Risikomanagement in einer digitalen Welt mit „Cyber Threat Intelligence

Next Article

Köpfe & Karriere

Unternehmen sind heute in allen Geschäftsprozessen stark von Digitalisierung und IT-Systemen geprägt. Maßnahmen zur Identifi kation und Behandlung neuartiger Cyberbedrohungen sind daher unerlässlich. Klassische Prüfansätze wie Audits, Schwerpunktprüfungen oder Wirtschaftsprüfung sollten um Fähigkeiten zur Erkennung von Cyberrisiken ergänzt werden. Der Artikel beschreibt das dafür geeignete Konzept „Risikoidentifi kation und -beschreibung mit Cyber Threat Intelligence“.

Von Philipp Mattes-Draxler | Marcell Nedelko

Cyber Threat Intelligence (CTI) – Versuch einer Defi nition

Der Begriff „Cyber“ steht im gegenständlichen Fall für die Beschreibung des Phänomens,

dass unsere wirtschaftlichen, sozialen und politischen (Interaktions-)Prozesse durch kom

plexe und hochvolatile Informationsinfrastruktur unterstützt bzw teilweise sogar gestaltet

werden.

In Anlehnung an den Grundschutzkatalog des deutschen Bundesamts für Sicherheit in der

Informationstechnik wird unter einer „Bedrohung“ ganz allgemein ein Umstand verstan

den, durch den ein Schaden entstehen kann. 1 Im Sinne der Informationstechnik ist eine

Bedrohung daher ein Umstand, der die Verfügbarkeit, Vertraulichkeit oder Integrität von

Informationen beeinträchtigen und somit dem Besitzer bzw Benutzer der Informationen

ein Schaden entstehen kann.

Der strukturierte Prozess zur Erstellung von relevanter, verwertbarer und nützlicher Infor

mation für einen Empfänger kann allgemein als „Intelligence“ bezeichnet werden.

Eine Defi nition von CTI muss daher diesen Punkt aufnehmen. Eine diesem Anspruch gerecht

werdende Festlegung des Begriffs CTI stammt vom IT-Marktforschungsunternehmen Gart

ner, das CTI folgendermaßen defi niert: „Evidence-based knowledge, including context,

mechanisms, indicators, implications and actionable advice about an existing or emerging

menace or hazard to assets that can be used to inform decisions regarding the subject’s

response to that menace or hazard“. 2

Risikomanagement ist ohne die Fähigkeit, Risiken überhaupt zu erkennen und zu beschreiben, nicht möglich. Auch Audits und Schwerpunktprüfungen können nur prüfen, was bekannt ist und als relevantes Prüfobjekt defi niert wurde.

In der Folge wird dargestellt, wie dieser Herausforderung in vielen Bereichen mit Cyber Threat Intelligence (CTI) begegnet werden kann. CTI kann helfen, Risiken aus dem digitalen Geschäftsleben strukturiert zu identifizieren und zu beschreiben und somit Grundlagen für effektive Prüfmaßnahmen schaffen. Am Beispiel von Cyberbedrohungen wird dargestellt, wie CTI Prüfprozesse unterstützen und Orientierung im Setzen von richtigen Maßnahmen geben kann.

Mit der zunehmenden digitalen Verfl echtung von Geschäftsprozessen und sozialen Interaktionen begegnen Unternehmen und Organisationen heute nicht nur einer Vielzahl von Risiken, sondern bestehende Schwachstellen bleiben sogar unbeachtet. Vielfältige Geschäftsfelder, die von verschiedenen Branchen abgedeckt werden, verbunden mit dem Bestreben, innovative Lösungen für ihre Kunden in der digitalen Welt anzubieten, bieten nun eine größere Angriffsfl äche. Die Heterogenität und Geschwindigkeit in der digitalen Welt machen die Vorhersehbarkeit von Risiken zunehmend schwieriger. Prognosen sind jedoch wichtig, um Maßnahmen zur Eindämmung von Risiken oder zur Abschwächung des Schadenspotenzials setzen zu können. Daher haben sich ua ComplianceProgramme, Risikomanagement und das „Three Lines of Defence“-Modell zur strukturierten und systematischen Behandlung von Risiken als erfolgsversprechende und effektive Methoden etabliert. Audits, Schwerpunktprüfungen, Wirtschaftsprüfung etc verfolgen in diesem Kontext alle dasselbe Ziel, sie versuchen Abweichungen von der (Norm-)Konformität zu erkennen und somit einen nachhaltigen Geschäftsbetrieb zu ermöglichen. Während die Prozesse zur Identifi kation von Missständen gut entwickelt und etabliert sind, fehlt es oftmals an der Fähigkeit, neuartige Risiken, die vielfach noch gar nicht wahrgenommen werden, frühzeitig zu erkennen und darzustellen.

Trends: Cyberangriffe nehmen zu, staatliche Akteure mischen mit

Wenn man das Jahr 2018 genauer analysiert, so war es im Cyberraum von überraschender Dreistigkeit geprägt. Nationalstaaten und Geheimdienste wurden nicht nur zunehmend unverfrorener bei ihren Angriffen auf Informationsinfrastrukuren auf der ganzen Welt, sondern Regierungen riefen auch andere Regierungen zu gemeinsamen Cyberaktivitäten auf. Wir konnten im Verlauf des vergangenen Jahres beobachten, dass Cybersicherheit sowohl im privaten als auch im öffentlichen Sektor immer mehr an Brisanz gewonnen hat. Gleichzeitig war weltweit eine rasante Zunahme der Investitionen in

Cybersicherheitsmaßnahmen zu beobachten.

Das PwC Cyber Threat Intelligence Excellence Centre konnte Trends bei Cyberbeddrohungen aus dem Jahr 2017 auch 2018 wieder beobachten: So blieb auch 2018 das Bedrohungspotenzial von Wahlmanipulationen durch gezielte Informations-Operationen unverändert hoch. Immer mehr an Bedeutung gewinnt das Risiko von Supply Chain Attacks. Hier wird gezielt das schwächste Glied in der (Liefer-)Kette angegriffen, um über die Vertrauensstellung des Dienstleisters auch gut abgesicherte Unternehmen und Organisationen angreifen zu können.

Traditionelle Techniken wie zB PhishingE-Mails blieben auch 2018 die erste Wahl als Infi ltrationsmethode, die sowohl von fi nanziell motivierten Cyberkriminellen als auch von Cyberspionage-Akteuren genutzt wurden. Deutlich spürbarer werden die fi nanziell motivierten Angriffe durch die Einführung von Techniken wie Online

Card Skimming 3 und weiterer höher entwickelter Cyberware. Dazu werden auch altbekannte Botnetze und Banken-Trojaner wiederverwendet.

Das PwC Cyber Threat Intelligence Excellence Centre ist ein Expertenpool von internationalen Malware-Analysten, die unsere Incident-Response-Fieldteams bei der Abwehr von Cyberangriffen unterstützen. Außerdem analysieren sie zielgerichtete Angriffe auf Unternehmen (Advanced-Persistant-Threats) und veröffentlichen diese Beobachtungen sowie Analysen über neue Bedrohungsvektoren und -akteure regelmäßig.

fl uss auf die öffentliche Wahrnehmung und auf die wirtschaftliche Leistung von Unternehmen haben. Das Resümee aus den Beobachtungen für das Jahr 2018 ist ernüchternd: Cyberangriffe nehmen weiterhin deutlich zu.

In der Bedrohungsbetrachtung ist auch die klassische Trennung der verschiedenen Angreifer überholt. Durch die starke Abhänigigkeit von Informationsinfrastrukturen können sowohl technisch sehr ausgereifte Angriffe von staatlichen Akteuren, wie auch Angriffe von opportunistischeren Akteuren, die lediglich ungepatchte Systeme attackieren, weitreichende und verheerende Auswirkungen haben. Es verwundert daher nicht, dass Cyberangriffe die Aufmerksamkeit von Mainstream-Medien immer mehr auf sich ziehen. Sie dominieren Schlagzeilen und unterstreichen die Notwendigkeit eines besseren, breiteren Verständnisses dieser realen Gefahren und noch viel mehr die Notwendigkeit, effektive, proaktive Verteidigungsmaßnahmen zu implementieren.

Neben allen negativen Entwicklungen ist aber auch festzustellen, dass sich die Exekutivbehörden besser auf die neuen Bedrohungen einstellen und durch internationale Zusammenarbeit immer wieder Durchbrüche in der Verfolgung von Cyberkriminellen gelingen.

Wir beobachten, dass sich diese Trends in diesem Jahr fortsetzen. Hoch entwickelte Akteure setzen hochgradig spezialisierte und ausgereifte Techniken ein und verwenden dabei auch vermehrt

Zero Days 4 , um unentdeckt angreifen zu können. Ungebrochen führen PhishingE-Mails die Liste der „beliebtesten“ Eindring- bzw Infi ltrationsmethoden an. Supply Chain Attacks nutzen weiter das Vertrauen zwischen Kunden und Lieferanten aus. Aber die gemeinsamen Anstrengungen von Geheimdiensten, Polizei-Organisationen, dem privaten Sektor und die Zunahme des Austausches von Cyber Threat Intelligence führt auch zu weiteren Anklagen und Takedowns von Cybercrime-Operationen. Zudem wirkt CTI zunehmend mit anderen Disziplinen zusammen und bringt so ein deutlich holistischeres Bild (Cyber Threat Landscape) hervor.

Risikomanagement durch Einbeziehen von Cyber Threat Intelligence in konkrete Prüfaufgaben

Um die dargestellten Bedrohungen richtig adressieren zu können, empfehlen wir, die bewährten Prüfungshandlungen auf CTI-Erkenntnisse anzupassen und gegebenenfalls zu erweitern. Denn CTI liefert eine Cyber Threat Landscape, aus welcher konkrete Bedrohungen abgeleitet und Cyberrisiken in der digitalen Welt systematisch erkannt werden können. Zusätzlich stellt CTI die möglichen bzw erwartbaren Ziele von Akteuren dar, die erforderlich sind, um sich in einer vielfältigen Bedrohungslandschaft auf relevante Bedrohungen für das eigene Unternehmen konzentrieren zu können. Daher sind aus CTIErgebnissen konkrete Prüfmaßnahmen abzuleiten.

Aber auch das Auftreten neuer Bedrohungen konnte beobachtet werden, die das Erkennen deutlich erschweren, zB wenn legitime Tools oder Prozesse ausgenutzt werden.

Obwohl Cybersecurity in den Köpfen der Entscheidungsträger immer präsenter ist, steigt der Umfang und die Häufi gkeit der veröffentlichten bzw bekanntgewordenen Data Breaches Jahr für Jahr erschreckend an. Viele Organisationen und Unternehmen reagieren auf die Vielfältigkeit der Cyberbedrohungen orientierungslos. Erschwerend kommt hinzu, dass die Auswirkungen einer Cyberattacke einen enormen Ein

:KROH IIIIIIIIIIII OHDGHUVKLS 3UINDWDORJ

3UINDWDORJ $XVGHP&\EHU7KUHDW/DQGVFDSHZHUGHQNRQNUHWH%HGURKXQJHQDEJHOHLWHW DXVGHQHQZLHGHUXPHLQ3UINDWDORJIHVWJHOHJWZLUGPLWGHVVHQ+LOIH JHSUIWZLUGRE0D‰QDKPHQJHJHQGLH%HGURKXQJHQLPSOHPHQWLHUWVLQG 3KLVKLQJ(0DLOVXQG6XSSO\&KDLQ$WWDFNV 8QJHEURFKHQZHUGHQ3KLVKLQJ(0DLOVGLH/LVWHGHUÄEHOLHEWHVWHQ³ ,QILOWUDWLRQVPHWKRGHDQIKUHQXQG6XSSO\&KDLQ$WWDFNVZHUGHQGDV 9HUWUDXHQ]ZLVFKHQ.XQGHQXQG/LHIHUDQWHQDXVQXW]HQ

$XIUXI]X&\EHUDNWLYLWlWHQ ULHIHQ5HJLHUXQJHQ]X&\EHUDNWLYLWlWHQDXIXQGGLVNUHGLWLHUWHQ |IIHQWOLFK.ULPLQHOOH6SLRQDJHXQG6DERWDJHDNWHXUH'LHVNDQQVRZRKO SRVLWLYHZLHDXFKQHJDWLYH(IIHNWHQDFKVLFK]LHKHQ +RFKHQWZLFNHOWH0HWKRGHQLQNO=HUR'D\VXQG$QVWLHJ&\EHUFULPH +RFKHQWZLFNHOWH$NWHXUHZHUGHQPHKUKRFKJUDGLJVSH]LDOLVLHUWHXQG DXVJHUHLIWH7HFKQLNHQ=HUR'D\VLQNOXGLHUWIULKUH2SHUDWLRQHQHLQVHW]HQ

0DQLSXODWLRQYRQ:DKOHQGXUFKJH]LHOWH,QIRUPDWLRQV2SHUDWLRQV 'DV%HGURKXQJVSRWHQ]LDOGDVV:DKOHQGXUFK,QIRUPDWLRQV2SHUDWLRQV PDQLSXOLHUWZHUGHQEOHLEWXQYHUlQGHUWKRFK,QIRUPDWLRQV2SHUDWLRQV]XU SRVLWLYHQRGHUQHJDWLYHQ0HLQXQJVELOGXQJN|QQHQDEHUMHGHQWUHIIHQ

Abbildung 1: CTI unterstützt die Erstellung des Prüfkatalogs. © PwC Österreich GmbH

Beispiele zum Anpassen von Prüf- und Audittätigkeiten in Bezug auf aktuelle Bedrohungen

Nachfolgend werden rund um die beobachteten Trends der Cyberbedrohungen Schlussfolgerungen für Prüfhandlungen getroffen und exemplarische Prüfungshandlungen aufgezählt. Die Liste der Prüfobjekte sollte aber je nach konkreter Bedrohungslage erweitert bzw reduziert, konkretisiert und spezifi ziert werden. Das gilt auch für das Prüfprogramm. Möglicherweise existieren schon ausreichend Prüfungshandlungen und CTI wird lediglich als Indikator verwendet, um die Schwerpunkte im Prüfungszyklus anzupassen.

Phishing-E-Mails

Die bei Angreifern beliebteste und immer noch erfolgversprechendste Angriffsmethode sind Phishing-E-Mails bzw deren zielgerichtete Variante „Spear-PhishingE-Mails“. Daher sollten Unternehmen bzw Organisationen für die Nutzung von E-Mails adäquate technische und organisatorische Maßnahmen implementieren, um dieser Bedrohung zu begegnen. Prüfungshandlungen können beinhalten:  ob technische Schutzmaßnahmen vorhanden sind,  wie mit Passwörtern umgegangen wird,  ob die Mitarbeiter regelmäßig durch geeignete Awareness-Trainings geschult werden,  ob Abläufe und Prozesse implementiert sind (und auch gelebt werden), die präventive und auch reaktive Maßnahmen bei Phishing-Vorfällen im Unternehmen vorschreiben etc. Unabhängig vom Umfang der Prüfobjekte ist in jedem Fall zu validieren, ob das Risiko einer Infektion mittels PhishingE-Mails nachhaltig behandelt wird oder nicht.

Supply Chain Attacks

Etwas komplexer gestalten sich Prüfungen hinsichtlich Supply Chain Attacks. Nichtsdestotrotz sind gerade diese unerlässlich, da das Vertrauensverhältnis zwischen Kunden und Lieferanten angegriffen wird, das aber von hoher wirtschaftlicher Bedeutung und für funktionierende Geschäftsprozesse relevant ist. Überprüfungen hinsichtlich Supply Chain Attacks beinhalten:  die Prüfung von Lieferanten-Listen und Dienstleister-Audits (Wer liefert was für wen? Wie oft? Wer sind die Ansprechpartner? In welchem Reifegrad hat der Dienstleister Sicherheitsmaßnahmen implementiert?),  das Einsehen von technischer bzw

Prozess-Dokumentation (Wie wird mit Dienstleistern und Lieferanten kommuniziert? Wie werden Informationen ausgetauscht? Wie werden

Rechnungen zugestellt? etc),  wie werden offene Forderungen plausibilisiert und Zahlungen freigegeben,  Prüfungshandlungen, ob die Kommunikation zu Lieferanten automatisiert gemonitored wird, um Abweichungen und Änderungen im Kommunikationsverhalten rasch identifi zieren und eingreifen zu können. Komplexe Szenarien wie Supply Chain Attacks verlangen einen sich selbst verbessernden Prüfungsansatz, mit dem die Verbesserungen des Reifegrades berücksichtigt werden können. Entscheidend ist es, das Risikopotenzial von Angriffen über die Lieferkette und Dienstleister zu erkennen und Maßnahmen zur Vermeidung bzw Verhinderung solcher Angriffe zu setzen.

Aufruf zu Cyberaktivitäten

Dieser seit 2018 beobachtbare Trend wird nicht unmittelbar als Bedrohung wahrgenommen. Allerdings sind die Auswirkungen solcher Aktivitäten nur schwer vorhersehbar und können sowohl zu einem Rückgang von Cyberbedrohungen oder zu einer deutlichen Zunahme führen, was auf Basis derzeitiger Erkenntnisse deutlich wahrscheinlicher zu sein scheint. Denn wenn sich staatliche, aber auch kriminelle, Akteure durch diese Aufrufe zu einer Intensivierung ihrer Aktivitäten ermutigt fühlen, kommt es zu einem Effekt ähnlich der historisch staatlich legitimierten Freibeuterei: Eine Vielzahl an Akteuren richtet große (finanziell motivierte) Schäden an, kann dafür jedoch nicht strafrechtlich verfolgt werden. Es werden nicht nur staatliche Organisationen Ziel dieser Angriffe, sondern auch andere im angegriffenen Land vorhandenen Ziele. Daher ist diese Bedrohung beinahe für jeden relevant, aber besonders für internationale Unternehmen, die in geopolitisch riskanten oder konkurrierenden Ländern ope - rieren.

Die zu prüfenden Maßnahmen sind hauptsächlich Vorkehrungen im Bereich der klassischen Informations- und ITSicherheit sowie -Resilienz, aber natürlich auch im Bereich Risikomanagement angesiedelt. Es gilt jedenfalls, durch geeignete Maßnahmen festzustellen, ob Akteure aus erkannten Regionen als Bedrohung identifi ziert werden und CybersecurityMaßnahmen bedrohungsorientiert gesetzt werden.

Hoch entwickelte Angriffe

Die wohl größte Gefahr geht von hoch entwickelten Angriffen aus, die zumeist von staatlichen oder sehr professionellen Akteuren vorgenommen werden. Diese Akteure verfügen über große Ressourcen und entwickeln daher beeindruckende Angriffsfähigkeiten. Sie wählen ihre Ziele sehr sorgfältig aus und sind für weit weniger Unternehmen relevant als etwa die Bedrohung der Cyberkriminalität. Gerade deswegen ist eine genaue Analyse des Risikos erforderlich, um feststellen zu können, ob das eigene Unternehmen als Angriffsziel infrage kommt. Außerdem verbreiten sich, wenn auch zeitlich verzögert, Angriffstools weiter und so gelangen auch sehr hoch entwickelte Angriffsmethoden in die Hände von Akteuren mit geringen Ressourcen und Fähigkeiten. Prüfungen, die sich aus diesem Themenkomplex ableiten lassen, sind hauptsächlich auf die Bedrohungsbewertung und das Risikomanagement ausgerichtet. Zu prüfen sind etwa Maßnahmen zur Identifi kation von Akteuren (deren Fähigkeiten und Ziele) und daraus abgeleitet die Festlegung der eigenen Bedrohungen, um IT-Sicherheitsmaßnahmen bestmöglich setzen zu können.

&\EHU7KUHDW/DQGVFDSH 'LJLWDO)RRWSULQWLQJ

‡ hEHUVLFKWEHU %HGURKXQJHQ ‡ 'HU]HLWLJHXQGVLFK

HQWZLFNHOQGH7UHQGV ‡ %DVLHUWDXI3Z& (UNHQQWQLVVHQXQG RIIHQHQ'DWHQ ‡ ,QIRUPDWLRQHQDXV

GHP,QWHUQHWEHU HLQH3HUVRQ %HGURKXQJHQGHU 5HSXWDWLRQ ‡ 0|JOLFKH $QJULIIVYHNWRUHQ

7KUHDW'DWD

‡ 6LQG(FKW]HLWGDWHQ ]X%HGURKXQJHQ ‡ %HVWHKHQDXV ,QGLNDWRUHQXQG 'HWHNWLRQHQ ‡ *HILOWHUWDXIHLJHQH %HGUIQLVVH

7KUHDW$FWRUV 7RROV7HFKQLTXHVDQG 3URFHGXUHV &\EHU3LFWXUH

‡ )lKLJNHLWHQGHV $NWHXUV ‡ =LHOH0RWLYDWLRQGHV $NWHXUV ‡ (PSIRKOHQH *HJHQPD‰QDKPHQ ‡ 'HU]HLWLJ

YRUNRPPHQGH7RROV 0HWKRGHQXQG 9HUIDKUHQVZHLVHQ ‡ (PSIRKOHQH *HJHQPD‰QDKPHQ ‡ &\EHU/DJHELOG ‡ (UNHQQHQYRQ =XVDPPHQKlQJHQ ‡ 'LHQWDOV (QWVFKHLGXQJV JUXQGODJH

Abbildung 2: Durch CTI können unterschiedliche Informationen mit unterschiedlichem Detailgrad als Erkenntnisse aufbereitet werden. © PwC Österreich GmbH

Informations-Operationen

Die zielgerichtete Manipulation von Wahlen hat bereits mehrfach gezeigt, wie erfolgreich Informations-Operationen unter Einsatz von Cybermitteln sein können. Zwar lassen sich aus diesem Umstand nur in den seltensten Fällen konkrete Bedrohungen für Unternehmen ableiten, jedoch wird dadurch ein sehr ernstzunehmendes Potenzial von Möglichkeiten zur Beeinfl ussung von Meinungen verdeutlicht. Kampagnen gegen die Reputation eines Unternehmens sind aus politisch motivierten Gründen denkbar, vor allem für Unternehmen, die stark auf digitales Marketing und dabei besonders auf Werbung in Sozialen Netzwerken setzen.

In solchen Unternehmen sollte geprüft werden, ob geeignete Strategien und Maßnahmen für die Nutzung und das Verhalten in digitalen Medien vorhanden sind. Darüber hinaus sind gut strukturierte und vorbereitete Gegenmaßnahmen notwendig, um im Falle einer negativen Informations-Operation gegen das eigene Unternehmen rasch und effektiv Schritte setzen zu können.

Cyber Threat Intelligence als Vorbereitung auf Cyberangriffe

CTI liefert relevante, verwertbare und nützliche Informationen über mögliche Bedrohungsakteure, deren Fähigkeiten, Techniken und Motivationen. Durch entsprechende Analysen kann der Fokus auf jene Akteure gelegt werden, die das eigene Unternehmen angreifen bzw angreifen wollen. Daraus können wiederum Maßnahmen und Methoden abgeleitet werden, um die Bedrohungen zu erkennen und zu verhindern oder zumindest zu minimieren. Aus der kontinuierlichen Beobachtung der Cyberbedrohungen liefert CTI eine Cyber Threat Landscape, die aktuelle Bedrohungen darstellt und Trends bzw Entwicklungen frühzeitig erkennt und somit das Setzen proaktiver Maßnahmen unterstützt und fördert. Dadurch wird dem Angreifer sein stärkster Vorteil, nämlich die Überraschung, genommen. Während Angreifer theoretisch unendlich viel Zeit zur Vorbereitung und Planung ihrer Angriffe haben und den Zeitpunkt ihres Vorgehens weitestgehend selbst festlegen, müssen die angegriffenen Organisationen ständig mit dem Schlimmsten rechnen und reaktiv handeln.

CTI möchte also vor allem bei der proaktiven Vorbereitung zur Erkennung von Cyberangriffen und beim zielgerichteten Einsatz von IT-Sicherheitsmaßnahmen unterstützen. Dabei können auch Daten eingesetzt werden, mit deren Hilfe Angriffe zeitnah erkannt werden.

Durch das Nutzen von CTI-Erkenntnissen sollen aber nicht nur die richtigen operativen Maßnahmen abgeleitet werden, sondern im Sinne einer kontinuierlichen Verbesserung auch die Prüfhandlungen so angepasst werden, dass die Effektivität der Vorbereitung auf Cyberangriffe gezielt hinterfragt und so letztlich wiederum verbessert wird.

1) Vgl Glossar der Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (2019): https://www.bsi.bund.de/DE/Themen/ Cyber-Sicherheit/Empfehlungen/cyberglossar/ Functions/glossar.html;jsessionid=216FDE6E3A D7DF986A2958CA3AAA9EFA.2_cid360?cms_ lv2=9817274, zuletzt abgerufen am 15. Juli 2019. 2) Gartner (2013): https://www.gartner.com/en/documents/2487216/defi nition-threat-intelligence, zuletzt abgerufen am 15. Juli 2019. 3) Online Card Skimming beschreibt den Diebstahl von Zugangsdaten und sensiblen Zahlungsinformationen von Website-Besuchern. Hierbei wird bösartiger Code auf Webseiten platziert, mit dem sensible Benutzereingaben abgegriffen werden und diese anschließend für unautorisierte Einkäufe genutzt. 4) Ein Zero Day Exploit nutzt eine IT Security

Lücke am selben Tag aus, an dem diese bekannt wurde. Es liegen somit null Tage zwischen dem Entdecken der Sicherheitslücke und dem ersten Angriff und Patches zum Schließen dieser Lücke sind folglich noch nicht vorhanden.

© PwC

Die Autoren Mag. (FH) Philipp Mattes-Draxler, MSc (links im Bild) ist im Bereich Cybersecurity und Privacy bei PwC tätig und unterstützt nationale und internationale Unternehmen bei der Abwehr von Cyberangriffen. Zuvor war er unter anderem mehrere Jahre beim Österreichischen Bundesheer im Bereich der Informationssicherheit beschäftigt.

Mag. (FH) Marcell Nedelko, MSc (rechts im Bild) ist im Bereich Cybersecurity und Privacy bei PwC tätig. Zuvor war er unter anderem mehrere Jahre beim Österreichischen Bundesheer im Bereich Cyber Threat Intelligence und Cyberdefence beschäftigt. Er ist auf die Beratung nationaler und multinationaler Unternehmen und Organisationen mit Schwerpunkt Cyber Threat Intelligence spezialisiert.

© PwC