Mit <kes>+ lesen

Tauschringe für Bedrohungsdaten : Status quo der Nutzung von Threat-Intelligence-Sharing-Platforms im DACH-Raum

Eine aktuelle Studie der TU Ilmenau und Universität Innsbruck hat die Nutzung von ThreatIntelligence-Sharing-Platforms in Deutschland, Österreich und der Schweiz untersucht. Sie analysiert, wie verbreitet solche Plattformen in Unternehmen, Behörden und Universitäten sind und wofür und wie genau sie genutzt werden.

Lesezeit 12 Min.

Die Themen Threat-Intelligence und Threat-Intelligence Sharing haben in den letzten Jahren an Bedeutung zugenommen [1]. Dahinter verbirgt sich für IT-Sicherheitsverantwortliche letztlich die Aufgabe, Bedrohungs- und Sicherheitsinformationen systematisch zu sammeln, auszuwerten und zu teilen – und das sowohl innerhalb als auch zwischen Organisationen [2]. An vielen Stellen ist diese Tätigkeit bereits zu einem wichtigen Baustein im IT-Sicherheitsmanagement geworden, besonders zur Verbesserung der Cyber-Sicherheit – weitere Organisationen intensivieren gerade ihre diesbezüglichen Aktivitäten, nicht zuletzt auch, weil Threat-Intelligence als neue Referenzmaßnahme in die im Februar 2022 aktualisierte ISO/IEC 27002 [3] aufgenommen wurde.

Organisationen verfügen jedoch häufig nicht über ausreichende Ressourcen für ein angemessenes Threat-Intelligence-Sharing. Eine Option zur Verringerung der Ressourcenprobleme ist eine intensivere Automatisierung durch den Einsatz von Threat-Intelligence-Sharing-Platforms [4]. Bei solchen Plattformen handelt es sich um organisationsübergreifende Systeme, welche die Sammlung von Daten aus verschiedenen Quellen, ihre Aggregation und kooperative Auswertung sowie den Austausch der dabei entstehenden Bedrohungs- und Sicherheitsinformation unterstützen. Die ersten derartigen Plattformen entstanden vor knapp 15 Jahren. Heute existiert ein heterogener Markt sowohl von kommerziellen als auch Free-to-Use-Plattformen [5]. Umfangreichere empirische Untersuchungen zu deren Nutzung aus Endanwendersicht fehlen jedoch weithin.

Um diese Erkenntnislücke etwas zu schließen, hat ein Forscherteam der Technischen Universität Ilmenau und der Universität Innsbruck in Zusammenarbeit mit dem Informationstechnikzentrum Bund (ITZBund) 2022 eine explorative Studie zur Nutzung von Threat-Intelligence-Sharing-Platforms in Deutschland, Österreich und der Schweiz durchgeführt. Ziel war es, herauszufinden, wie verbreitet der Einsatz solcher Plattformen ist, wie genau und wofür diese in Unternehmen, Behörden und Universitäten genutzt werden.

Vorbereitung und Durchführung der Studie:

Zur Konkretisierung der Zielsetzung der Studie wurden zu deren Beginn Hypothesen entwickelt, das heißt konkretere Vermutungen sowohl zur Verbreitung des Einsatzes der Plattformen als auch zur Art und Weise ihrer Nutzung aufgestellt. Hierbei stützten sich die Autoren zunächst auf eigene Erfahrungen: Im Rahmen unserer Forschung untersuchten wir in den letzten fünf Jahren mehr als 50 Threat-Intelligence-Sharing-Platforms, wie Anomali ThreatStream, Collaborative Research into Threats (CRITs), Collective Intelligence Framework (CIF), Crowdstrike Falcon X Intelligence, EclecticIQ, Facebook ThreatExchange (TX), IBM X-Force Exchange, Malware Information Sharing Platform (MISP), Open Threat Exchange (OTX), ThreatCloud IntelliStore, ThreatConnect, ThreatQ, Trellix Threat-Intelligence Exchange und Vipre ThreatIQ [5,6,7]. Dabei führten wir zahlreiche Expertengespräche, in erster Linie mit Anbietern oder Betreibern der Plattformen.

Tabelle 1

Tabelle 1: Zusammensetzung der zur Befragung eingeladenen Grundgesamtheit

Neben dieser Anbietersicht berücksichtigten wir zur Hypothesenbildung zusätzlich die – wenn auch wenigen – empirischen Erkenntnisse, die es zur Nutzung von Threat-Intelligence-Sharing-Platforms gibt. Beispielhaft sind hier die Reports des SANS- und Ponemon-Instituts zu nennen [8,9]: Dabei handelt es sich um weltweit durchgeführte Studien zum Thema Threat-Intelligence, in denen Plattformen und Tools für das Threat-Intelligence-Sharing jedoch nicht im Mittelpunkt standen. Insgesamt stellten wir auf Grundlage dieser Ausgangsinformationen 13 Hypothesen auf, von denen wir im Folgenden einige ausgewählte diskutieren werden.

Die Datenerhebung wurde als internetbasierte Befragung durchgeführt. Hierfür entwickelten wir ausgehend von unseren Hypothesen einen Online-Fragebogen mit insgesamt 26 Fragen – die Befragung lief im Zeitraum von Juli bis September 2022 durch. Als zu untersuchende Organisationen wählten wir börsennotierte Unternehmen, Bundesbehörden und öffentliche Universitäten in Deutschland, Österreich und der Schweiz aus (siehe Tab. 1). Insgesamt versendeten wir 380 Teilnahmeaufrufe, vorzugsweise an die IT-Führungskräfte und die Verantwortlichen für die Informationssicherheit in den jeweiligen Organisationen.

Von den 380 Organisationen nahmen 69 an der Befragung teil, was einer Rücklaufquote von 18,2 % entspricht. Die Struktur dieser Stichprobe ist wie folgt (Einzelwerte summieren sich nicht immer auf 100 %, da Teilnehmer:innen auch die Möglichkeit hatten „keine Angabe“ auszuwählen):

  • geografische Verteilung: 78,3 % aus Deutschland, 11,6 % aus Österreich und 10,1 % aus der Schweiz
  • Organisationsart: 27,6 % Unternehmen, 42,0 % Behörden sowie 30,4 % Universitäten
  • Größe der Organisationen: 14,5 % Organisationen mit bis zu 500 Personen, 42,0 % mit 501–5000 Personen, 26,1 % mit 5001–50 000 Personen und 17,4 % Organisationen mit mehr als 50 000 Personen
  • Position/Tätigkeit der befragten Personen: 29,0 % Chief Information Security Officer (CISO), 26,1 % Analyst:in im SOC/CERT/CSIRT, 13,0 % Abteilungs-/Referatsleitung, 11,6 % Chief-Information-Officer (CIO) oder IT-Leiter:in, 10,1 % IT-Sicherheitsbeauftragte:r (ISB) und 4,3 % IT-Systemadministrator:inn:en

Alle weiteren Auswertungen der Studie basieren auf den Antworten dieser Stichprobe von 69 Befragungsteilnehmer:innen. Es ist zu berücksichtigen, dass es sich bei den vorgenommenen Prozentuierungen um Anteile einer recht kleinen Gesamtmenge handelt.

Abbildung 1

Abbildung 1: Zunahme des Einsatzes von Threat-Intelligence-Sharing-Platforms

Ausgewählte Ergebnisse

Threat-Intelligence-SharingPlatforms sind in der Praxis angekommen

Eine zentrale Hypothese zur Verbreitung von Threat-Intelligence-Sharing-Platforms war, dass deren Einsatz in den letzten vier Jahren zugenommen hat. Bei dieser Vermutung stützten wir uns auf andere Studienergebnisse, zum Beispiel auf den SANS-Report aus dem Jahr 2022 [8]: Diesem ist zu entnehmen, dass im Vergleich zu den Vorjahren weltweit eine Zunahme des Einsatzes derartiger Plattformen zu beobachten sei.

