Threat Hunting und Threat Intelligence sind Begriffe, die Brandon Hoffman im Gespräch immer wieder verwendet. Sie sind auch zentral im Angebot von Intel 471. Das US-Unternehmen will mit seiner Plattform Unternehmen und Behörden helfen, Informationen über Gegner, Malware und Schwachstellen zu erhalten. So sollen diese Gefahren durch Cyberangriffe frühzeitig erkennen und minimieren können. Hoffman selbst beschäftigt sich seit über zwanzig Jahren mit Cybersecurity. Nach Stationen als CTO und CISO bei verschiedenen Firmen arbeitet er seit 2021 als Chief Strategy Officer für Intel 471.

Im Zusammenhang mit Ransomware ist die doppelte Erpressung nicht wirklich neu, aber sie hat zuletzt weiter zugenommen. Bei Malware sehen wir eine Zunahme von Access- und Infostealern. Das ist das einfachste Einfallstor, um an Zugangsdaten zu gelangen und diese für die nächste Angriffsebene zu verwenden – noch einfacher als Social Engineering. Grundsätzlich hat sich aber das Arsenal der Cyberkriminellen nicht stark verändert. Sie setzen auf Exploits, Initial Access Brokers, Ransomware etc.

Die wichtigsten Erkenntnisse auf der defensiven Seite sind, dass Threat Hunting an Bedeutung gewinnt. Also eine Erweiterung der Bedrohungserkennung, die sich stärker auf Verhalten und Orchestrierung konzentriert und so eine frühere Erkennung von Bedrohungen ermöglicht. Wenn man seine Systeme ständig nach Indikatoren durchsucht und die Verhaltensweisen der Gegner versteht, hat man die Möglichkeit, proaktiver zu werden und Defizite früher zu erkennen, bevor sie zu einem echten Problem werden.

Betrachtet man eine Angriffskette bei Ransomware, so gibt es vor deren Einsatz immer ein bestimmtes Verhalten, das früh in der Angriffskette die Möglichkeit bietet, sie zu stoppen. Man kann sie jedoch nicht einfach durch eine IP-Adresse, einen Hash oder vielleicht nur durch die Betrachtung eines bestimmten Dateityps stoppen. Die Kette dieser Verhaltensweisen von Angreifern weist zusammengenommen auf Gefahren hin. Daher ist die verhaltensbasierte Bedrohungssuche und die Automatisierung einiger dieser Prozesse eine positive Veränderung. Soll ich den Begriff KI erwähnen? (lacht)

Ich denke, das Gute an KI ist, dass der grosse Hype vielleicht vorbei ist und die Leute jetzt sagen: Okay, es ist nur ein weiteres Werkzeug. Wir brauchen weiterhin den Menschen. Aber herauszufinden, wie KI Dinge wie Alarmmüdigkeit automatisieren und Störgeräusche reduzieren kann, sodass sich die Verteidiger tatsächlich auf ein echtes Signal mit echten Problemen konzentrieren können, wird kurzfristig der eigentliche Vorteil von KI sein.

Dabei profitieren wir von der Fähigkeit der KI, Daten zu korrelieren, um ein besseres Bild zu zeichnen. Je besser ein System diese Informationen zuverlässig kuratieren kann, desto besser ist das für die Verteidiger.

Stimmt, wir sammeln schon lange all diese Protokolldaten. Aber haben wir wirklich alle und die richtigen Protokolle? Sind sie am richtigen Ort? Ich denke, eine solche Verbesserung hängt zum Teil mit KI zusammen, aber auch mit Threat Hunting und Continuous Threat Exposure Management. Das heisst: Ist die nötige Observability gegeben? Observability-Pipelines, Threat Hunting, CTEM und KI liefern nicht nur ein besseres, sondern auch ein aus Verteidigungssicht richtiges Bild, da die Ressourcen begrenzt sind. Mit den richtigen Leuten und den richtigen Tools kann man nur begrenzt in Cybersicherheit investieren. Die richtigen Informationen zur richtigen Zeit zu haben, ist daher der entscheidende Faktor.

Ehrlich gesagt, meine Arbeit – ich sollte das wahrscheinlich nicht zugeben – hat sich nicht so sehr verändert. Ich denke, die Cybersicherheit steht, wie jede andere Branche auch, vor ähnlichen Herausforderungen. Mangelnde Ressourcen und mangelnde Aufmerksamkeit seitens der Unternehmen sind immer ein Problem. Aufgrund der Art und Weise, wie Menschen Technologie nutzen, werden grundlegende Sicherheitsrisiken immer bestehen bleiben. Das Bewusstsein dafür ist zwar besser geworden, aber noch nicht hundertprozentig.

Nicht mehr viel. Denn mittlerweile haben wir die Daten und die Fähigkeit, die Bedrohungslandschaft effizienter und besser zu verstehen. Zudem hat sich auch das Interesse der Unternehmen, diese Bedrohungen mit den tatsächlichen Risiken abzugleichen – geschäftlichen Risiken, nicht nur technischen Risiken – stark weiterentwickelt. Das spricht für den Aufstieg des CISOs. Denn ursprünglich war der CISO eigentlich nur ein Risiko- oder Technikexperte. Heute sitzt er am Tisch der Geschäftsleitung, weil die Abstimmung von Risiken, Sicherheit und tatsächlichen Geschäftsproblemen immer wichtiger wird.

Einige wichtige Änderungen betreffen die Bedrohungsaufklärung, unser Kerngeschäft. Lange Zeit konzentrierte sich jeder nur auf technische Bedrohungsaufklärung, was nicht unbedingt unser Schwerpunkt ist. Wir konzentrieren uns stärker auf operative und strategische Bedrohungsinformationen.

Das Wichtigste ist, die Situation aus der Perspektive eines Angreifers zu betrachten und die eigene Gefährdung mit den Möglichkeiten des Gegners zu kontextualisieren. Deshalb haben wir uns in den letzten zwei Jahren intensiv darauf fokussiert, Bedrohungsinformationen in einem Unternehmen zu operationalisieren: in den technischen Bereichen, im SOC, in den Purple Teams, im Schwachstellenmanagement, aber auch im Unternehmen insgesamt. Wenn man weiss, wie gefährdet das eigene Unternehmen ist, und welche Angreifer diese Schwachstellen ausnutzen können, kennt man auch die Techniken dieser Angreifer. Dann können Sie in Ihren Systemen danach suchen, proaktiv handeln und sagen: "Hier fehlen die Kontrollen oder hier muss ich Verbesserungen vornehmen."

Die National Vulnerability Database NVD von Nist oder die CVE-Datenbank von Mitre sind von entscheidender Bedeutung. Denn eine der Herausforderungen in der Cybersicherheit ist die Standardisierung und die programmatische Umsetzung, also die Schaffung eines Rahmens. Genau wie in anderen Bereichen der Sicherheit führt das Fehlen eines solchen Rahmens für gemeinsame Diskussionen und eine gemeinsame Problembewertung zu Chaos und Verwirrung. Es braucht einen zentralen Ort, an dem alles aufgezeichnet wird und den die User als Archiv nutzen können.

Sollten die NVD oder die CVE-Datenbank tatsächlich verschwinden, muss etwas anderes geschaffen werden. Schwachstellen sind ein universelles Problem. Man bräuchte deshalb fast so etwas wie eine Nato. Ein internationales Regierungsorgan, das die Leitung übernimmt, denn eine CVE-Datenbank wird nie allumfassend sein, wenn sie nur Europa oder nur Amerika betrifft.

Wir wollen neue Kunden gewinnen. Die Schweiz ist ein attraktiver Markt für uns, denn hier gibt es sehr grosse, etablierte Organisationen, die Vermögenswerte haben, die sie schützen wollen. Soweit wir Kunden dabei unterstützen können, ihre Risiken zu reduzieren, wollen wir das tun.

Bei Ransomware hat unser Threat Team bis Ende April insgesamt 23 Schweizer Opfer festgestellt, mit der Industrie und dem Dienstleistungssektor als Meistbetroffene. Bei der gesamten Zahl der Cyberangriffe teilten sich im ersten Quartal 2025 der Klein- und Grosshandel mit jeweils 28% den ersten Platz. Die restliche Zahl der Attacken und böswilligen Systemzugriffe verteilt sich auf Industrieprodukte, Telekommunikation, Energie und Versorgung, Maschinenbau und Bauwesen sowie den öffentlichen Sektor. Zudem haben wir einen geopolitischen Anstieg des Hacktivismus in der Region beobachtet, auch wenn dieser nicht speziell auf die Schweiz bezogen ist.