DORA Threat Intelligence
Bedrohungsanalyse
Umfasst die gesamte Wertschöpfungskette von der Rohdaten-Aggregation bis zur entscheidungsreifen Analyse für Vorstand, CISO und IKT-Risikomanagement.
DORA Artikel 3 Ziffer 8
„Bedrohungsanalyse: Informationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe."
Aggregation & Sammlung
Rohdaten-Lagebild
Analyse & Bewertung
Bewertetes Bedrohungsprofil
Kontextualisierung
Business-kontextualisierte Bedrohungslage
Entscheidungsunterstützung
Entscheidungsvorlage / Board-Report
Die 4 Säulen der Bedrohungsanalyse
Aggregation & Sammlung
Systematische Zusammenführung von Bedrohungsinformationen aus internen und externen Quellen als Grundlage jeder fundierten Analyse.
Analyse & Bewertung
Umwandlung von Rohdaten in bewertete Bedrohungsinformationen: Validierung, Kontextualisierung und Risikobewertung.
Kontextualisierung
Anreicherung der technischen Bedrohungsdaten mit Business-Kontext: Betroffene kritische Funktionen, Datenklassen, regulatorische Auswirkungen.
Entscheidungsunterstützung
Aufbereitung der Analyse für Management-Entscheidungen: Handlungsoptionen, Risikoakzeptanz, Ressourcenallokation, Eskalation.
🌐 Bedrohungsakteure
Motivation: Geopolitik, Wirtschaftsspionage, Sabotage
Fähigkeit: Sehr hoch · Ziel: Kritische Infrastruktur, Banken, Behörden
Advanced Persistent Threats, Zero-Day-Exploits, Supply-Chain-Attacken
DORA Art. 5, 7, 13, 26-27 (TLPT)
Motivation: Finanzieller Gewinn, Erpressung
Fähigkeit: Hoch · Ziel: Finanzinstitute, Zahlungsdienstleister
Ransomware-as-a-Service, Social Engineering, Phishing, Initial Access Broker
DORA Art. 10, 17-18 (Incident Reporting), 24
Motivation: Politische Agenda, Protest, Aufmerksamkeit
Fähigkeit: Mittel · Ziel: Öffentlich sichtbare Dienste, Social-Media-Präsenz
DDoS, Website-Defacement, Datenleak-Öffentlichmachung
DORA Art. 5, 13, 24
Motivation: Rache, finanziell, menschliches Versagen
Fähigkeit: Niedrig bis mittel · Ziel: Interne Systeme, Kundendaten, Admin-Zugänge
Datenexfiltration, Privilege Escalation, Social Engineering, Phishing
DORA Art. 5, 8, 10, 13
Motivation: Neugier, Reputation, Herausforderung
Fähigkeit: Niedrig · Ziel: Schwachstellen bekannter Systeme, öffentliche Dienste
Automated Scans, bekannte Exploits, Standard-Schwachstellen
DORA Art. 24-25 (Vulnerability Scanning)
Motivation: Fahrlässigkeit, unzureichende Sicherheitsmassnahmen
Fähigkeit: Systemimmanent · Ziel: Provider-Infrastruktur, Supply-Chain, Cloud-Dienste
Sicherheitslücken in Provider-Umgebung, fehlende Patch-Governance
DORA Art. 28-30 (IKT-Drittparteienrisiko)
🔗 Cyber Kill Chain
7-Phasen-Modell des Cyberangriffs mit Erkennungs- und Abwehrmassnahmen.
1. Reconnaissance
Informationssammlung über das Ziel
Erkennung
SIEM-Korrelation, Anomalie-Erkennung
Abwehr
Reduzierung der Angriffsfläche, OSINT-Monitoring
2. Weaponization
Erstellung oder Anpassung von Schadcode
Erkennung
Eindämmung durch EDR, Datei-Reputation
Abwehr
Application Control, Hardening
3. Delivery
Übermittlung der Nutzlast ans Ziel
Erkennung
E-Mail-Security, Web-Proxy, Network-Detection
Abwehr
Sicherheitsschulung, Anti-Phishing
4. Exploitation
Ausnutzung einer Schwachstelle
Erkennung
EDR, Vulnerability-Scanning, HIDS
Abwehr
Patch-Management, Schwachstellen-Assessment
5. Installation
Etablierung eines persistenten Zugangs
Erkennung
EDR, File-Integrity-Monitoring, SIEM
Abwehr
Privilege Management, MFA, Hardening
6. Command & Control (C2)
Aufbau einer kontrollierten Kommunikation
Erkennung
Network-Detection, DNS-Analyse, Proxy-Logs
Abwehr
Egress-Filtering, Network-Segmentierung
7. Actions on Objectives
Durchführung der eigentlichen Schädigung
Erkennung
SIEM-Korrelation, DLP, Audit-Logs
Abwehr
Backup, Incident-Response-Plan, DLP
🔬 Analysemethoden
Diamond Model
Analysiert die Beziehung zwischen Angreifer, Infrastruktur, Fähigkeit und Ziel
MITRE ATT&CK
Standardisiertes Framework zur Klassifizierung von TTPs (Taktiken, Techniken, Prozeduren)
Kill Chain
Phasenmodell des Cyberangriffs von Reconnaissance bis Actions on Objectives
Cyber Threat Framework (CTF)
Strukturierte Beschreibung von Bedrohungsaktivitäten nach Phasen und Handlungssträngen
STIX/TAXII
Standardisiertes Austauschformat für Cyber-Bedrohungsinformationen
CVSS/EPSS
Bewertung der technischen Schwere und Ausnutzungswahrscheinlichkeit
📊 Reporting-Struktur
| Bericht | Zielgruppe | Inhalt | Frequenz | DORA |
|---|---|---|---|---|
| Tägliches Bedrohungs-Lagebild | SOC / CISO | Aktuelle Warnungen, neue CVEs, erhöhte Aktivität, Quellen-Status | täglich | — |
| Wöchentliche Bedrohungsanalyse | CISO / IKT-Risikomanagement | Bewertete Bedrohungslage, TTP-Trends, relevante Akteure, Handlungsempfehlungen | wöchentlich | — |
| Monatliches Threat-Intelligence-Briefing | IKT-Risikomanagement / Auslagerungsmanagement | Zusammenfassung aller Bedrohungsquellen, Trendentwicklung, Provider-Bedrohungslage | monatlich | — |
| Quartalsbericht an das Leitungsorgan | Vorstand / Risikokomitee | Strategische Bedrohungslage, Auswirkungen auf das Institut, Ressourcenbedarf | quartalsweise | Art. 5 Abs. 2 |
| Ad-hoc-Eskalationsbericht | CISO / Vorstand / Aufsicht | Sofortmeldung bei akuter kritischer Bedrohung mit Massnahmenplan | ad-hoc | Art. 17-18 |
📜 DORA-Artikel-Mapping
Definition Bedrohungsanalyse
Grundlage für das gesamte Modul
Berichterstattung an Leitungsorgan
Reporting-Templates und Entscheidungsvorlagen
IKT-Risikoerkennung und -bewertung
P2 Analyse & Bewertung, Threat-Actor-Profil
Erkennung von Anomalien
Kill-Chain-Detection pro Phase
Bedrohungserkennung
P1 Aggregation, Kill-Chain-Reconnaissance
Kommunikationsstrategie
Reporting-Templates, Ad-hoc-Eskalation
IKT-Vorfallmeldung
Ad-hoc-Eskalationsbericht, Incident-Reporting
Schwachstellenbewertungen
CVSS/EPSS-Integration, TTP-Mapping
TLPT
Threat-Actor-Profiling als TLPT-Grundlage
IKT-Drittparteienrisiko
Provider-spezifische Bedrohungsanalyse