Wissensraum · Deep Dive 4 von 27
Präzision statt Feeds
Was dieser Deep Dive Ihnen zeigt
Warum Threat Intelligence unter DORA Präzision statt Daten-Feeds verlangt.
DORA verlangt von Unternehmen keine formale Threat-Intelligence-Abteilung, wohl aber funktionale Mechanismen, um Bedrohungsinformationen systematisch zu nutzen.
In der Praxis wird Threat Intelligence häufig reduziert auf Newsletter, externe Feeds oder unbewertete Indicator-of-Compromise-Listen (IoCs). DORA zielt auf eine operationalisierte Fähigkeit ab: relevante Bedrohungen identifizieren, konkrete Maßnahmen ableiten, Priorisierung in Risiko- und Sicherheitsprozesse integrieren und Verknüpfung mit Monitoring, Incident Management und TLPT herstellen.
Branchenbezogene Bedrohungslagen
Geopolitische Entwicklungen
Langfristige Trends
Nutzen Orientierung für Strategie, Governance und Priorisierung.
Angriffsvektoren
Malware-Familien
Kampagnen und TTPs (Tactics, Techniques, Procedures)
Nutzen Anpassung von Detection-Use-Cases, Sicherheitsarchitektur und Kontrollen.
Konkrete Indicators of Compromise (IoCs)
IP-Adressen, Hashes, Domains
Nutzen Ermöglicht unmittelbare Schutz- und Abwehrmaßnahmen, sofern korrekt bewertet und integriert.
DORA zielt auf strukturierte, relevante und operative Threat-Intelligence-Fähigkeiten ab: relevanzbasierte Auswahl, Integration in Monitoring und Detection, strukturierte Ableitung von Maßnahmen, Verknüpfung mit ICT Risk Management und Unterstützung von TLPT.
Es geht nicht darum, möglichst viele Informationen zu sammeln, sondern darum, die richtigen Informationen wirksam zu machen.
Viele Organisationen sammeln große Mengen an IoCs, bewerten deren Relevanz nicht systematisch, integrieren Erkenntnisse nicht in ihre Architektur und haben keine klaren Rollen für Bewertung, Entscheidung und Umsetzung. Die Folge ist entweder operative Blindheit oder Überlastung durch nicht priorisierte Signale.
Zentrale Erkenntnisse
Threat Intelligence ohne Governance ist Datenmüll – und eine regulatorische Schwachstelle
Intelligence-Zirkulation muss operativ verankert sein – nicht nur episodisch
Red Teaming und Threat Intelligence verschärfen sich gegenseitig – getrennt sind sie unwirksam
Ausgangslage
Ein Zahlungsdienstleister erhält über einen externen Threat-Intelligence-Feed eine IP-Adresse im Zusammenhang mit einer laufenden Angriffskampagne. Ein Security-Analyst stuft die Information als „nicht relevant“ ein, da die IP im eigenen Netzwerk nicht unmittelbar sichtbar ist.
Was zwei Wochen später passiert
Angriff über einen externen Dienstleister
Dieser kommuniziert mit genau dieser IP
Das SIEM hätte den Datenverkehr erkennen können
Der IoC war jedoch nie implementiert
Warum das passieren konnte
Keine strukturierte Priorisierung von Threat Intelligence
Unklare Zuständigkeiten: Wer entscheidet? Wer setzt um?
IoCs wurden nicht in alle relevanten Systeme integriert
Indirekte Abhängigkeiten zu Drittdienstleistern blieben unbeachtet
Was ein wirksamer Prozess geleistet hätte
Mapping von IoCs auf die Systemlandschaft inkl. Drittdienstleister
Verbindliche Prozessschritte für jede relevante Information
Automatisierte SIEM-Integration
Review durch ICT Risk Management
Praxis-Impuls
Threat Intelligence entfaltet ihren Wert nicht durch Feeds, sondern durch strukturierte Einbettung. Fragen Sie: Haben wir einen definierten Workflow, der aus einem neuen IoC eine konkrete Maßnahme macht – inkl. Prüfung indirekter Abhängigkeiten bei Drittdienstleistern? Threat Intelligence ist kein Informationsproblem – sondern eine Architektur- und Entscheidungsfrage.