Um diese Hypothese diskutieren zu können, fragten wir die Teilnehmer:innen nicht nur, ob in ihrer Organisation eine Plattform genutzt wird, sondern auch, seit wann dies der Fall sei. Abbildung 1 fasst die Untersuchungsergebnisse dazu zusammen. Farblich hervorgehoben ist zu erkennen, dass mit 53,6 % mehr als die Hälfte der befragten Organisationen Threat-Intelligence-Sharing-Platforms einsetzt. Darüber hinaus zeigte sich auch, dass es in den letzten vier Jahren einen fast kontinuierlichen Anstieg des Einsatzes gegeben hat. Das spricht beides für die Hypothese und dokumentiert, dass Threat-Intelligence-Sharing-Platforms in der Praxis angekommen sind.

Zusätzlich ermittelten wir, welche Befragungsteilnehmer:innen in ihren Organisationen in den kommenden Jahren den Einsatz einer Plattform planen: 21,7 % der Organisationen bejahten das (rechts in Abb. 1) – knapp 7 % streben die Nutzung einer Plattform bereits in den kommenden beiden Jahren an. Aufgrund dessen können wir prognostizieren, dass der Einsatz von Threat-Intelligence-Sharing-Platforms in den nächsten fünf Jahren weiter deutlich zunehmen wird.

Abbildung 2

Abbildung 2: Einsatz von Threat-Intelligence-Sharing-Platforms nach Organisationsart

Abbildung 3

Abbildung 3: Die in der erfassten Stichprobe am häufigsten eingesetzten Threat-Intelligence-Sharing-Platforms

Einsatz in Unternehmen am weitesten verbreitet

Eine detailliertere Auswertung der Befragungsergebnisse offenbart allerdings deutliche Unterschiede beim Einsatz von Threat-Intelligence-Sharing-Platforms bei Unternehmen, Behörden und Universitäten. Wir vermuteten das bereits im Vorfeld und stellten dazu die Hypothese auf, dass in Unternehmen im Vergleich zu Behörden und Universitäten der Einsatz verbreiteter ist.

Wie die drei Kreisdiagramme in Abbildung 2 zeigen, ist die Verbreitung von Threat-Intelligence-Sharing-Platforms in Unternehmen tatsächlich am höchsten, was für unsere Hypothese spricht. Über 84 % der befragten Unternehmen gaben an, entsprechende Plattformen einzusetzen – bei den Behörden waren das nur noch knapp die Hälfte und bei den Universitäten sogar nur jede dritte.

Darüber hinaus ist Abbildung 2 auch zu entnehmen, dass eine ganze Reihe von Behörden (20,7 %) und Universitäten (33,3 %) plant, Threat-Intelligence-Sharing-Platforms in den kommenden Jahren erstmals einzusetzen. Es ist demnach davon auszugehen, dass die momentan große Lücke zu den Unternehmen in naher Zukunft deutlich kleiner werden wird.

MISP ist die dominierende Lösung in der Stichprobe

Über Marktanteile beziehungsweise Einsatzhäufigkeiten einzelner Threat-Intelligence-Sharing-Platforms existieren bisher kaum empirische Erkenntnisse. Wir vermuteten, ähnlich wie in anderen Domänen, dass es eine Konzentration auf wenige oder einzelne dominierende Plattformen gibt. Dazu fragten wir alle Organisationen der Stichprobe, die Threat-Intelligence-Sharing-Platforms nutzen, welche Lösungen sie einsetzen. Abbildung 3 fasst die Antworten zusammen – aus Gründen der Übersichtlichkeit wurden Plattformen ausgelassen, die nur einmal genannt wurden.

Eindeutig zu sehen ist, dass die Malware Information Sharing Platform (MISP) in der erfassten Stichprobe die klar dominierende Lösung darstellt. Experten hätten dieses Ergebnis vielleicht erwartet, da MISP eine der ersten und ältesten Plattformen ist und weltweit, aber vor allem in Europa, zu den bekanntesten zählt. Die Deutlichkeit des Ergebnisses überrascht dennoch, spricht aber umso klarer für unsere Hypothese.

Auf den ersten beiden Plätzen liegen mit MISP (www.misp-project.org) und Open Threat Exchange (https://otx.alienvault.com) zwei sogenannte Free-to-Use- beziehungsweise Open-Source-Plattformen. Erst dann folgen kommerzielle Plattformen wie Crowdstrike Falcon X Intelligence (www.crowdstrike.com) und ThreatQ (www.threatq.com). Bei den befragten Organisationen sind ergo Free-to-Use-Plattformen verbreiteter als kommerzielle. Das ist erstaunlich und widerspricht dem aktuellen SANS-Report [8], dem zu entnehmen ist, dass weltweit in den letzten Jahren eher mehr kommerzielle als Free-to-Use-Plattformen genutzt worden seien.

Abbildung 4

Abbildung 4: Gleichzeitige Nutzung mehrerer Plattformen

Abbildung 5

Abbildung 5: Nutzungshäufigkeiten der Plattformfunktionen

Gleichzeitige Nutzung mehrerer Plattformen ist nicht selten. In Bezug auf die Art und Weise der Nutzung von Threat-Intelligence-Sharing-Platforms interessierte uns zunächst, ob in den jeweiligen Unternehmen, Behörden und Universitäten nur eine oder mehrere Lösungen gleichzeitig genutzt werden. Wir vermuteten, dass die gleichzeitige Nutzung mehrerer Lösungen eher selten ist. Die in Abbildung 4 dargestellten Untersuchungsergebnisse stützen diese Hypothese jedoch nicht.

Mit 43,2 % setzt fast die Hälfte der Organisationen, die Threat-Intelligence-Sharing-Platforms nutzen, mehrere Lösungen gleichzeitig ein. Typischerweise sind es in diesen Fällen dann zwei Plattformen, die parallel genutzt werden. Eine Organisation gab an, drei Plattformen zu nutzen, und zwei Organisationen nutzen sogar vier Plattformen gleichzeitig. Eine detailliertere Analyse der Antworten dazu ergab darüber hinaus, dass beim Mehrfacheinsatz die Kombination von Free-to-Use- mit kommerziellen Plattformen sehr beliebt ist.

Unterschiedliche Nutzungshäufigkeit verschiedener Plattformfunktionen. Eine weitere interessante Frage ist, wie häufig Organisationen die Plattformen nutzen oder noch genauer: wie oft welche Funktionen der Plattformen genutzt werden. Basierend auf dem sogenannten Intelligence-Cycle (siehe etwa [5]) unterscheiden wir fünf Funktionsgruppen, die von Threat-Intelligence-Sharing-Platforms angeboten werden: Funktionen zum Sammeln, zum Vorverarbeiten, zur Analyse, zum Austausch und zum Bewerten von Threat-Intelligence (TI). Wir erwarteten im Hinblick auf deren Nutzung größere Unterschiede und vermuteten, dass die Funktionen zum Sammeln, Vorverarbeiten und zur Analyse häufiger und die Funktionen zum Austausch und Bewerten eher seltener genutzt werden.

Abbildung 5 zeigt, welche Plattformfunktionen die befragten Organisationen regelmäßiger und welche sie unregelmäßiger genutzt haben. Erkennbar ist, dass die Funktionen zum Sammeln, zum Vorverarbeiten, zur Analyse und zum Austauschen eher regelmäßig genutzt werden. Im Vergleich dazu setzen die Organisationen nur die Funktionen zum Bewerten deutlich unregelmäßiger oder überhaupt nicht ein. Das spricht nicht für unsere Hypothese.

Betrachtet man die einzelnen Anteile der Balken im Detail, ergeben sich weitere Unterschiede bei den Nutzungshäufigkeiten: Die hellen Anteile der Balken dokumentieren die tägliche und damit die häufigste Nutzung der jeweiligen Funktionen. Die diesbezüglichen Untersuchungsergebnisse offenbaren, dass im Vergleich zu allen anderen Funktionen das Sammeln (59,5 %) und Vorverarbeiten (45,9 %) deutlich häufiger genutzt werden.
Für die Funktionen zum Analysieren und Austauschen gab nur in etwa ein Drittel der Organisationen eine tägliche Nutzung an.

Haupt-Einsatzgebiete der Plattformen

Neben der Intensität der Nutzung von Threat-Intelligence-Sharing-Platforms und -Funktionen erfasste die Studie auch, wofür beziehungsweise zur Unterstützung welcher Aufgabenbereiche des Sicherheitsmanagements diese in den Organisationen genutzt werden. In anderen Untersuchungen wird oft Incident-Management als das zentrale Einsatzgebiet beschrieben. Da sich das mit unseren Erfahrungen deckte, vermuteten wir das ebenfalls und stellten die Hypothese auf, dass die Plattformen am häufigsten zur Unterstützung im Incident-Management zum Einsatz kommen.

Abbildung 6 fasst die Antworten der Befragungsteilnehmer:innen auf die Frage zusammen, welche Aufgabenbereiche in ihrer Organisation durch die Plattformen unterstützt werden. Bereiche, die nur einmal genannt wurden, sind erneut aus Gründen der Übersichtlichkeit entfallen. Die Ergebnisse sprechen für unsere Hypothese: Neben dem Threat-Hunting und der Malware-Analyse wurde Incident-Management auch in den von uns befragten Organisationen am häufigsten genannt und zählt damit zu den Top-3-Einsatzgebieten.

Fazit und Ausblick

Die vorliegende Studie liefert einen ersten Status quo zur Nutzung von Threat-Intelligence-Sharing-Platforms in Deutschland, Österreich und der Schweiz. Es wurden detaillierte Erkenntnisse zur Verbreitung der Plattformen in Unternehmen, Bundesbehörden und Universitäten ermittelt sowie ergründet, wie genau und wofür diese in den Organisationen genutzt werden. Wesentliche Ergebnisse sind:

  • Threat-Intelligence-Sharing-Platforms sind in der Praxis etabliert und ihre Verbreitung wird in den kommenden Jahren weiter zunehmen.
  • Der Einsatz der Plattformen ist in Unternehmen am weitesten verbreitet. Behörden und Universitäten wollen aber in den nächsten Jahren aufholen.
  • Die Malware Information Sharing Platform (MISP) ist die in der erfassten Stichprobe am häufigsten eingesetzte Plattform – kommerzielle Plattformen sind im Vergleich zu Free-to-Use-/Open-Source-Plattformen noch nicht so weit verbreitet.
  • Fast die Hälfte der Organisationen, die Threat-Intelligence-Sharing-Platforms nutzen, setzen mehrere Plattformen gleichzeitig ein – dabei ist die Kombination von Free-to-Use- mit kommerziellen Plattformen beliebt.
  • Die Plattformen werden nicht nur zur Sammlung, Vorverarbeitung und Analyse von Threat-Intelligence regelmäßig genutzt, sondern auch zum Austausch von Threat-Intelligence – ein Bewerten von Threat-Intelligence findet aktuell auf den Plattformen jedoch eher unregelmäßig oder überhaupt nicht statt.
  • Die Haupteinsatzgebiete von Threat-Intelligence-Sharing-Platforms sind Incident-Management, Threat-Hunting und Malware-Analyse.

(Selbst-)Kritisch sei auf folgende Dinge hingewiesen: Die untersuchte Stichprobe wurde nicht zufällig ausgewählt. Die Ergebnisse haben demzufolge vorwiegend explorativen Charakter und sind nicht als allgemeingültige Aussagen zu verstehen. Des Weiteren gilt es zu berücksichtigen, dass nur große Organisationen befragt wurden und somit die Erkenntnisse auch nur auf diese beschränkt sind.

Geplant sind weitere vergleichbare Studien mit größeren, idealerweise zufälligen Stichproben. Regelmäßige Wiederholungen würden es im Übrigen ermöglichen, Veränderungen und Trends in Bezug auf die Nutzung von Threat-Intelligence-Sharing-Platforms zu ermitteln. Aktuell wird auch eine internationale Ausweitung der Studie vorbereitet, die vergleichende länder- beziehungsweise regionenspezifische Aussagen zur Nutzung der Plattformen ermöglichen soll. Dafür konnten bereits weitere Partner, darunter beispielsweise internationale Interessengruppen zur Informations-Sicherheit, als Unterstützer gewonnen werden.

