ISO 27001 A.5.7: Cyber Threat Intelligence (CTI) effektiv nutzen

Stellen Sie sich Ihr Risikoregister für ISO 27001 vor. Wahrscheinlich finden sich dort allgemeine Bedrohungen wie „Malware-Angriff“, „Phishing“ oder „Datendiebstahl“. Das ist ein guter Anfang, aber die ISO 27001:2022 verlangt mit der neuen Kontrolle A.5.7 „Threat Intelligence“ einen entscheidenden Schritt mehr. Es geht nicht mehr nur darum, dass etwas passieren könnte, sondern was gerade jetzt, gegen wen und wie passiert.

‍

Der Wandel ist fundamental: Weg von einer statischen, jährlichen Risikoanalyse hin zu einem dynamischen, intelligenzgesteuerten Prozess, der Ihr Unternehmen proaktiv vor realen, aktuellen Gefahren schützt. Statt „Malware“ heißt die Bedrohung plötzlich „QakBot-Malware-Kampagne, die auf deutsche Finanzdienstleister mit E-Mails zum Thema ‚Rechnungsprüfung‘ abzielt“. Das ist der Unterschied zwischen Raten und Wissen – und der Kern von A.5.7.

‍

‍

Dieser Artikel ist Ihr Praxis-Leitfaden. Wir übersetzen die abstrakten Anforderungen der Norm in einen konkreten, umsetzbaren Prozess und zeigen Ihnen, wie Sie Cyber Threat Intelligence (CTI) nutzen, um Ihr Informationssicherheits-Managementsystem (ISMS) wirklich lebendig zu machen.

‍

Was ist Threat Intelligence und warum ist A.5.7 so wichtig?

‍

Cyber Threat Intelligence (CTI) ist mehr als nur ein technischer Daten-Feed. Es ist aufbereitetes, kontextualisiertes Wissen über Cyber-Bedrohungen, das Ihnen hilft, bessere Sicherheitsentscheidungen zu treffen. Die Kontrolle A.5.7 wurde in die Weiterentwicklung des ISO 27001 Standards aufgenommen, weil sich die Bedrohungslandschaft so schnell verändert, dass jährliche Risikobewertungen allein nicht mehr ausreichen.

‍

Man unterscheidet typischerweise drei Ebenen der Threat Intelligence:

‍

• Strategische CTI: Ein allgemeiner Überblick über die Bedrohungslandschaft. Wer sind die Akteure? Was sind ihre Motive? Welche Branchen sind im Fokus? (Zielgruppe: Management, C-Level)
  ‍
• Taktische CTI: Detaillierte Informationen über die Taktiken, Techniken und Prozeduren (TTPs) von Angreifern. Welche Phishing-Methoden verwenden sie? Welche Malware kommt zum Einsatz? (Zielgruppe: IT-Sicherheitsmanager, Architekten)
  ‍
• Operationale CTI: Hochtechnische, oft maschinenlesbare Indikatoren eines Angriffs (Indicators of Compromise, IoCs), wie bösartige IP-Adressen, Datei-Hashes oder verdächtige Domains. (Zielgruppe: SOC-Analysten, IT-Administration)

‍

Das Ziel von A.5.7 ist es, Informationen aus diesen drei Ebenen zu sammeln, zu analysieren und gezielt zur Stärkung der eigenen Abwehrmaßnahmen zu nutzen.

‍

Vom Datenwust zur Entscheidungsgrundlage: Der 5-Stufen-Prozess zur CTI-Integration

‍

Ein effektiver CTI-Prozess verwandelt rohe Daten in handlungsleitende Intelligenz. Das klingt erstmal komplex, lässt sich aber in fünf logische Schritte unterteilen. Dieser Zyklus stellt sicher, dass Sie nicht nur Daten sammeln, sondern diese auch systematisch für Ihr Risikomanagement nutzen.

‍

‍

Schritt 1: Direction (Anforderungen definieren)

‍

Bevor Sie ertrinken in einer Flut von Informationen, stellen Sie sich die wichtigste Frage: Welche Bedrohungen sind für uns relevant? Definieren Sie Ihre „Intelligence Requirements“. Diese leiten sich aus Ihrem Geschäftskontext ab:

‍

• Branche: Sind Sie ein Finanzdienstleister, ein Produktionsunternehmen oder ein E-Commerce-Shop? Die Angreifer und Methoden unterscheiden sich erheblich.
  ‍
• Technologie: Welche Systeme sind bei Ihnen kritisch? Nutzen Sie spezielle Cloud-Dienste, Industrieanlagen (OT) oder eine bestimmte Software?
  ‍
• Standort: Gibt es Bedrohungen, die sich speziell gegen Unternehmen in Deutschland oder der EU richten?
  ‍
• Kronjuwelen: Welche Daten und Systeme sind für Ihr Überleben absolut entscheidend?

‍

Das Ergebnis ist eine Liste von Prioritäten, die Ihnen hilft, im nächsten Schritt die richtigen Quellen auszuwählen.

