Unterschätzen Sie nicht die Gefahr des Eindringens nationalstaatlicher Akteure in Ihre Netzwerke.
Microsoft Threat Intelligence
Als junge Frau hätte sich Fanta Orr nie träumen lassen, dass sie einmal eine Karriere im Bereich Cybersicherheit machen würde. Vielmehr zog es sie zunächst in den öffentlichen Dienst, wo sie fast 14 Jahre lang das Thema Sicherheit aus einer geopolitischen Perspektive betrachtete. Als eine befreundete Person ihr 2019 von einer neuen Stelle bei Microsoft erzählte, beschloss sie, die Chance zu ergreifen und eine neue Herausforderung anzunehmen.
„Der Schwerpunkt der Arbeit lag auf der kombinierten Analyse von Cyberbedrohungen und geopolitischen Aspekten“, erzählt Fanta. „Damit begann meine Karriere im Bereich der Cybersicherheit. Ich bin hier bei Microsoft ins kalte Wasser der Cybersicherheit gesprungen und bin froh darüber.“
Fanta ist Tom Burt, CVP of Customer Security and Trust, und Cristin Goodwin, frühere Leiterin der Digital Security Unit bei Microsoft, dankbar, dass sie ihr die Chance gaben, die erste Analystin von Bedrohungskontexten des Unternehmens zu werden, eine Position mit einem ambitionierten Ziel, aber anfangs ohne klare Roadmap oder etablierte Prozesse, um dieses Ziel zu erreichen. „Cristin, meine späteren Teamkollegen und ich haben sozusagen das Flugzeug im Flug gebaut. Das war eine beängstigende aber anregende Erfahrung.“
Fanta weist darauf hin, dass ihre Arbeit, bei der sie nationalstaatliche Akteure ausfindig macht, auch denjenigen zugute kommt, die nicht im öffentlichen Sektor tätig sind. Nationalstaatliche Akteure würden nicht nur staatliche Einrichtungen im Visier haben, warnt sie. Tatsächlich gehörten Nichtregierungsorganisationen, Think Tanks, Bildungseinrichtungen und Beratungsfirmen zu den am häufigsten betroffenen Wirtschaftssektoren.
Heute ist Fanta Leiterin der Intelligence Analysis für das Microsoft Threat Analysis Center (MTAC). Sie und ihr Team führen strategische Analysen staatlicher Cyberbedrohungsaktivitäten durch und setzen Cyberbedrohungsdaten in einen geopolitischen Kontext, um das mögliche "Warum" hinter den Aktivitäten aufzudecken.
„Durch die Identifizierung und Kommunikation des "Warum" einer bestimmten Kampagne von Bedrohungsakteuren können wir uns besser vorbereiten und Kunden schützen, die anfällige Ziele sein könnten“, so Fanta. Im Vorfeld der russischen Invasion der Ukraine im Jahr 2022 identifizierte unser Microsoft Threat Intelligence-Team beispielsweise ukrainische Kunden, die im Falle einer Eskalation des Konflikts Cyberangriffen ausgesetzt sein könnten. Die Grundlage dafür bildeten die Sektoren, die ein Land im Kriegsfall angreifen würde, um den Gegner zu schwächen, sowie die Standorte ungepatchter und anfälliger Systeme. Dank der Etablierung dieser Überwachungspraxis und der frühzeitigen Benachrichtigung unserer ukrainischen Partner über Schwachstellen konnten die Bedrohungssuche-Teams Schwachstellen härten, anormale Aktivitäten ermitteln und den Produktschutz beschleunigen.
Um die möglichen Gründe für das Eindringen von Nationalstaaten zu verstehen, müssen wir unser Wissen über geopolitische Entwicklungen, Geschichte, außenpolitische Ziele und aktuelle Ereignisse in die Diskussion über Cybertaktiken, -techniken und -verfahren und Viktimologie einbringen. Ein typischer Tag für Fanta besteht u. a. darin, aktuelle internationale und die Cybersicherheit betreffende Nachrichten zu verfolgen. Außerdem überprüft sie die neuesten Erkenntnisse von Microsoft Threat Intelligence mit ihren Kolleginnen und Kollegen aus dem Bereich Bedrohungssuche, die verschiedene Perspektiven in die Untersuchungen einbringen.
In jüngster Zeit haben Fanta und ihr Team eine rasante Entwicklung der Cyberkriegsführungstaktiken auf den Schlachtfeldern der Ukraine beobachtet (für weitere Informationen zu den Trends in der hybriden Kriegsführung in der Ukraine siehe 7 neue Trends der hybriden Kriegsführung im russischen Cyberkrieg).
„Zum ersten Mal haben wir den Einsatz von Cyberangriffen als Teil einer umfassenderen Kriegsführung in diesem Ausmaß gesehen“, sagt Fanta. „Und wir hatten nicht erwartet, dass nichtstaatliche Akteure – Cyberfreiwillige, Hacktivisten und der Privatsektor – in diesem Konflikt eine so große Rolle spielen würden.“
Als Beispiel erzählt Fanta, wie neue Partnerschaften zwischen öffentlichen und privaten Einrichtungen der Ukraine dabei geholfen haben, ihre Netzwerke und Informationsräume zu schützen. Durch das Aufspüren von Bedrohungen, das Schreiben von Code zur Verbesserung von Sicherheitsprodukten und das Verfassen von Blogs zur Sensibilisierung für böswillige Kompromittierungen (Incidents of Compromise, IOCs) und Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) haben die vereinten Bemühungen der ukrainischen Cybersicherheitsexperten und von internationalen öffentlichen und privaten Communitys die Arbeit der Bedrohungsakteure, die ukrainische Netzwerke angreifen, erschwert.
Fanta weist darauf hin, dass ihre Arbeit, bei der sie nationalstaatliche Akteure ausfindig macht, auch denjenigen zugute kommt, die nicht im öffentlichen Sektor tätig sind. Nationalstaatliche Akteure würden nicht nur staatliche Einrichtungen im Visier haben, warnt sie. Tatsächlich gehörten Nichtregierungsorganisationen, Think Tanks, Bildungseinrichtungen und Beratungsfirmen zu den am häufigsten betroffenen Wirtschaftssektoren.
Microsoft Security folgen