Verstärkung für IT-Security-Teams

Hacker gehen heutzutage immer cleverer vor und denken sich immer perfidere Angriffsmethoden aus. IT-Security-Teams und Verantwortliche für die Informationssicherheit sind deshalb stärker gefordert denn je – und nicht selten auch überfordert. Die Professiona­lisierung im Cybercrime-Bereich geht inzwischen so weit, dass Schadsoftware von Kriminellen als Dienstleistung bezogen werden kann. Auf der anderen Seite sehen sich Unternehmen mit der grossen Herausforderung konfrontiert, diese erfolgreich abzuwehren.

Gefragt sind deshalb neue Dienstleistungen und Tools, welche die Verteidigung nicht nur unterstützen und verstärken, sondern auch automatisieren. Ein Trend, der sich zudem abzeichnet, um den heimtückischen Attacken beizukommen, ist der Einsatz von Data Analytics in der Cyber­abwehr. In diesem Bereich bewegen sich Endre Bangerter und Jonas Wagner. Bangerter ist Professor für IT-Security an der Berner Fachhochschule. Gemeinsam mit seinem Labor-Kollegen Wagner gründete er 2018 Threatray, ein Start-up mit Fokus auf datenbasierte Sicherheitsanalytik.

Begonnen hat die Zusammenarbeit der beiden zunächst mit der Masterthesis von Wagner, die er im Labor von Bangerter an der Berner Fachhochschule erarbeiten konnte. «Ziel der Arbeit war es, eine neue Art und Weise zu finden, um Malware automatisiert analysieren zu können», erklärt Wagner. Denn klassische Vorgehen hätten ihre Schattenseiten. Eine Option ist laut Wagner, die Angriffe nach bestimmten Mustern zu durchsuchen. Zur Erkennung von Malware lasse sich auch die IP-Adresse heranziehen, mit der ein Schadprogramm kommuniziert. Da diese jedoch schnell gewechselt werden könne, sei damit nicht immer eine zuverlässige Identifikation möglich, sagt der IT-Security-Spezialist.

Wagner konzentrierte sich deshalb stattdessen auf den Programmcode. Dieser bleibe meist gleich oder zumindest ähnlich – auch wenn neue Versionen oder Mutationen von Schadprogrammen auftauchen, um Antiviren-Software auszutricksen. «Den Code einer Malware von Grund auf zu ändern, das wäre sehr aufwendig. Dazu müsste diese praktisch neu geschrieben werden», erklärt er. Durch die Wiedererkennung von Programmcode werde nun eine Korrelation möglich zwischen bereits bekannten und neuen Angriffen. Damit das funktioniert, entwickelte Wagner Such­algorithmen, die innert Sekunden automatisch Unbekanntes mit Bekanntem abgleichen, um schliesslich heraus­zufinden, ob Zusammenhänge existieren.

Die Idee hatte Wagner nicht einfach aus der Luft gegriffen. Wie Bangerter erklärt, konnte die Masterthesis in Zusammenarbeit mit einer Antivirenfirma durchgeführt werden. Die Motivation dafür kam also aus der Praxis. «Die Cyberabwehr ist generell stark von Daten und Analytik getrieben. Man will schnell verstehen, was genau abgeht, um rasch Entscheidungen zu treffen und auf Angriffe reagieren zu können», erklärt Bangerter. Und genau dabei soll Wagners neuer Ansatz nun helfen. Der BFH-Professor zeigt sich überzeugt, dass ihm damit «ein Durchbruch» gelungen ist.

So machten sich die beiden nach der Gründung von Threatray im Jahr 2018 daran, mithilfe einer ersten Seed-Finanzierungsrunde ihr Team zusammenzustellen. Das erste Minimum Viable Product (MVP) stand gemäss Bangerter, dem CEO des Start-ups, anschliessend zwischen Sommer und Herbst des letzten Jahres bereit. Danach folgte bereits der Marktstart. «Wir erhielten coole Feedbacks und konnten auch erste Abschlüsse erzielen», sagt er. Im Winter 2020/21 folgte dann bereits die nächste Finanzierungsrunde. Dem CEO zufolge half diese Threatray dabei, die letzten Ecken und Kanten des Produkts zu beseitigen. Zudem habe das Kapital dem Start-up die Möglichkeit gegeben, im Hintergrund das operative Team aufzubauen, um die Lösung für die Kundschaft betreiben zu können.

Mit Threatray wollen die beiden Firmengründer Security-Analysten nun ein neues Werkzeug an die Hand geben, um Daten besser verstehen zu können. Genau hier liegt gemäss Bangerter oftmals das Problem. Denn um datengetriebene Cyberabwehr machen zu können, müssten die Informationen zuerst eingesammelt werden. «Darin sind alle gut, das ist der einfache Teil.» Die Herausforderung liege aber im Überfluss der Daten. Eine paradoxe Situation: «Eigentlich will man die Sicherheit verbessern, überlastet damit aber die Analysten», erklärt Bangerter. Darum sei es das Ziel von Threatray, den Kunden die Umsetzung einer Daten- und Analytics-getriebenen Cyberabwehr zu ermöglichen.

Die Kerntechnologie, die das Start-up anbietet, beschreibt er als «Search-Engine für Malware-Threats». Gemäss Angaben der Gründer wird den Kunden dafür mit ihren eigenen Bedrohungsdaten ein privates Repository zusammengestellt. Bangerter beschreibt dieses als «Gedächtnis» der Threats, mit denen sie bereits konfrontiert wurden. Ergänzend kommt die grosse Datenbank von Threatray hinzu, welche die globale Bedrohungslage widerspiegeln soll. «Sie wird von uns täglich mit Tausenden von bösartigen Files gefüttert», erklärt Wagner, der CTO des Start-ups. Analysiere ein Kunde eine Datei mit der Lösung, dann werde das File zuerst in einzelne Code-Elemente aufgebrochen, fügt der Technikchef an. Diese werden dann mit bekanntem Code abgeglichen. So könne Threatray Überlappungen mit bekannten Angriffen sichtbar machen und zusätzlich Korrelationen zu noch unbekannten Attacken aufdecken.

So liessen sich in erster Linie Bedrohungen identifizieren – aber nicht nur. Daneben unterstützt Threatray noch viele weitere Analysen, wie Bangerter erklärt. Aus dem lokalen, privaten Repository könne man beispielsweise auch herauslesen, wer angreift und wer der Gegner ist. Mittels einer Retro-Detection lasse sich nach dem Bekanntwerden neuer Informationen etwa auch ermitteln, ob die eigene Firma in der Vergangenheit von einem Angriff betroffen war. Dabei könne die Lösung auch helfen, die Effizienz zu steigern. «Je nach Skill-Level der Analysten kann das normalerweise Stunden bis Tage dauern. Wir reduzieren diesen Prozess auf wenige Sekunden bis Minuten», verspricht der CEO. Integriert werden kann die Lösung bei Kunden laut Wagner beispielsweise über APIs. «Wir bauen für sie aber auch extra Features und Integrationen, um die Lösung so gut wie möglich in ihre jeweilige Umgebung einzubetten.»

Die Threatray-Gründer sind überzeugt, dass ihr Tool eine grosse Bandbreite von Kunden anspricht. Bangerter nennt grundsätzlich drei Arten: Direkte Firmenkunden, Managed Security Service Provider (MSSPs) sowie IT-Security-Unternehmen, die selbst Malware analysieren und Cyber Threat Intelligence betreiben. Bei den direkten B2B-Kunden spiele die Branche keine Rolle. «Sobald ein Unternehmen beispielsweise ein SOC, ein Threat-Intel- oder ein Incident-Response-Team hat, ist es ein potenzieller Kunde von uns.»

Klar ist, dass es ein genügend grosses Team braucht, um neue Kunden gewinnen und bedienen zu können – insbesondere in Anbetracht des Wettbewerbs im Cybersecurity-Bereich. Das wissen auch Bangerter und Wagner. Das Kapital aus ihrer zweiten Seed-Finanzierungsrunde – diese haben sie im Winter 2020/21 abgeschlossen – wollen sie deshalb insbesondere in den Aufbau einer Sales-Organisation investieren. Aber auch das Tech-Team soll konti­nuierlich ausgebaut und die Expansion vorangetrieben werden, so die beiden Gründer.

Wagner schickt schliesslich voraus, dass in Zukunft die Lösung um die Kerntechnologie herum noch erweitert werden soll. «Im Endeffekt wollen wir für unsere Kunden ein vertieftes Verständnis für Malware-Angriffe schaffen.» Und in Anbetracht der täglichen Cyberangriffe auf Unternehmen könnte der Zeitpunkt dafür kaum besser sein. Das sieht auch sein Co-Gründer Bangerter so: «Das Bedürfnis ist jetzt da. Firmen verstehen, dass es ernst ist.»