Cyber Threat Intelligence bezeichnet die systematische Sammlung, Analyse und zielgerichtete Aufbereitung von Informationen über aktuelle Cyberbedrohungen, Angriffsmethoden und Angreifergruppen, um Unternehmen eine fundierte, handlungsorientierte Einschätzung ihrer eigenen Risikolage zu ermöglichen.
Cyber Threat Intelligence, kurz CTI, umfasst die gezielte Auswertung technischer Indikatoren, Angriffsmuster und Berichte über aktuelle Bedrohungslagen, um daraus konkrete, umsetzbare Erkenntnisse für die eigene IT-Sicherheit abzuleiten. Quellen sind unter anderem Sicherheitsforschung, Behördenwarnungen, Analysen von Sicherheitsanbietern und Beobachtungen aus dem eigenen Netzwerk.
Für Unternehmen ist CTI relevant, weil sie hilft, präventiv auf aktuelle Angriffswellen zu reagieren, statt erst nach einem eigenen Vorfall zu handeln. Größere Unternehmen betreiben dazu häufig eigene Teams oder beauftragen spezialisierte Dienstleister, kleinere Unternehmen nutzen meist aufbereitete Warnungen externer Stellen.
Für Architektur- und Ingenieurbüros ist CTI meist indirekt relevant, etwa wenn der beauftragte IT-Dienstleister oder Softwareanbieter entsprechende Bedrohungsinformationen nutzt, um genutzte Systeme frühzeitig gegen aktuell kursierende Angriffsmethoden, etwa neue Ransomware-Varianten oder Phishing-Wellen, abzusichern und rechtzeitig zu warnen.
Abzugrenzen ist CTI von einem Security Operations Center, das die laufende technische Überwachung übernimmt, sowie von Asset management, das den Überblick über vorhandene Systeme und Geräte sicherstellt. Angriffsfläche und Angriffsvektor beschreiben Konzepte, die mithilfe von CTI besser eingeschätzt werden können.
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist Cyber Threat Intelligence meist kein Thema, das Sie selbst aktiv betreiben müssen, da eigene CTI-Teams eher für größere Organisationen sinnvoll sind. Relevant ist für Sie jedoch, dass Ihr beauftragter IT-Dienstleister oder Softwareanbieter aktuelle Bedrohungsinformationen nutzt, um Ihre Systeme rechtzeitig vor neu aufkommenden Angriffsmethoden zu schützen. Bei der Auswahl von IT-Dienstleistern lohnt sich daher die Nachfrage, wie aktuelle Bedrohungslagen in deren Sicherheitskonzept einfließen. Für die Cyberversicherung kann relevant sein, dass ein IT-Dienstleister mit gutem Zugang zu aktuellen Bedrohungsinformationen Vorfälle häufig schneller erkennt und eindämmt, was sich positiv auf den Schadenverlauf auswirken kann.
Ein IT-Dienstleister, der mehrere Ingenieurbüros betreut, erhält über seine Cyber-Threat-Intelligence-Quellen frühzeitig Hinweise auf eine neue, gezielt gegen Baubranche und Projektplattformen gerichtete Phishing-Kampagne. Basierend auf diesen Informationen informiert er alle betreuten Büros umgehend über die konkreten Erkennungsmerkmale der Kampagne und passt die eingesetzten Sicherheitsfilter entsprechend an. Als wenige Tage später tatsächlich eine passende Phishing-E-Mail bei einem der betreuten Büros eintrifft, wird sie durch die angepassten Filter automatisch abgefangen und erreicht die Mitarbeitenden gar nicht erst, wodurch ein möglicher Sicherheitsvorfall von vornherein verhindert wird und wertvolle Zeit sowie unnötiger Aufwand gespart bleiben. Die Geschäftsführung lobt die schnelle Reaktion des Dienstleisters.
Cyber Threat Intelligence bezeichnet die systematische Sammlung und Analyse von Informationen über aktuelle Cyberbedrohungen, um Unternehmen eine fundierte Risikoeinschätzung zu ermöglichen.
Quellen sind unter anderem Sicherheitsforschung, Behördenwarnungen, Analysen spezialisierter Sicherheitsanbieter sowie Beobachtungen aus dem eigenen Unternehmensnetzwerk.
Die Nutzung erfolgt meist über beauftragte IT-Dienstleister oder Softwareanbieter, die entsprechende Bedrohungsinformationen in ihre eigenen Schutzmaßnahmen einfließen lassen.
Ein IT-Dienstleister mit gutem Zugang zu aktuellen Bedrohungsinformationen erkennt und begrenzt Vorfälle häufig schneller, was sich positiv auf den Schadenverlauf auswirken kann.
Es lohnt sich nachzufragen, wie aktuelle Bedrohungslagen systematisch in das Sicherheitskonzept des Dienstleisters einfließen und wie schnell entsprechend reagiert wird.
• Security Operations Center (SOC) – nutzt Cyber Threat Intelligence häufig als Grundlage für die laufende technische Überwachung.
• Angriffsfläche – lässt sich mithilfe aktueller Bedrohungsinformationen aus der Cyber Threat Intelligence realistischer einschätzen.
• Angriffsvektor – wird durch Cyber Threat Intelligence häufig frühzeitig identifiziert, bevor ein Angriff tatsächlich erfolgt.
• Asset management – liefert die Grundlage, um Bedrohungsinformationen gezielt auf die eigenen Systeme zu beziehen.