Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Artikel „Die neue ISO/IEC 27002“ vom 13.04.2022 in diesem Blog dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden.

Das erste der neuen Controls, „5.7 Threat intelligence“, befasst sich mit der zielgerichteten Sammlung, Analyse und Auswertung von detaillierten Informationen zu spezifischen Bedrohungen für die Informationssicherheit. Das „Wissen über Bedrohungen“ soll Unternehmen und Organisationen helfen, sich besser vor Angriffen zu schützen und dafür bedarf es einer systematischen Herangehensweise zur Produktion von „intelligence“.

Inhalt der Maßnahme

Die neue Maßnahme „Threat intelligence“ beschreibt die Sammlung von Informationen zu Gefährdungen, deren Analyse und die daraus folgende Produktion von „intelligence“. Sinn der Maßnahme ist es, sich der Bedrohungssituation bewusst zu sein und davon abgeleitet angemessene Schritte zur Behandlung Gefährdungen umzusetzen.

Wenn man nach „Threat intelligence“ sucht, findet man als Übersetzung „Wissen über Bedrohungen“. Der Unterschied von bloßem Wissen („knowledge“) hin zur Erkenntnis („intelligence“) liegt aber darin, dass die Gewinnung letzterer einen Erkenntnisprozess beinhaltet, der einen in die Lage versetzt, das erworbene Wissen in einer Transferleistung auf eine ähnliche Situation anzuwenden und darauf basierend angemessene Handlungen abzuleiten. Es kann mit Spannung erwartet werden, wie der Begriff „intelligence“ ins Deutsche übersetzt werden wird – „Einsicht“ oder „Erkenntnis“ sind mögliche Kandidaten.

Bereits aus der Beschreibung der Maßnahme ergeben sich drei Handlungsschritte, die in Zukunft im Kontext eines Informationssicherheits-Managementsystems (ISMS) zu regeln und durchzuführen sein werden:

  1. Sammlung von Informationen;
  2. Analyse von Informationen;
  3. Produktion von Erkenntnis.

Die Ableitung von Handlungen ist nicht ausdrücklich in der Formulierung der Maßnahme selbst enthalten, allerdings sollten die gewonnenen Erkenntnisse in die Risikoanalyse und den kontinuierlichen Verbesserungsprozess einfließen, sodass auch die Umsetzung von abgeleiteten Maßnahmen im ISMS insgesamt berücksichtigt ist.

Umsetzung der Maßnahme

Zur Strukturierung der Erkenntnisse können diese in die Ebenen „strategisch“, „taktisch“ und „operativ“ kategorisiert werden. Strategische Erkenntnisse sind auf einem hohen Abstraktionsniveau, die Bewusstsein über die „Gesamtsituation“ vermitteln. Ein aktuelles Beispiel wäre die Berücksichtigung der Ereignisse der Ukrainekrise. Taktische Erkenntnisse sind bspw.  Informationen bezüglich konkreter Angriffsmethoden und Werkzeugen, im vorgenannten Beispiel die Feststellung, dass bestimmte Malware-Toolkits in Erscheinung getreten sind, die bestimmte Schwachstellen von Produktionstechnologie angreifen. Operative Erkenntnisse sind dann Ergebnisse, welche Schwachstellen angegriffen werden, wie man die Angriffe erkennt und sich dagegen schützen kann, z. B. durch Berücksichtigung situationsspezifischer „Indicators of Compromise“ (IoCs).

Dabei muss sichergestellt sein, dass die gesammelten Erkenntnisse auch relevant für die eigenen Anforderungen sind: Angriffe auf eine bekannte Schwachstelle in einem spezifischen Gerät der Produktionstechnologie eines bestimmten Herstellers sind nicht relevant, wenn dessen Technologie nicht verwendet wird und die angegriffene Schwachstelle nicht in herstellerübergreifenden Standard-Komponenten liegt.

Schwieriger zu berücksichtigen ist hingegen, dass die Kenntnis auch Erkenntnis erbringen muss: Es müssen so viele konkrete und detaillierte Informationen gesammelt werden, dass sie auch verwertbar sind und daraus konkrete Schritte abgeleitet werden können. Diese Forderung wird durch Massenmedien selten bedient und bedarf der Nutzung hinreichend fachspezifischer Quellen.

Weiterhin sollte jede einzelne gesammelte Information in den zeitlichen und räumlichen Kontext anderer, auch vorangegangener, Ereignisse gestellt werden. So können bspw. branchenspezifische Risiken als solche identifiziert werden und höhere oder geringere Relevanz haben, abhängig von der eigenen Geschäftstätigkeit in Bezug auf diese Branche.

Abschließend sollen die gesammelten Informationen auch in Handlungsschritten verwertbar sein und die Umsetzung angemessener technischer oder organisatorischer Maßnahmen ermöglichen.

Aus diesen Anforderungen ergibt sich eine empfohlene Prozesskette: Zuerst sollen Ziele definiert werden, die mit der Erzeugung von „Threat intelligence“ erreicht werden sollen, geeignete Quellen müssen ausgewählt werden, die Informationen sind sodann zu sammeln und geeignet zusammenzuführen, um sie auszuwerten und für die Organisation nutzbar zu machen. Diese werden dann analysiert und anschließend für die Behandlung von Risiken, als weitere Indikatoren für den Schutz der Infrastruktur und zum Test des Umgangs mit Informationssicherheitslücken verwendet. Weiterhin sollten die Informationen Dritten zur Verfügung gestellt werden, idealerweise auf Gegenseitigkeit, um so insgesamt die Erkenntnisse zu erweitern.

Zusammengefasst: Organisationen können die Erkenntnisse über Bedrohungen nutzen, um diese frühzeitig aufzudecken, darauf zu reagieren und deren negative Auswirkungen zu verhindern oder abzumildern. Organisationen können solche Erkenntnisse selbst generieren, werden aber erfahrungsgemäß vor allem extern bereitgestellte Erkenntnisse konsumieren. Als öffentliche Quellen bieten sich dafür der Warn- und Informationsdienst des CERT-Bundes ebenso an wie die Cyber-Sicherheitswarnungen der Allianz für Cybersicherheit. Weitere Informationsquellen wären auch die Landesämter für Verfassungsschutz sowie Branchenverbände.

Die gewonnenen Erkenntnisse haben insbesondere Relevanz für die Umsetzung weiterer Prozesse zur Informationssicherheit und Erfüllung von Referenzmaßnahmen der ISO27002:2022.

Insbesondere zu nennen sind dabei:

  • 5.25 „Assessment and decision on information security events“,
  • 8.7 „Protection against malware“,
  • 8.8 „Management of technical vulnerabilities“,
  • 8.16 „Monitoring activities“ und
  • 8.23 „Web filtering“.

Fazit

Die neu eingeführte Maßnahme „5.7 Threat intelligence“ ist eine interessante Bereicherung der Behandlung von Informationssicherheit. Sie motiviert, auch „über den Tellerrand“ zu schauen, sich der allgemeinen Bedrohungslage bewusst zu werden und diese auf die eigene Situation anzuwenden. So können wertvolle neue Erkenntnisse gewonnen und zum Schutz der eigenen Informationswerte eingesetzt werden, derer man ohne diese Betrachtung nicht gewahr geworden wäre. In diesem Sinne unterstützt sie auch die Anforderung aus Kapitel 4.1 der ISO/IEC 27001, den Kontext der Organisation zu verstehen.