Zum Inhalt springen

DORA Threat Intelligence

Bedrohungsanalyse

Umfasst die gesamte Wertschöpfungskette von der Rohdaten-Aggregation bis zur entscheidungsreifen Analyse für Vorstand, CISO und IKT-Risikomanagement.

Note: Diese Bedrohungsanalyse ist ein generisches Framework gemäss DORA Art. 3 Ziffer 8. Sie ersetzt keine institutsspezifische Gefährdungsbeurteilung, keine Rechtsberatung und keine operative Sicherheitsanalyse. Die Bewertung von Wahrscheinlichkeiten und Auswirkungen muss institutsspezifisch erfolgen.
⚖️

DORA Artikel 3 Ziffer 8

„Bedrohungsanalyse: Informationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe."

P1

Aggregation & Sammlung

Rohdaten-Lagebild

P2

Analyse & Bewertung

Bewertetes Bedrohungsprofil

P3

Kontextualisierung

Business-kontextualisierte Bedrohungslage

P4

Entscheidungsunterstützung

Entscheidungsvorlage / Board-Report

Die 4 Säulen der Bedrohungsanalyse

P1

Aggregation & Sammlung

Systematische Zusammenführung von Bedrohungsinformationen aus internen und externen Quellen als Grundlage jeder fundierten Analyse.

Kontinuierlich / täglich
SIEM/Log-Aggregatoren Threat-Intelligence-Feeds CVE-Datenbanken Branchenwarnungen (BaFin, BSI, ECB) Provider-Meldungen ISAC-Plattformen Open-Source-Intelligence (OSINT) Darknet-Monitoring
👤 SOC / Security Engineer Art. 5 IKT-Risikomanagement Art. 7 IKT-Risikoerkennung Art. 13 Bedrohungserkennung
P2

Analyse & Bewertung

Umwandlung von Rohdaten in bewertete Bedrohungsinformationen: Validierung, Kontextualisierung und Risikobewertung.

Wöchentlich / ad-hoc
MITRE ATT&CK MITRE ATLAS OWASP Top 10 CVSS-Scoring EPSS-Wahrscheinlichkeit TTP-Mapping Kill-Chain-Analyse Diamond-Model
👤 Threat Intelligence Analyst / CISO Art. 5 Abs. 2 Berichterstattung Art. 7 Abs. 2 Risikobewertung Art. 10 Erkennung von Anomalien
P3

Kontextualisierung

Anreicherung der technischen Bedrohungsdaten mit Business-Kontext: Betroffene kritische Funktionen, Datenklassen, regulatorische Auswirkungen.

Wöchentlich
Asset-Inventar CIF-Register (kritische Funktionen) Datenklassifizierung Geschäftsprozess-Modell Provider-Verträge Regulatorische Anforderungen
👤 IKT-Risikomanagement / CISO Art. 5 Abs. 2 Art. 8 Schutz der IKT-Systeme Art. 28 Informationsregister
P4

Entscheidungsunterstützung

Aufbereitung der Analyse für Management-Entscheidungen: Handlungsoptionen, Risikoakzeptanz, Ressourcenallokation, Eskalation.

Quartalsweise / ad-hoc
Risikomatrix SLA-Definitionen Business-Impact-Analyse Budget-Planung Deckungsbeitragsrechnung
👤 CISO / Vorstand / Risikokomitee Art. 5 Abs. 2 Berichterstattung Art. 11 Management-Entscheidungen Art. 15 Kommunikationsstrategie

🌐 Bedrohungsakteure

Staatliche Akteure (APT) mittel katastrophal

Motivation: Geopolitik, Wirtschaftsspionage, Sabotage

Fähigkeit: Sehr hoch · Ziel: Kritische Infrastruktur, Banken, Behörden

Advanced Persistent Threats, Zero-Day-Exploits, Supply-Chain-Attacken

DORA Art. 5, 7, 13, 26-27 (TLPT)

Organisierte Kriminalität (Ransomware) hoch kritisch

Motivation: Finanzieller Gewinn, Erpressung

Fähigkeit: Hoch · Ziel: Finanzinstitute, Zahlungsdienstleister

Ransomware-as-a-Service, Social Engineering, Phishing, Initial Access Broker

DORA Art. 10, 17-18 (Incident Reporting), 24

Hacktivisten mittel mittel

Motivation: Politische Agenda, Protest, Aufmerksamkeit

Fähigkeit: Mittel · Ziel: Öffentlich sichtbare Dienste, Social-Media-Präsenz

DDoS, Website-Defacement, Datenleak-Öffentlichmachung

DORA Art. 5, 13, 24

Insider (böswillig / fahrlässig) mittel hoch

Motivation: Rache, finanziell, menschliches Versagen

Fähigkeit: Niedrig bis mittel · Ziel: Interne Systeme, Kundendaten, Admin-Zugänge

Datenexfiltration, Privilege Escalation, Social Engineering, Phishing

DORA Art. 5, 8, 10, 13

Script Kiddies / Einzeltäter hoch niedrig

Motivation: Neugier, Reputation, Herausforderung

Fähigkeit: Niedrig · Ziel: Schwachstellen bekannter Systeme, öffentliche Dienste

Automated Scans, bekannte Exploits, Standard-Schwachstellen

DORA Art. 24-25 (Vulnerability Scanning)

Drittanbieter / Provider mittel kritisch

Motivation: Fahrlässigkeit, unzureichende Sicherheitsmassnahmen

Fähigkeit: Systemimmanent · Ziel: Provider-Infrastruktur, Supply-Chain, Cloud-Dienste

Sicherheitslücken in Provider-Umgebung, fehlende Patch-Governance

DORA Art. 28-30 (IKT-Drittparteienrisiko)

🔗 Cyber Kill Chain

7-Phasen-Modell des Cyberangriffs mit Erkennungs- und Abwehrmassnahmen.

1. Reconnaissance

Informationssammlung über das Ziel

Erkennung

SIEM-Korrelation, Anomalie-Erkennung

Abwehr

Reduzierung der Angriffsfläche, OSINT-Monitoring

2. Weaponization

Erstellung oder Anpassung von Schadcode

Erkennung

Eindämmung durch EDR, Datei-Reputation

Abwehr

Application Control, Hardening

3. Delivery

Übermittlung der Nutzlast ans Ziel

Erkennung

E-Mail-Security, Web-Proxy, Network-Detection

Abwehr

Sicherheitsschulung, Anti-Phishing

4. Exploitation

Ausnutzung einer Schwachstelle

Erkennung

EDR, Vulnerability-Scanning, HIDS

Abwehr

Patch-Management, Schwachstellen-Assessment

5. Installation

Etablierung eines persistenten Zugangs

Erkennung

EDR, File-Integrity-Monitoring, SIEM

Abwehr

Privilege Management, MFA, Hardening

6. Command & Control (C2)

Aufbau einer kontrollierten Kommunikation

Erkennung

Network-Detection, DNS-Analyse, Proxy-Logs

Abwehr

Egress-Filtering, Network-Segmentierung

7. Actions on Objectives

Durchführung der eigentlichen Schädigung

Erkennung

SIEM-Korrelation, DLP, Audit-Logs

Abwehr

Backup, Incident-Response-Plan, DLP

🔬 Analysemethoden

Diamond Model

Analysiert die Beziehung zwischen Angreifer, Infrastruktur, Fähigkeit und Ziel

mittel Tiefgehende Einzelfall-Analyse

MITRE ATT&CK

Standardisiertes Framework zur Klassifizierung von TTPs (Taktiken, Techniken, Prozeduren)

niedrig TTP-Mapping und Gap-Analyse

Kill Chain

Phasenmodell des Cyberangriffs von Reconnaissance bis Actions on Objectives

niedrig Einordnung des Angriffsfortschritts

Cyber Threat Framework (CTF)

Strukturierte Beschreibung von Bedrohungsaktivitäten nach Phasen und Handlungssträngen

hoch Standardisierte Berichterstattung

STIX/TAXII

Standardisiertes Austauschformat für Cyber-Bedrohungsinformationen

mittel Automatisierter Bedrohungsdaten-Austausch

CVSS/EPSS

Bewertung der technischen Schwere und Ausnutzungswahrscheinlichkeit

niedrig Priorisierung von Schwachstellen

📊 Reporting-Struktur

Bericht Zielgruppe Inhalt Frequenz DORA
Tägliches Bedrohungs-Lagebild SOC / CISO Aktuelle Warnungen, neue CVEs, erhöhte Aktivität, Quellen-Status täglich
Wöchentliche Bedrohungsanalyse CISO / IKT-Risikomanagement Bewertete Bedrohungslage, TTP-Trends, relevante Akteure, Handlungsempfehlungen wöchentlich
Monatliches Threat-Intelligence-Briefing IKT-Risikomanagement / Auslagerungsmanagement Zusammenfassung aller Bedrohungsquellen, Trendentwicklung, Provider-Bedrohungslage monatlich
Quartalsbericht an das Leitungsorgan Vorstand / Risikokomitee Strategische Bedrohungslage, Auswirkungen auf das Institut, Ressourcenbedarf quartalsweise Art. 5 Abs. 2
Ad-hoc-Eskalationsbericht CISO / Vorstand / Aufsicht Sofortmeldung bei akuter kritischer Bedrohung mit Massnahmenplan ad-hoc Art. 17-18

📜 DORA-Artikel-Mapping

Art. 3 Ziff. 8 abgedeckt

Definition Bedrohungsanalyse

Grundlage für das gesamte Modul

Art. 5 (2) abgedeckt

Berichterstattung an Leitungsorgan

Reporting-Templates und Entscheidungsvorlagen

Art. 7 abgedeckt

IKT-Risikoerkennung und -bewertung

P2 Analyse & Bewertung, Threat-Actor-Profil

Art. 10 abgedeckt

Erkennung von Anomalien

Kill-Chain-Detection pro Phase

Art. 13 abgedeckt

Bedrohungserkennung

P1 Aggregation, Kill-Chain-Reconnaissance

Art. 15 abgedeckt

Kommunikationsstrategie

Reporting-Templates, Ad-hoc-Eskalation

Art. 17-18 abgedeckt

IKT-Vorfallmeldung

Ad-hoc-Eskalationsbericht, Incident-Reporting

Art. 24-25 abgedeckt

Schwachstellenbewertungen

CVSS/EPSS-Integration, TTP-Mapping

Art. 26-27 abgedeckt

TLPT

Threat-Actor-Profiling als TLPT-Grundlage

Art. 28-30 abgedeckt

IKT-Drittparteienrisiko

Provider-spezifische Bedrohungsanalyse