Threat Intelligence
Threat Intelligence bezeichnet die systematische Sammlung, Aufbereitung und Auswertung von Informationen über aktuelle Cyberbedrohungen, Angriffsmethoden und Bedrohungsakteure, um daraus handlungsrelevantes Wissen für die Abwehr und das Risikomanagement abzuleiten.
Threat Intelligence (Bedrohungsaufklärung) ist der Prozess, mit dem eine Organisation Informationen über bestehende und sich abzeichnende Cyberbedrohungen sammelt, anreichert, analysiert und in handlungsrelevantes Wissen überführt. Ausgewertet werden unter anderem technische Indikatoren wie Schadcode-Signaturen, bösartige IP-Adressen, Domains oder Datei-Hashes (Indicators of Compromise), aber auch Vorgehensweisen, Werkzeuge und Motive der Angreifer (Tactics, Techniques and Procedures). Ziel ist es, von einer rein reaktiven Abwehr zu einer informierten, vorausschauenden Sicherheitsstrategie zu gelangen, die Bedrohungen erkennt, bevor sie wirksam werden.
Üblicherweise wird zwischen mehreren Ebenen unterschieden: Strategische Threat Intelligence richtet sich an die Geschäftsleitung und ordnet Bedrohungslagen, Trends und geopolitische Risiken übergeordnet ein. Taktische Intelligence beschreibt die Vorgehensweisen der Angreifer und unterstützt die Ableitung von Schutzmaßnahmen. Operative Intelligence liefert Informationen zu konkreten, laufenden Kampagnen, während technische Intelligence maschinell verwertbare Indikatoren für Erkennungssysteme wie SIEM, Intrusion-Detection-Systeme oder Endpoint Detection and Response bereitstellt. Die Quellen reichen von kommerziellen Diensten und Branchenverbünden (ISACs) über offene Quellen (OSINT) bis zu staatlichen Stellen wie dem BSI und dem CERT-Bund.
Im regulatorischen Kontext gewinnt Threat Intelligence erheblich an Bedeutung. Die NIS2-Richtlinie verlangt von besonders wichtigen und wichtigen Einrichtungen ein risikobasiertes Sicherheitsmanagement, das die jeweils aktuelle Bedrohungslage berücksichtigt, und fördert ausdrücklich den freiwilligen Informationsaustausch über Bedrohungen. Im Finanzsektor verpflichtet die DORA-Verordnung Institute, Erkenntnisse über Cyberbedrohungen auszutauschen und in das IKT-Risikomanagement einzubeziehen. Auch ISO/IEC 27001:2022 fordert in Maßnahme A.5.7 explizit die Erhebung und Auswertung von Threat Intelligence. Beim Bezug und der Verarbeitung der Daten sind zugleich datenschutzrechtliche Vorgaben der DSGVO zu beachten, da Indikatoren wie IP-Adressen personenbeziehbar sein können.
Rechtliche Grundlage
NIS2-Richtlinie (EU) 2022/2555 (insb. Art. 21 zum Risikomanagement und Art. 29 zum Informationsaustausch); ISO/IEC 27001:2022 (Maßnahme A.5.7 Threat Intelligence); Verordnung (EU) 2022/2554 (DORA), Art. 45 zum Austausch über Cyberbedrohungen; BSI IT-Grundschutz (DER.1 Detektion von sicherheitsrelevanten Ereignissen)
Praxisbeispiel
Ein als wichtige Einrichtung eingestufter Industriezulieferer abonniert über einen Branchen-ISAC strukturierte Threat-Intelligence-Feeds. Der Informationssicherheitsbeauftragte erhält eine Warnung, dass eine Ransomware-Gruppe gezielt eine Schwachstelle in der eingesetzten VPN-Lösung ausnutzt, und erfährt zugleich die zugehörigen Indicators of Compromise. Er spielt die Indikatoren in das SIEM und die Firewalls ein, priorisiert das Patchen der betroffenen Systeme und informiert das Incident-Response-Team. Als kurz darauf erste verdächtige Verbindungsversuche auftreten, werden sie sofort erkannt und blockiert, sodass ein Angriff verhindert wird, bevor er Schaden anrichten kann.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren