überblick über die verfügbaren Informationen haben.

Ergänzt durch fortschrittliche KI bietet Google Threat Intelligence einen unvergleichlichen Einblick in Bedrohungen, sodass wir Sicherheitsteams auf der ganzen Welt detaillierte und zeitnahe Bedrohungsinformationen liefern können. Es kombiniert das Fachwissen von Mandiant aus erster Hand, die globale Reichweite der VirusTotal-Community und die umfassende Sichtbarkeit, die nur Google bieten kann.

Unsere Programme Advanced Intelligence Access (AIA) und Essential Intelligence Access (EIA) bieten Unternehmen Zugang zu integrierten und zielgerichteten Intelligence-Experten sowie frühzeitigen Zugriff auf Bedrohungsdaten. Die Mandiant Academy bietet Schulungen für Sicherheitsexperten an, darunter viele, die sich darauf konzentrieren, wie Bedrohungsinformationen am besten genutzt und angewendet werden können, um die taktische Verteidigung und die allgemeine Sicherheitslage zu verbessern.

Um mehr über den Stand der Bedrohungsinformationen und darüber zu erfahren, wie Ihr Unternehmen Bedrohungsinformationen effektiver nutzen kann, können Sie den Threat Intelligence Benchmark: Stop Reacting; Start Anticipating hier herunterladen.

Quelle: Google Cloud

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky