Threat Hunting: Wer drohende Gefahren vorhersagt

Die systematische Suche nach neuen, unbekannten und oft hochkomplexen Bedrohungen gehört mittlerweile zum vorbeugenden Teil moderner Cybersicherheit, ob im eigenen Haus oder ausgelagert als Managed Security Service. Dabei sind etwas andere Qualitäten gefordert als bei der direkten Vorfallreaktion.

© AIPERA – stock.adobe.com
Bild: © AIPERA – stock.adobe.com

Jäger verborgener Gefahren

Von Dirk Bongardt

„Datentransfer höher als gewöhnlich“ – die Meldung klingt lapidar, aber Christine M., in ihrem Unternehmen im Threat Management beschäftigt, ist sofort aufmerksam geworden. Sie öffnet eine Konsole und sieht sich den Datenverkehr genauer an. Es gelingt ihr, einen ungewöhnlichen Datenstrom zu isolieren, ihn auf seinen Ursprung zurückzuverfolgen, das Ziel der Datenübertragung zu verfolgen und den Prozess zu identifizieren, der ihn angestoßen hat.

Die Expertin durchforstet Bedrohungsdatenbanken und externe Informationsquellen, um die Aktivität mit bekannten Angriffsmustern und Indikatoren für eine Kompromittierung abzugleichen. Ist das System bereits kompromittiert? Sind Betriebsspione am Werk?

Heute zum Glück nicht: Der Prozess gehört zu einem Kommunikationstool, über das ein im ganzen Haus verteiltes Projektteam gerade eine Konferenz abhält und – obwohl dazu im Hause eigentlich andere Systeme verwendet werden sollen – dieses Mal die Videochatfunktion nutzt. Daher also das ungewöhnlich hohe Datenaufkommen. Die Jägerin wird in ihrem Bericht auf die potenziellen Gefahren eingehen und für die Zukunft empfehlen, dass sich das Projektteam an die internen Vorgaben hält.

Bedrohungsabwehr beginnt beim Management

Fachleute für Threat Hunting sind Experten im Bereich der Cybersicherheit, die sich auf die proaktive Identifizierung und Bekämpfung von Cyberbedrohungen spezialisiert haben. Im Fokus stehen Bedrohungen, die sich mithilfe herkömmlicher Sicherheitsmaßnahmen möglicherweise nicht erkennen lassen. Die Threat Hunters sollen deshalb potenzielle Sicherheitslücken oder Anzeichen von böswilliger Aktivität in Unternehmensnetzwerken und Systemen gezielt aufs Korn nehmen.

Im jährlich erstellten Threat Hunting Survey des SANS Institute, einer bekannten Cybersecurity-Organisation, werden weltweit Organisationen auf ihr Vorgehen im Bereich der Bedrohungssuche befragt. Daraus ergibt sich ein detailliertes Bild der Umfelder, in denen Fachleute für Threat Hunting arbeiten, und der Herausforderungen, denen sie sich dort gegenübersehen.

Zunächst hängt die Wirksamkeit der Bedrohungssuche stark von der Unterstützung der Führungsebene und dem Engagement des Managements ab. Ein Mangel an Verständnis oder Interesse seitens des Managements kann ein ernstes Problem bei der Gefahrenabwehr darstellen. Eng damit zusammen hängt die Fokussierung auf die im Unternehmen vorhandenen Werkzeuge: Auswahl und Implementierung von Bedrohungssuchwerkzeugen beeinflussen die Effektivität der Suchmissionen. Der Trend zeigt, dass Werkzeuge oft auch die Strategie beeinflussen.

Die vorhandenen Werkzeuge zu nutzen, ist ja auf den ersten Blick die wirtschaftlichste Herangehensweise – aber nur, solange diese den Bedrohungsszenarien auch gerecht werden. Insbesondere die steigende Bedrohung durch Ransomware und andere Taktiken der Cyber-Erpressung erfordert eine stete Anpassung der Suchstrategien und Methoden.

ITKarriere 2023 02.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT & Karriere“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Angreifern auf der Spur

Zu den Aufgaben der Fachleute für Threat Hunting zählen knapp zusammengefasst folgende Bereiche:

  • Hypothesen: Threat Hunters entwickeln Hypothesen, wie und wo potenzielle Bedrohungen in einem Netzwerk auftreten könnten, basierend auf Informationen aus Sicherheitsprotokollen, Bedrohungsberichten und anderen Quellen, und überprüfen diese Hypothesen in der Praxis.
  • Forensische Analysen: Sie verwenden forensische Techniken, um Sicherheitsvorfälle zu untersuchen und Beweise für böswillige Aktivitäten zu sammeln. Dies kann die Analyse von Protokolldaten, Dateisystemen und Speichermedien umfassen.
  • Nutzung komplexer Sicherheitstools: Zu den spezialisierten Werkzeugen gehören etwa SIEM-Systeme (Security Information and Event Management), EDR-Lösungen (Endpoint Detection and Response) und anderen Sicherheitsplattformen.
  • Berichterstattung: Die Bedrohungsjäger kommunizieren ihre Ergebnisse und Empfehlungen an Sicherheitsteams und Führungskräfte, um auf Bedrohungen aufmerksam zu machen und Maßnahmen zur Abwehr oder Behebung von Sicherheitsvorfällen zu empfehlen.
  • Permanente Weiterbildung: Threat Hunting ist eine sich ständig weiterentwickelnde Disziplin, daher müssen Fachleute ihr Wissen über Angriffsmethoden und Sicherheitslösungen ständig aktuell halten und belegen dazu kontinuierlich Schulungen und Weiterbildungen.

Threat Hunting ist nichts für Anfänger

Um in der anspruchsvollen Rolle des Threat-Hunting-Experten erfolgreich zu sein, sind eine solide Ausbildung und einschlägige Erfahrungen von entscheidender Bedeutung. Die Anforderungen, um eine derart verantwortungsvolle Position im Unternehmen übertragen zu bekommen, sind hochgesteckt und müssen in der Regel eindeutig belegbar sein.

Threat-Hunting-Experten sollten idealerweise über einen Bachelor- oder Masterabschluss in Informatik, Informationssicherheit, Cybersicherheit oder einem verwandten Bereich verfügen. Dieser Bildungshintergrund bietet das grundlegende Verständnis für Informationssicherheitskonzepte. Threat Hunting erfordert außerdem die Fähigkeit, große Mengen an Sicherheitsdaten zu analysieren, um Anomalien und potenzielle Bedrohungen zu erkennen. Analytische Fähigkeiten sind entscheidend, ebenso wie Kenntnisse in Malware-Analyse und Reverse Engineering.

Wer sich für diesen Berufsweg entscheidet, bringt idealerweise Berufserfahrung in der Cybersicherheit, etwa als Sicherheitsanalyst oder Incident Responder, mit. Zertifizierungen wie CISSP, CEH, CISM, CISA und CompTIA Security+ (siehe Kasten) gehören quasi zur laufenden Fortbildung und liefern handfeste Belege für die Qualifikation.

Zertifizierungen für Threat Hunter im Überblick

Spezifische Zertifikate, die besonders relevant für Threat-Hunting-Experten sind, umfassen folgende Qualifizierungen:

  • Certified Information Systems Security Professional (CISSP): Diese Zertifizierung ist ein Branchenstandard und bestätigt ein umfassendes Verständnis von Informationssicherheitsthemen, einschließlich Cybersicherheit. Der CISSP ist bei Arbeitgebern in der Branche sehr angesehen.
  • Certified Ethical Hacker (CEH): Die CEH-Zertifizierung richtet sich an Fachleute, die in ethischem Hacking geschult sind. Sie deckt wichtige Konzepte der Sicherheitsbewertung und Penetrationstests ab, die für Threat Hunting relevant sind.
  • Certified Information Security Manager (CISM): Der CISM richtet sich an Fachleute, die sich auf das Management von Informationssicherheit und Risiken konzentrieren. Er ist äußerst nützlich für Threat Hunters, da er spezielle Kenntnisse über Sicherheitsrichtlinien und -verfahren vermittelt.
  • Certified Information Systems Auditor (CISA): Diese Zertifizierung ist auf die Prüfung, Kontrolle und Sicherung von Informationssystemen ausgerichtet. Sie ist für Threat-Hunting-Experten relevant, da sie ihre Prüfungsfähigkeiten weiterentwickelt.
  • CompTIA Security+: Diese Einstiegszertifizierung deckt grundlegende Sicherheitskonzepte ab und ist eine gute Wahl für diejenigen, die ihre Grundlagen in der Cybersicherheit stärken möchten.

Vom Junior Analyst zum Profijäger

Zwar gleicht keine Berufskarriere in der IT exakt der anderen, es gibt aber einige typische Karrierestationen auf dem Weg zum Threat Hunter. Viele Threat-Hunting-Experten beginnen ihre Laufbahn in einer Einstiegsposition im Bereich der Informationssicherheit. Dies kann beispielsweise eine Rolle als Junior Security Analyst oder SOC (Security Operations Center) Analyst sein. Die hier gesammelten Erfahrungen in der Überwachung von Sicherheitsereignissen, der Verwaltung von Sicherheitslösungen und der Analyse von Sicherheitsdaten kommen ihnen später auf jeden Fall zugute.

Der häufige nächste Karriereschritt ist der Aufstieg zum Senior Security Analyst. Hier übernehmen die Bedrohungsjäger oft mehr Verantwortung bei der Erkennung und Untersuchung von Sicherheitsvorfällen. Sie entwickeln auch ihre Fähigkeiten in der Analyse von Sicherheitsdaten weiter.

In dieser Phase der Karriere entscheidet sich mancher dann für eine Spezialisierung im Bereich Threat Hunting. Dies kann durch Schulungen, Zertifizierungen und praktische Erfahrungen erreicht werden. Angehende Threat Hunters lernen, proaktiv nach Anomalien und potenziellen Bedrohungen zu suchen und entwickeln ihre Fähigkeiten in der Malware-Analyse und Forensik weiter. Mit reichlich Wissen und Erfahrung ausgestattet können sie eine dedizierte Rolle als Threat Hunter in einem Unternehmen übernehmen. In dieser Position sind sie dann verantwortlich für das kontinuierliche Monitoring der Sicherheitsinfrastruktur, das Erkennen und Untersuchen von Bedrohungen sowie die Entwicklung von Strategien zur Bedrohungsabwehr.

Führungskraft oder Freelancer

Mit zunehmender Erfahrung haben Threat-Hunting-Experten die Möglichkeit, in leitende Positionen aufzusteigen, wie beispielsweise als Security Team Lead, Security Manager oder Chief Information Security Officer (CISO). Alternativ können sie sich auf bestimmte Bereiche der Bedrohungsabwehr spezialisieren, wie etwa Incident Response, Threat Intelligence oder Malware-Analyse.

Manche erfahrenen Threat-Hunting-Spezialisten entscheiden sich dafür, als unabhängige Berater zu arbeiten oder ein eigenes Sicherheitsberatungsunternehmen zu gründen. In dieser Rolle können sie ihre Expertise auf dem ständig expandierenden Mark für Cybersicherheit zur Verfügung stellen.

Die Verdienstmöglichkeiten für Fachleute im Bereich Threat Hunting variieren stark, abhängig von Faktoren wie Qualifikationen, Erfahrung, Standort und Unternehmensgröße. Für Einsteiger in die Rolle des Threat-Hunting-Experten liegt das durchschnittliche Einstiegsgehalt in Deutschland etwa zwischen 40.000 und 60.000 Euro brutto pro Jahr. Mit zunehmender Erfahrung und Fachwissen können die Gehälter erheblich steigen. Erfahrene Threat Hunters in leitenden Positionen können je nach Unternehmensgröße ein Jahresgehalt von 80.000 Euro bis weit über 100.000 Euro brutto erreichen.

Mein Jagdinstinkt ist erwacht

Fachleute für Threat Hunting erfüllen eine verantwortungsvolle Aufgabe. Von ihnen hängt es letztlich ab, ob wichtige Unternehmensdaten sicher vor unerlaubten Zugriffen sind und der gesamte Geschäftsbetrieb aufrechterhalten bleibt. Deshalb müssen sie ständig ihre Kenntnisse aktualisieren, da die Bedrohungslandschaft sich ebenfalls laufend weiterentwickelt. Dafür erwarten sie je nach Erfahrung und Standort auch attraktive Verdienstmöglichkeiten. Die Karriereperspektiven reichen von leitenden Positionen im IT-Sicherheitsbereich bis zur Selbstständigkeit als freier Cybersecurity-Berater. Ein Job für Leute mit wachem Jagdinstinkt, bei dem man sich nicht immer an die üblichen Arbeitszeiten halten kann.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.

Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links