Zwei Forscher haben sich Zugang zu einem der am schwersten zugänglichen Bereiche der IT-Sicherheit verschafft: echten Threat-Hunting-Teams des US-Heimatschutzministeriums. Sie haben 11 Praktiker interviewt. Je eine Stunde. Und dann ausgewertet, was diese Teams wirklich tun.
Quelle: Maxam & Davis (2024), "An Interview Study on Third-Party Cyber Threat Hunting Processes in the U.S. Department of Homeland Security", arXiv:2402.12252
Das Ergebnis widerspricht einem der am häufigsten wiederholten Ratschläge in der Branche.
Die Theorie sagt: Arbeite mit Hypothesen
In fast jeder Beschreibung von Threat Hunting steht: Du formulierst eine Hypothese. "APT-Gruppe X hat möglicherweise CVE-2021-44228 genutzt, um in den VPN-Server einzudringen und sich lateral zum Domain Controller zu bewegen." Dann suchst du gezielt nach Beweisen für oder gegen diese Hypothese.
Das klingt sauber. Strukturiert. Nachvollziehbar.
Die DHS-Teams tun es so nicht.
Was sie stattdessen tun: datengetrieben, nicht hypothesengetrieben
Die interviewten Teams arbeiten überwiegend datengetrieben. Sie analysieren Baseline-Verhalten, suchen nach Anomalien, lassen sich von den Daten führen, nicht von einer vorher formulierten These.
Einer der Befragten beschreibt es so: "Der erste Pfad ist dein Alert-Pfad, das sind deine Indikatoren und signaturbasierte Erkennungen. Der zweite Pfad beginnt mit dem Verstehen der Umgebung, also Baseline-Analyse. Der führt dann zu zwei Kernerkennungen: Verhaltensanalyse und Anomalie-Analyse."
Kein Widerspruch zur Hypothesen-Methode, aber eine andere Priorität. Die Daten kommen zuerst.
Der Prozess in sieben Schritten
Was die Studie dokumentiert, ist der erste öffentlich beschriebene Threat-Hunt-Prozess einer US-Regierungsbehörde. In Kurzform:
1. Mission annehmen oder anlegen, reaktiv (Trigger) oder proaktiv
2. Scope und Planung, Ziele, Zeitraum, Hypothesen wenn vorhanden
3. Intelligence sammeln, vier wiederkehrende Quellen: dediziertes Intel-Team, öffentlich verfügbare Informationen (Nachrichten, Social Media), Open-Source-Repositories (z.B. IOC-Datenbanken) und klassifizierte oder Abo-basierte Feeds
4. Vor-Ort-Vorbereitung, Tools konfigurieren, Sensoren aufsetzen
5. Manuelle Analyse-Schleife, Baseline aufbauen, Verhalten und Anomalien analysieren
6. Automatisierte Alert-Schleife, Sensor-Benachrichtigungen triagieren, IOCs prüfen
7. Mission abschließen, Abschlussbericht, Empfehlungen; bei Fund: Übergabe an Incident Response
Schritt 5 und 6 laufen parallel und gleichzeitig, über 1 bis 4 Wochen. Das ist der eigentliche Kern der Arbeit.
Was mich am meisten getroffen hat: Zertifikate sagen nichts
Sechs von elf Befragten glauben nicht, dass Zertifizierungen Expertise messen.
Ein Team Lead: "Es ist wirklich schwer zu definieren, was ein Grundverständnis von Cybersecurity ist. Du kannst nicht sagen, es ist das Haben einer bestimmten Zertifizierung, denn es gibt genug Leute mit Zertifikaten, die nicht wissen, wovon sie reden."
Das deckt sich mit meiner Erfahrung. Ich habe Zertifikate, die mir geholfen haben, Konzepte zu strukturieren. Ich habe auch Menschen erlebt, die ohne formale Zertifizierung besser waren als alle zertifizierten Kollegen im Raum. Was zählt, ist Praxiserfahrung, und die lässt sich schlecht standardisieren.
Das unterschätzte Werkzeug: der "Hot Wash"
Nach jeder Mission machen die Teams einen Hot Wash, eine strukturierte Nachbesprechung. Was lief gut? Was nicht? Was ändern wir für die nächste Mission?
Klingt banal. Ist es nicht. Weniger als die Hälfte aller Organisationen, die Threat Hunting betreiben, haben einen definierten Prozess, das zeigt dieselbe Studie. Hot Washes sind ein einfaches, kostenloses Werkzeug, um aus jedem Einsatz zu lernen. Ohne sie verdunstet das Wissen, sobald das Team rotiert.
Was das für uns bedeutet
Diese Studie beschreibt staatliche Teams mit Budget, Freigaben und Zugang zu klassifizierten Feeds. Trotzdem sind die Grundprinzipien übertragbar, auch auf mittelständische Organisationen ohne eigenes Threat-Hunting-Team.
Drei Dinge, die ich aus der Studie mitnehme:
Erstens: Hypothesen sind gut. Aber Daten, die man nicht versteht, sind besser als keine Anomalie-Erkennung. Beginne mit Baseline, nicht mit Annahmen.
Zweitens: Automation ist keine Abkürzung, sie ist Grundlage. Die häufigste Herausforderung der befragten Teams war nicht fehlendes Budget oder fehlende Tools. Es war die Schwierigkeit, Automation aufzubauen und aktuell zu halten.
Drittens: Prozess schlägt Talent. Gute Prozesse gleichen den Effekt von Personalwechsel aus. In Unternehmen, die alle zwei bis drei Jahre IT-Sicherheitspersonal verlieren, also fast allen, ist ein dokumentierter Prozess keine Bürokratie. Er ist Wissenserhalt.
Gregor Lyttek ist Security Architect & AI Strategist und Threat Hunter im Versicherungsumfeld.