Dr. Daniel Fischer (daniel.fischer@tu-ilmenau.de) forscht und lehrt am Institut für Wirtschaftsinformatik der TU Ilmenau, insbesondere auf den Gebieten Informations- und Sicherheitsmanagement. Martin Werchan, M. Sc. (martin.werchan@tu-ilmenau.de) ist Wirtschaftsinformatikabsolvent der TU Ilmenau. Clemens Sauerwein, PhD (clemens.sauerwein@uibk.ac.at) ist Assistenz-Professor für Security-Engineering am Institut für Informatik der Universität Innsbruck.

Literatur

[1] NTT Security Holdings, 2022 Global Threat-Intelligence Report, Juni 2022, www.security.ntt/pdf/2022-global-threat-intelligence-report-v8.pdf
[2] Christopher Johnson, Mark Badger, David Waltermire, Julie Snyder, Clem Skorupka, Guide to cyber threat information sharing, NIST Special Publication 800-150, Oktober 2016, https://doi.org/10.6028/NIST.SP.800-150
[3] Deutsches Institut für Normung e. V. (DIN), Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre Informationssicherheitsmaßnahmen, ISO/IEC27002:2022-02, Februar 2022, www.beuth.de/de/norm/iso-iec-27002/352094880 (kostenpflichtig)
[4] Luc Dandurand, Oscar S. Serrano, Towards Improved Cyber Security Information Sharing, in: 5th International Conference on Cyber Conflict (CyCon 2013), Proceedings, NATO CCD COE Publications, Juni 2013, ISBN 978-9949-9211-4-0, für best. Zwecke online verfügbar via www.researchgate.net/publication/261449535_Towards_improved_cyber_security_information_sharing
[5] Clemens Sauerwein, Daniel Fischer, Milena Rubsamen, Guido Rosenberger, Dirk Stelzer, Ruth Breu, From Threat Data to Actionable Intelligence: An Exploratory Analysis of the Intelligence Cycle Implementation in Cyber Threat-Intelligence-Sharing-Platforms, in: ARES 21: Proceedings of the 16th International Conference on Availability, Reliability and Security, August 2021, ACM, ISBN 978-1-4503-9051-4, https://dl.acm.org/doi/10.1145/3465481.3470048 (kostenpflichtig)
[6] Clemens Sauerwein, Christian Sillaber, Andrea Mussmann, Ruth Breu, Threat-Intelligence-Sharing-Platforms: An Exploratory Study of Software Vendors and Research Perspectives, in: Tagungsband 13. Internationale Tagung Wirtschaftsinformatik St. Gallen, Februar 2017, S. 837, online auf www.wi2017.ch/images/wi2017-0188.pdf
[7] Sara Bauer, Daniel Fischer, Clemens Sauerwein, Simon Latzel, Dirk Stelzer, Ruth Breu, Towards an Evaluation Framework for Threat-Intelligence-Sharing-Platforms, in: Proceedings of the 53rd Hawaii International Conference on System Sciences, Januar 2020, S. 1947, online auf https://core.ac.uk/download/pdf/286030297.pdf
[8] Rebekah Brown, Pasquale Stirparo, SANS 2022 Cyber Threat-Intelligence Survey, SANS Whitepapter, Februar 2023, www.sans.org/white-papers/sans-2022-cyber-threat-intelligence-survey (Registrierung und Werbeeinwilligung erforderlich)
[9] Ponemon Institute, Fourth Annual Study on Exchanging Cyber Threat-Intelligence: There Has to Be a Better Way, Infoblox Whitepaper, Mai 2021, https://info.infoblox.com/resources-whitepapers-ponemon-fourthannual-study-on-exchanging-cyber-threat-intelligence (Registrierung und Werbeeinwilligung erforderlich)

Diesen Beitrag teilen: