Beschreibung¶
Beim Thema “Threat Intelligence” geht es darum, Informationen über Bedrohungen zu sammeln, diese zu analysieren und zu nutzen, um Bedrohungen abzuwehren oder zumindest die Auswirkungen zu reduzieren. In diesem HowTo wird beschrieben, wie ein Threat Intelligence Report zur Dokumentation dieser Tätigkeiten erstellt wird und was dabei zu beachten ist. In diesem Report geht es insbesondere um taktische und strategische Threat Intelligence. Eine Definition dazu ist in der Richtlinie für den sicheren IT-Betrieb zu finden.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Quellen für Bedrohungsinformationen festlegen | Zuerst sollte sich Gedanken gemacht werden, woher vertrauenswürdige und relevante Informationen über Bedrohungen gesammelt werden können. | Die Übersicht im ISMS SmartKit liefert bereits hilfreiche Quellen, je nach dem welche Hersteller bzw. IT-Komponenten im Einsatz sind, sollte diese Auflistung aber erweitert werden. |
| 2 | Bedrohungsinformationen sichten und analysieren | Nach dem die Quellen für Bedrohungsinformationen bestimmt worden sind, geht es an die Sichtung und Analyse. Hierbei geht es darum, Erkenntnisse zu sammeln, die helfen, die Informationssicherheit zu verbessern und sich gegen aktuelle und ggf. kommende Bedrohungen zu schützen. | Beispiele für Erkenntnisse aus der Analyse von taktischen und strategischen Bedrohungsinformationen: - Häufung von Phishing-E-Mails mit Bezug auf Covid-19 - Anstieg an erfolgreichen Ransomware-Angriffen auf europäische Unternehmen - Weltweiter Anstieg an Angriffen auf einzelne Benutzerkonten in der Cloud |
| 3 | Report anlegen | Um die Analyse und die gewonnenen Erkenntnisse zu Dokumentieren und an relevante Parteien zu kommunizieren, sollte ein entsprechender Report angelegt werden. | Für die Erstellung des Reports kann das entsprechende Template im ISMS SmartKit genutzt werden. |
| 4 | Maßnahmen festlegen | Um aus den gewonnen Erkenntnissen, Verbesserung für die Informationssicherheit zu erreichen, sollten Maßnahmen abgestimmt und festgelegt werden. | Die erfassten Maßnahmen können direkt im Report verlinkt werden. Beispiele für Maßnahmen, welche die in Schritt 2 gelisteten Erkenntnisse adressieren sind z.B.: - Intensivierung der Mitarbeitersensibilisierung - Absicherung des Backups kritischer Systeme gegen Verschlüsselung - Aktivierung von Multi-Faktor-Authentifizierung |
| 5 | Kommunikation | Die Bedrohungsinformationen und Erkenntnisse sollten an alle relevanten Parteien kommuniziert werden, damit weitere Gegenmaßnahmen getroffen werden können. Die Geschäftsführung wird einmal im Jahr im Rahmen der Managementbewertung mit strategischen Bedrohungsinformationen versorgt. | Relevante Parteien sind u.a. die Geschäftsführung und Verantwortliche der Informationssicherheit sowie der IT. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Quellen für Bedrohungsinformationen | Hier können bestehende Quellen für Bedrohungsinformationen angepasst und erweitert werden. | Link |
|
| Threat Intelligence Report |
Über ein Template können entsprechende Reports erzeugt werden. | Link | |
| Richtlinie sicherer IT-Betrieb | Kapitel “Threat Intelligence / Informationen über Bedrohungen” | Link |
Wo finde ich was?
\
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |