Innovationen mit HPE


// Strategien für die digitale Welt
- Anzeige -

Interview mit Andreas Wuchner

Threat Exchange – gemeinsam gegen die organisierte Cyberkriminalität

Oliver Häußler arbeitet als freier Journalist und Moderator in der IT- und Telekommunikationsbranche. Seine journalistischen, wirtschaftlichen und technischen Erfahrungen sammelte der Kommunikationswissenschaftler während seiner über 20 Jahre langen Tätigkeit als Chefredakteur von renommierten Fachzeitschriften wie der Funkschau, FunkschauHandel, NetworkWorld und als Moderator von Kongressen, Webcasts und zahlreichen Podiumsdiskussionen.
Um sich gegen das organisierte Verbrechen wehren zu können, muss sich die Industrie besser organisieren, fordert nicht zuletzt der Gesetzgeber. Andreas Wuchner war CISO im Bankengeschäft und ist heute im Bereich Security Strategy bei HP Enterprise Security Services. Er kennt die Bedrohungen auf der Kundenseite und weiß, wie wichtig es ist, dass sich die CIOs von Banken auf Plattformen gegenseitig unterstützen.
Andreas Wuchner, Security Strategy, HP Enterprise Security Services.
Andreas Wuchner, Security Strategy, HP Enterprise Security Services.
Foto: HP

Die Cyberkriminellen sind bestens organisiert. Mit Plattformen wie der FS-ISAC oder ThreatCentral versuchen Organisationen und Hersteller, auch bei Anbietern und Anwendern den Community-Gedanken zu verbreiten, um sich gemeinsam gegen die Angriffe besser zur Wehr zu setzen. Wie kommt das bei CIOs an?

Andreas Wuchner: Dass sich die Banken über Sicherheitsthemen untereinander austauschen ist nicht neu. Dafür gibt es viele Beispiele aus allen Ländern, wie den Frankfurter Kreis, um nur eines zu nennen. Meist sind das sehr persönliche Beziehungen, der Informationsaustausch ist jedoch nicht mit bestehenden Systemen verlinkt und eine Reaktion auf einen Angriff tritt erst mit einem gewissen Zeitverzug in Kraft.
Auch das US-amerikanische Industrieforum für Sicherheit FS-ISAC ist eine hervorragende Community für IT-Sicherheit im Finanzbereich. Sie bietet eine Plattform auf Basis einer Mitgliedschaft für Banken, auf der wichtige Informationen ausgetauscht werden und verschickt Alerts per Mail an diese. Das Mitglied ist dann zwar informiert, dass ein Angriff stattgefunden hat, aber zur Ergreifung von Schutzmaßnahmen muss der CIO weitere Aktionen starten.

Wie schätzen Sie Akzeptanz der Banken für Threat-Exchange-Plattformen ein?

Andreas Wuchner: Die Banken wissen, dass sie in den nächsten Jahren gesetzlich zur Kollaboration verpflichtet werden, um sich zu schützen und einen gesamtwirtschaftlichen Schaden abzuwehren. Daher sind CIOs offen gegenüber Threat-Exchange-Plattformen.

Das Zusammenspiel in einer Community, wie sie auf Plattformen forciert wird, basiert auf Vertrauen. Warum sollte ein CIO einer Bank sensible Informationen über Angriffe auf sein System einem Mitbewerber mitteilen und Gefahr laufen, dass Kunden durch die Veröffentlichung das Vertrauen in die Bank verlieren?

Andreas Wuchner: Diese Sorge besteht nicht, denn es geht darum, Attacken und Bedrohungen auszutauschen, nicht Kundeninformationen. Die Daten kommen von einem Trusted Partner. Der Community-Gedanke besteht darin, dass man Informationen eingibt und selbst welche in Echtzeit beziehen kann. Daraus ergibt sich ein Informationsvorsprung gegenüber den Angreifern.

Welche konkreten Informationen müssen ins System eingespeist werden, damit es funktioniert und die Banken dennoch geschützt sind?

Andreas Wuchner: Es geht beispielsweise um Angaben über die Art der Attacke, wo sie herkommt, an wen sie sich richtet, was sie bewirkt, wer mitbetroffen sein könnte, ob sie geteilt oder zielgerichtet ist. Interessant ist auch, welches Ziel sie verfolgt, will der Angreifer Daten stehlen oder anderen Schaden anrichten? Wenn die betroffene Organisation beziehungsweise das Security Operation Center weiß, dass es Schutzmaßnahmen gibt, stellt der Verantwortliche diese Information ins System und verweist gegebenenfalls auf einen bereits bestehenden Workaround. Er beantwortet also die Frage, ob es sich um einen Zero-Day-Angriff handelt oder um eine Variante eines bekannten Trojaners, der eine bestimmte Schwachstelle ausnutzt. Mit dieser Art von Informationen können CIOs anderer Banken unmittelbar Gegenmaßnahmen oder ein gezieltes Monitoring in Gang setzen, um ihr System vor dem Angriff zu schützen.

Kennen Sie ein Beispiel für eine erfolgreiche Threat-Exchange-Abwehr?

Andreas Wuchner: Im Bereich Malware es gibt viele offene Schnittstellen, über die Organisationen den Security-Unternehmen mitteilen, sobald ein Angriff stattfindet. Dabei handelt es sich aber vorwiegend um Open-Source-Kleinprojekte. Was wir hier machen, ist der erste kommerzielle Ansatz, bei dem eine Plattform mit offenen Schnittstellen angeboten wird, über die man Informationen im großen Umfang eingeben wie auch beziehen kann. Da wir gerade erst damit beginnen, gibt es bislang noch keine Fallauswertungen dazu.

Bei welchen Arten der Kriminalität kommt Threat Exchange infrage?

Andreas Wuchner: Generell ist Security Threat Exchange bei verteilten Angriffen, bei Botnetzen und Viren am wirkungsvollsten. Generell gilt: Je ungerichteter der Angriff ist, desto erfolgreicher funktioniert das Abwehrsystem.

Zur Startseite