Definition Was ist Threat Intelligence?

Autor / Redakteur: Laimingas / Sarah Böttcher

Threat Intelligence (TI), deutsch etwa Bedrohungsaufklärung, dient dazu, Unternehmen, Behörden und andere Organisationen über Risiken von häufigen und schwerwiegenden Bedrohungen ihrer IT von außen und innen zu verstehen und einzuordnen.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Cyber-Attacken sorgen nahezu täglich für mehr oder weniger große Schlagzeilen, wenn Unternehmen aus der Wirtschaft, staatliche Behörden und Organisationen Schäden davontragen oder sogar lahmgelegt werden. Dabei haben die Angreifer unterschiedliche Motive. Sie versuchen an Betriebsgeheimnisse oder vertrauliche Kundendaten zu gelangen, sich Informationen für ein anderes Angriffsziel zu beschaffen oder Daten zu verschlüsseln, um die Betroffenen zu erpressen und für eine Entschlüsselung Geld zu verlangen. Die Vielfalt der „Geschäftsideen“ von Cyber-Kriminellen scheint unerschöpflich zu sein.

Für mögliche Ziele von Cyber-Angriffen ist es deshalb wichtig zu wissen, auf welche Weise und auf welchen Bereich eine Attacke erfolgen könnte. Dadurch wird es leichter, sich zu wappnen und Angriffe leichter abzuwehren. Hier setzt Threat Intelligence als präventive Maßnahme an, um einen Wissensvorsprung zu schaffen.

Definition von Threat Intelligence

Threat Intelligence wird als Begriff besonders häufig in militärischen und sicherheitspolitischen Zusammenhängen gebraucht. Hier werden nachrichtendienstliche Informationen dafür verwendet, um sich strategische Vorteile zu verschaffen und Organisationen bei Entscheidungen zu unterstützen. Threat Intelligence soll als Teil der Security Intelligence Informationen sammeln und aufbereiten, die eine bestimmte Relevanz zum Schutz der IT-Infrastruktur gegen Bedrohungen von außen und von innen haben. Neben der Informationsbeschaffung gehören zu Threat Intelligence aber auch Richtlinien, Prozessvorgaben und Tools, die der Sammlung und der anschließenden Analyse ebendieser Informationen dienen.

Allgemein lassen sich vier verschiedene Arten von Threat Intelligence beschreiben:

  • Strategische TI: Hierbei handelt es sich um allgemeine, nicht-technische Informationen, die eine mögliche Bedrohung in einem bestimmten Kontext behandeln und der Entscheidungshilfe dienen.
  • Taktische TI: Sie enthält detaillierte Anweisungen zur Abwehr von Bedrohungen und beschreibt auch Tools, Angriffsvektoren und Technologien, die von Cyber-Kriminellen genutzt werden. Zudem werden Unternehmensarten beschrieben, auf die einzelne Attacken abzielen, und Vermeidungsstrategien vorgegeben.
  • Operative TI: Sie liefert Informationen, die von einer IT-Abteilung konkret in einem aktiven Bedrohungsmanagement genutzt werden können, um einen genau definierten Angriff zu blockieren.
  • Technische TI: Sie zeigt Nachweise auf, dass aktuell eine Attacke stattfindet bzw. Indikatoren dafür vorliegen. Tools für die technische TI arbeiten zum Teil mit Künstlicher Intelligenz, um solche Indicators of Compromise aufzuspüren.

Threat Intelligence als Dienstleistung

Die Informationsbeschaffung und -analyse wird von spezialisierten Firmen auch als Dienstleistung angeboten, um Unternehmen und andere Organisationen über aktuelle Gefahrenlagen und mögliche Angriffsquellen aufzuklären, die für ihre Branche relevant sind. Man spricht dann von Threat Intelligence Services.

(ID:47332863)