‍

Schritt 2: Collection (Informationen sammeln)

‍

Jetzt geht es darum, die definierten Anforderungen mit Daten zu füttern. Eine gute Mischung aus verschiedenen Quellen ist hier der Schlüssel. Sie müssen nicht sofort teure Feeds abonnieren. Beginnen Sie mit frei verfügbaren, aber qualitativ hochwertigen Quellen:
‍

• Behörden: Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine exzellente, deutsche Quelle für strategische und taktische Intelligenz.
  ‍
• Open-Source-Feeds: Projekte wie FeodoTracker oder die CISA Known Exploited Vulnerabilities (KEV) Catalog liefern operationale Indikatoren.
  ‍
• Hersteller-Reports: Große Sicherheitsanbieter (z.B. Microsoft, CrowdStrike) veröffentlichen regelmäßig detaillierte Analysen zu aktuellen Bedrohungen.
  ‍
• ISACs (Information Sharing and Analysis Centers): Branchenspezifische Verbände zum Austausch von Sicherheitsinformationen sind oft Gold wert.

‍

Schritt 3: Analysis (Daten in Wissen umwandeln)

‍

Rohe Daten sind nutzlos. Die Analyse ist der Schritt, in dem Sie Daten in entscheidungsrelevante Intelligenz verwandeln. Stellen Sie sich bei jeder Information die Fragen:

‍

• Relevanz: Betrifft uns das direkt oder indirekt?
  ‍
• Glaubwürdigkeit: Wie vertrauenswürdig ist die Quelle?
  ‍
• Kontext: Was bedeutet diese Information für unsere spezifische IT-Landschaft und unsere Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit)?

‍

Ein Analyst könnte beispielsweise feststellen, dass eine neue Phishing-Welle eine Schwachstelle in einer Software ausnutzt, die im Unternehmen im Einsatz ist. Das ist die entscheidende Verknüpfung.

‍

Schritt 4: Dissemination (Wissen teilen und Risiken anpassen)

‍

Hier schließt sich der Kreis zur ISO 27001. Die analysierte Intelligenz muss an die richtigen Stellen im Unternehmen verteilt werden, um eine Reaktion auszulösen. Der wichtigste Prozess ist, diese Erkenntnisse direkt in Ihr bestehendes Risikomanagement nach ISO 27001 einfließen zu lassen.

‍

Konkret bedeutet das:

‍

1. Risikoregister aktualisieren: Ein generisches Risiko („Phishing“) wird zu einem spezifischen, bewerteten Risiko („Phishing-Kampagne von Gruppe X nutzt Schwachstelle Y aus“). Die Eintrittswahrscheinlichkeit kann nun viel genauer eingeschätzt werden.
   ‍
2. Kontrollen überprüfen und anpassen: Basierend auf dem neuen Risiko entscheiden Sie über die Risikobehandlung. Muss ein Patch priorisiert werden? Brauchen wir eine kurzfristige Awareness-Schulung für Mitarbeiter? Müssen Firewall-Regeln angepasst werden?
   ‍
3. Stakeholder informieren: Das Management erhält eine strategische Zusammenfassung, während das IT-Team konkrete Handlungsanweisungen bekommt.

‍

Schritt 5: Feedback (Prozess optimieren)

‍

Der CTI-Zyklus ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Holen Sie sich Feedback von den „Konsumenten“ der Intelligenz: Hat die Information geholfen, eine Entscheidung zu treffen? War der Bericht verständlich? Waren die Indikatoren nützlich? Dieses Feedback hilft Ihnen, Ihre Quellen und Analyseprozesse stetig zu verbessern und den Fokus zu schärfen.

‍

Aus der Theorie in die Praxis: Ein Fallbeispiel

‍

Stellen wir uns die „Müller Maschinenbau GmbH“ vor, einen typischen deutschen Mittelständler.

‍

Vorher (ohne CTI-Prozess):Im Risikoregister der Müller GmbH steht die Bedrohung: „Ransomware-Angriff“ mit einer pauschal als „mittel“ bewerteten Eintrittswahrscheinlichkeit. Die Maßnahmen sind generisch: „Regelmäßige Backups“ und „Virenschutz“.

‍

Der CTI-Prozess in Aktion:

‍

1. Direction: Die Müller GmbH definiert als kritisch: ihre Produktionsanlagen (OT-Systeme) und die Kundendaten im CRM.
   ‍
2. Collection: Das IT-Team liest im BSI-Lagebericht und in einem Security-Blog, dass die Ransomware-Gruppe „Lockbit 3.0“ gezielt deutsche Produktionsunternehmen angreift. Sie nutzen dabei eine bekannte Schwachstelle (CVE-2023-XXXX) in einer weit verbreiteten Fernwartungssoftware.
   ‍
3. Analysis: Der IT-Leiter prüft und stellt fest: Diese Software ist bei der Müller GmbH für die Wartung der Maschinen im Einsatz. Die Bedrohung ist also hochrelevant und akut.
   ‍
4. Dissemination:
   • Das Risikoregister wird aktualisiert: Die Bedrohung heißt jetzt „Kompromittierung der OT-Systeme durch Lockbit 3.0 via CVE-2023-XXXX“. Die Eintrittswahrscheinlichkeit wird auf „hoch“ gesetzt.
   • Risikobehandlung: Es werden sofortige Maßnahmen beschlossen: 1. Unverzügliches Einspielen des Sicherheitspatches für die Fernwartungssoftware. 2. Überprüfung der Netzwerksegmentierung zwischen IT und OT. 3. Kurzschulung für die Techniker zum Erkennen verdächtiger Anmeldeversuche.
     ‍
5. Feedback: Das IT-Team bestätigt die erfolgreiche Umsetzung der Maßnahmen. Der CTI-Prozess hat eine konkrete, bevorstehende Gefahr abgewendet.

‍

Dieser Wandel von einer reaktiven Haltung zu einer proaktiven Verteidigung ist der unschätzbare Wert eines gelebten CTI-Prozesses.

‍

‍

Typische Fehler bei der Umsetzung von A.5.7 vermeiden

‍

Bei der Implementierung eines CTI-Prozesses gibt es einige klassische Stolpersteine, wie auch bei den anderen neuen Kontrollen aus dem Annex A. Wenn Sie diese kennen, können Sie sie von Anfang an vermeiden:

‍

1. CTI als reines Tool verstehen: Viele denken, mit dem Kauf eines teuren Threat-Intelligence-Feeds sei die Anforderung erfüllt. Falsch. CTI ist ein Prozess der Analyse und Kontextualisierung. Ohne die Schritte 1, 3, 4 und 5 ist ein Daten-Feed nur teures Rauschen.
   ‍
2. Relevanz ignorieren (One-size-fits-all): Jede Information zu jeder Bedrohung sammeln zu wollen, führt zur Überforderung. Konzentrieren Sie sich strikt auf die Bedrohungen, die für Ihre Branche, Technologie und Ihr Unternehmen wirklich relevant sind (siehe Schritt 1).
   ‍
3. Den Kreislauf nicht schließen: Die beste Analyse ist wertlos, wenn sie nicht zu einer konkreten Anpassung im Risikoregister und bei den Sicherheitsmaßnahmen führt. Stellen Sie sicher, dass der Weg von der Information zur Handlung klar definiert ist.

‍

Fazit: Threat Intelligence als strategischer Vorteil

‍

Die Kontrolle A.5.7 „Threat Intelligence“ ist keine bürokratische Hürde, sondern eine Einladung, Ihr Sicherheitsmanagement auf die nächste Stufe zu heben. Ein gut implementierter CTI-Prozess verwandelt Ihr ISMS von einem statischen Regelwerk in ein agiles, lernendes System, das sich an die reale Bedrohungslage anpasst.

‍

Sie schützen nicht nur Ihre Informationswerte effektiver, sondern schaffen auch einen messbaren strategischen Vorteil, indem Sie Risiken proaktiv minimieren, statt nur auf Vorfälle zu reagieren. Dieser Ansatz ist zudem ein entscheidender Baustein für ein kontinuierliches Monitoring, wie es auch von neuen Regularien wie NIS2 gefordert wird.

‍

Der Weg zu einem reifen CTI-Prozess ist eine Reise, kein Sprint. Beginnen Sie klein, fokussieren Sie sich auf Relevanz und verbessern Sie Ihren Prozess Schritt für Schritt. Damit erfüllen Sie nicht nur eine Anforderung der ISO 27001, sondern machen Ihr Unternehmen jeden Tag ein Stück sicherer.

‍

Häufig gestellte Fragen (FAQ)

‍

Wie fange ich mit Threat Intelligence an, wenn ich kein Budget habe?

‍

Sie benötigen zu Beginn kein teures Abonnement. Nutzen Sie die exzellenten, kostenfreien Ressourcen des BSI, abonnieren Sie die Newsletter von 2-3 großen Sicherheitsherstellern und folgen Sie anerkannten Sicherheitsexperten. Das allein liefert bereits einen enormen Mehrwert.

‍

Was muss ich für ein ISO 27001 Audit dokumentieren?

‍

Ein Auditor wird sehen wollen, dass Sie einen gelebten Prozess haben. Wichtige Nachweise sind:

‍

• Eine dokumentierte Vorgehensweise (z.B. eine CTI-Richtlinie).
• Nachweise über die gesammelten und analysierten Informationen (z.B. kurze monatliche Zusammenfassungen).
• Ein Risikoregister, das zeigt, wie CTI-Erkenntnisse zu Aktualisierungen geführt haben.
• Protokolle aus Meetings, in denen CTI-basierte Maßnahmen beschlossen wurden.

‍

Was ist der Unterschied zwischen taktischer und strategischer CTI in der Praxis?

‍

• Strategisch: Eine Management-Zusammenfassung, die besagt: „Angriffe auf Lieferketten in unserer Branche nehmen um 40 % zu.“ Daraus leitet sich die strategische Entscheidung ab, das Lieferanten-Risikomanagement zu verbessern.
  ‍
• Taktisch: Eine IT-Warnung, die besagt: „Angreifer nutzen gefälschte Anmeldeseiten für unseren Cloud-Provider, die so und so aussehen.“ Daraus leitet sich die taktische Maßnahme ab, eine Phishing-Simulation mit genau diesem Szenario durchzuführen.

‍