Cyberangriffe haben ein enormes Schadenspotenzial. Die Attacken können für Wirtschaftsunternehmen existenzbedrohend sein und haben bei Angriffen auf kritische Infrastrukturen wie Krankenhäuser oder Energieversorger schnell dramatische Auswirkungen auf die Bevölkerung. Die Attacken aus dem Cyberraum sind deshalb so folgenschwer, weil hochspezialisierte und global vernetzt agierende Tätergruppen auf Unternehmen und Einrichtungen treffen, die häufig keinen professionellen Schutz besitzen. Die Budgets für Cybersicherheit steigen zwar, in vielen Unternehmen aber nur langsam. Gleichzeitig verschärft sich der Mangel an IT-Sicherheitsfachkräften. Selbst die gros­sen Unternehmen und IT-Dienstleister haben Schwierigkeiten, ihren Bedarf an Securityexpertinnen und -experten zu decken, kleine und mittlere Unternehmen sind oftmals noch weniger in der Lage, eigenes Securitypersonal einzustellen und zu halten.
Doch was tut man, wenn Budgets und begehrte Ressourcen knapp sind? Man arbeitet mit Unternehmen zusammen, die in einer ähnlichen Lage sind, teilt sich die Kosten und den Zugang zu Know-how. So jedenfalls kennt man es aus anderen Bereichen.

Wenn es aber um die Cybersicherheit geht, scheinen Kooperationsmodelle nicht in Frage zu kommen. Ganz anders als die Cyberkriminellen sind die Unternehmen als die möglichen Angriffsziele nicht gut untereinander vernetzt, wenn es um die Sicherheit der Infrastrukturen und Daten geht. Man versucht, sich mit Hilfe einer Vielzahl von Securitylösungen allein gegen die Cyberattacken zu verteidigen. Leider sind diese Lösungen nicht immer auf dem aktuellen Stand der Technik und damit den Cyberbedrohungen nicht gewachsen.
Wie das Marktforschungsinstitut IDC berichtet, stellen veraltete Securityprozesse und -lösungen 21 Prozent der befragten Organisationen vor grosse Herausforderungen. «Insbesondere viele der Security Analytics und Intelligence Solutions haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen», sagte Marco Becker, Senior Consultant bei IDC. «Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen kommuniziert, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos.» Einen Informationsaustausch zur Security über die Unternehmensgrenzen hinweg findet man noch seltener.

Über Security und seine Probleme damit spricht man nicht gern. Ein Austausch über Cybersicherheit innerhalb der eigenen Branche und damit mit Mitbewerbern scheint ein Tabu zu sein. Doch es gibt Ansätze im weiten Feld der Crowd Security oder Crowdsourced Security, gemeinsam für mehr Cybersicherheit anzutreten. «Cybersicherheit ist kein technologisches Problem – es ist ein menschliches – und um gegen eine Armee von Gegnern antreten zu können, brauchen wir eine Armee von Verbündeten», beschreibt Casey Ellis, Gründer von Bugcrowd, die Idee einer Crowdsourced Security.

Ein Weg dazu: Man lädt eine Gruppe geeigneter Personen (die Crowd) ein, die ein bestimmtes IT-System auf Schwachstellen untersuchen sollen. Der Vorteil ist offensichtlich: Man bekommt das Wissen vieler, um Sicherheitsrisiken aufzuspüren und abzuwenden. Im Gegenzug bietet man zum Beispiel eine Belohnung (Bug-Bounty-Programme). Der Markt ist inzwischen gut gefüllt mit entsprechenden Crowdsourced-Security-Angeboten, neben Bugcrowd zum Beispiel auch YesWeHack, Crowdswarm, Synack und CrowdSec. Die steigende Beliebtheit solcher Plattformen ist auch eine Folge der sich verschärfenden Cybersicherheitslage in Zeiten der Coronapandemie, mit Home-Offices und dezentralem Arbeiten. «Die Pandemie hat die Sicherheit auf den Kopf gestellt. Plötzlich waren wir alle mit exponentiell erweiterten Angriffsflächen konfrontiert. Das bedeutete, dass Sicherheitsteams kreativ und flink sein und nach innovativen und reaktionsschnellen Lösungen suchen mussten, wie zum Beispiel On-Demand Crowdsourced Security, um ihnen Zugang zu vertrauenswürdigen Sicherheitsforschern zu verschaffen, damit sie ihre Assets aus einer gegnerischen Perspektive testen konnten», erklärt Jay Kaplan, CEO und Mitbegründer von Synack. «Das ist die Art von proaktiver Sicherheit, die hochwertige Ergebnisse liefert und den Unternehmen hilft, der Bedrohung während der gesamten Pandemie einen Schritt voraus zu sein.»

Unternehmen wie exemplarisch Telenor Schweden sehen in einem Bug-Bounty-Programm insbesondere den Vorteil, Zugang zu einer professionellen Security Community zu bekommen. «Durch das YesWeHack-Bug-Bounty-Programm sind wir mit einem der besten globalen Netzwerke von ethischen Hackern verbunden, die uns dabei helfen, Sicherheitslücken in unserer Infrastruktur vor allen anderen zu finden. Wenn wir proaktiv vorgehen und das Hacken unserer Infrastruktur zulassen, können wir Schwachstellen finden, bevor Kriminelle dies tun, und sie beheben», so Marcus Lundblad, Security Engineer bei Telenor Schweden.

Guillaume Vassault-Houlière, CEO und Mitbegründer von YesWeHack, betont die Vertrauensbildung durch Massnahmen wie Crowd Security: «Telenor Schweden wird in allen Märkten als vertrauenswürdiger und sicherer Anbieter anerkannt, weil er sich auf den Schutz der Kundendaten konzentriert und seine kritische Infrastruktur durch die Einführung von bahnbrechenden Lösungen wie Bug Bounty verteidigt.»

Bug Bounty Programme, bei denen Belohnungen für die Meldung von entdeckten Schwachstellen ausgelobt werden, sind nur ein Beispiel, wie Unternehmen von der Cyber Security Community profitieren können. Auch die aktive Suche nach Angriffsmöglichkeiten, der Penetrationstest, nutzt die Securityexpertise der Crowd, also externer Securityfachleute, die sich ehrenamtlich oder gegen ein bestimmtes Entgelt auf die Suche nach Sicherheitslücken machen. Ein «Penetration Testing as a Service» gibt es auch von Securitydienstleistern, doch ähnlich wie bei Open Source hat auch die Security Community solche «Freiwilligendienste» hervorgebracht.

Ein anderes Beispiel für Crowdsourced Security ist das «Crowdsourced Malware Scanning» mit VirusTotal. VirusTotal nutzt die Fähigkeiten und die Informationen von vielen, verschiedenen Antiviren-Engines, Websitescannern, Datei- und Link-Analysetools sowie Hinweisen von Nutzenden und aggregiert deren Kommentare und Resultate zur Schadsoftware. Die Besonderheit ist, dass nicht nur ein einzelner Malwarescanner die Bösartigkeit einer Datei oder eines Links bewertet, sondern eine Vielzahl von Scannern tut dies und lässt deren Bewertungen ins Gesamtresultat einfliessen.
Ein Securityservice wie VirusTotel nutzt somit das Wissen über Malware von vielen verschiedenen Malwarescannern und Malwareexpertinnen und -experten gleichzeitig. Aber auch die Unternehmen selbst und damit die Angriffsziele der Cyberkriminellen haben ein Wissen, das für die Cybersicherheit sehr wertvoll sein kann.

Jedes Unternehmen, das bereits angegriffen wurde und die Attacke entdeckt und abgewehrt hat, hat wichtige Erfahrungen gesammelt, zum Beispiel über die ausgenutzten Schwachstellen, die Angriffswege oder aber über die Möglichkeiten, den Angriff möglichst schnell zu entdecken und die Folgeschäden einzudämmen.
Dieses Erfahrungswissen ist die Threat Intelligence (Bedrohungsintelligenz) des jeweiligen Unternehmens. «Threat Intelligence sind alle Informationen, die einem Unternehmen helfen können, Bedrohungen zu identifizieren, zu bewerten, zu überwachen und auf Cyberbedrohungen zu reagieren», so die Erläuterung der US-amerikanischen Bundesbehörde NIST (National Institute of Standards and Technology). «Organisationen, die Informationen über Cyberbedrohungen austauschen, können dadurch ihre eigene Sicherheitslage sowie die anderer Organisationen verbessern.»

Der Grund liegt auf der Hand: Andere Unternehmen haben andere Erfahrungen mit Cyberattacken gemacht und verfügen damit über ein eigenes Bedrohungswissen. Wenn sich die Unternehmen darüber austauschen, können sie voneinander lernen in einer Art Selbsthilfegruppe für Cybersicherheit. Der Erfahrungsschatz vieler und die Meldung von IT-Sicherheitsvorfällen sind die Basis für einen stets aktuellen Lagebericht zur Cybersicherheit.

Eine wichtige Basis ist der gegenseitige Austausch über Security durch «Threat Intelligence Sharing». Um Threat Intelligence zu teilen und gemeinsam zu nutzen, können Firmen sich bei einer Reihe von Plattformen bedienen – neben proprietären Angeboten auch bei Open-Source-Plattformen wie MISP Threat Sharing und CrowdSec.

Bei solchen Plattformen für Threat Intelligence Sharing liefern die teilnehmenden Unternehmen sicherheitsrelevante Informationen, die das Wissen der anderen Teilnehmenden über aktuelle Cyberbedrohungen bereichern können. Im Gegenzug erhalten die Unternehmen Zugang zu dem sich immer weiter entwickelnden Bedrohungswissen der Community. AlienVault Open Threat Exchange zum Beispiel ermöglicht nach eigenen Angaben privaten Unternehmen, unabhängigen Sicherheitsforschern und Regierungsbehörden, offen zusammenzuarbeiten und die neuesten Informationen über neu auftretende Bedrohungen, Angriffsmethoden und böswillige Akteure auszutauschen; damit wird für mehr Sicherheit in der gesamten Gemeinschaft gesorgt. Aktuell sollen 100 000 Teilnehmerinnen und Teilnehmer in 140 Ländern täglich über 19 Millionen Bedrohungsinformationen beisteuern. Weitere Beispiele für Plattformen, die Threat Intelligence Sharing ermöglichen, sind IBM X-Force Exchange, ThreatShare, MineMeld Threat Intelligence Sharing, Cyware for Information Sharing, ThreatQ Data Exchange und ThreatConnect for Intelligence Sharing.

Welche Plattform für das eigene Unternehmen die richtige ist, sollte nicht nur an den möglichen Kosten festgemacht werden. Es ist wichtig, dass man sich anschaut, welche Branchen, Unternehmensgrössen und Länder bereits vertreten sind und entsprechend Bedrohungswissen bereitstellen, das möglichst relevant für das eigene Unternehmen ist.

Man sollte zwar offen sein für den Austausch über Security, aber nicht zu offen. Die US-amerikanische Cornell University hat auf die notwendige Vertrauenswürdigkeit der Teilnehmenden an dem Threat Intelligence Sharing hingewiesen: «Der Austausch von Bedrohungsinformationen gilt als einer der proaktiven Abwehransätze zur Verbesserung der Gesamtsicherheit vertrauenswürdiger Partner. Vertrauenswürdige Partnerorganisationen können Zugriff auf frühere und aktuelle Cybersicherheitsbedrohungen gewähren, um das Risiko eines potenziellen Cyberangriffs zu verringern.»
Das Threat Intelligence Sharing muss deshalb selbst Sicherheitsvorgaben beachten, damit die Cybersicherheit steigt und nicht etwa zusätzlich und ungewollt gefährdet wird. Die EU-Agentur für Cybersicherheit ENISA hat bereits auf mögliche Problemstellen und den richtigen Weg hin zum Threat Intelligence Sharing hingewiesen. Sie empfiehlt den Unternehmen, vor einem Threat Intelligence Sharing folgende Fragen zu klären:

- Mit wem sollen Informatio nen geteilt werden?
- Wird über sichere Kanäle geliefert?
- Welche Informationsaustauschmechanismen werden verwendet?
- Können geteilte Informationen von allen Parteien genutzt werden?
- Wie können geteilte Informationen verwendet werden?

Nur das Nutzen der Crowd für die Suche nach Schwachstellen und das Austauschen von Bedrohungswissen kann nicht für den notwendigen Schutz sorgen gegen die sich verschärfenden Cyberattacken. Es müssen Taten folgen und die Wirksamkeit muss überprüft werden. So ergab zum Beispiel eine Umfrage des Analystenhauses Forrester Research: Nahezu zwei Drittel der IT-Sicherheitsverantwortlichen (64 Prozent) sagen, dass ihr Unternehmen Schwierigkeiten hat, sein Threat-Intelligence-Programm mit seinem Risikomanagementprogramm abzustimmen, und 62 Prozent haben Schwierigkeiten bei der Implementierung von Messverfahren zur Verfolgung der Threat-Intelligence-Effektivität.

Ob das neu gewonnene Wissen über Bedrohungen und Schwachstellen wirklich hilft, sollten Unternehmen also hinterfragen. Nur wenn dieses Wissen in geeignete Massnahmen überführt wird, zum Beispiel ein umfassendes Patchmanagement zum Schliessen der erkannten Sicherheitslücken, kann die Cybersicherheit wirklich steigen.  Ansonsten tauscht man sich nur über Cyberbedrohungen aus, anstatt etwas Konkretes gegen sie zu unternehmen. Das Wissen um Schwachstellen und Bedrohungen erleichtert den Zugang zur Securityexpertise, es ersetzt aber nicht die eigene Cybersicherheit.