Bedrohungsaufklärung und Bedrohungsüberwachung

Bedrohungsaufklärung klingt nach etwas, das nur große Sicherheitsteams tun. Das stimmt nicht. Im Kern beantwortet Bedrohungsaufklärung eine einfache Frage: „Welche Angriffe finden bei Unternehmen wie uns statt, und sind wir anfällig?"

Sie brauchen keinen dedizierten Bedrohungsanalysten. Sie brauchen die richtigen Quellen, einen Prozess zur Überprüfung und eine Möglichkeit, Informationen in Maßnahmen umzuwandeln.

Was ist Bedrohungsaufklärung?

Bedrohungsaufklärung sind Informationen über Bedrohungen – wer angreift, wie sie es tun und was sie anvisieren. Sie kommt in verschiedenen Formen:

Typ	Was sie Ihnen sagt	Beispiel	Umsetzbarkeit
Strategisch	Langfristige Trends, Motivationen von Bedrohungsakteuren	„Ransomware-Gruppen greifen das Gesundheitswesen an"	Informiert Planung
Taktisch	TTPs (Taktiken, Techniken, Verfahren)	„Angreifer verwenden Spear-Phishing mit PDF-Anhängen"	Informiert Abwehrmaßnahmen
Operativ	Spezifische Kampagnen, Zeitpunkt	„Kampagne X ist diese Woche in unserer Branche aktiv"	Informiert Reaktion
Technisch	IOCs (Indicators of Compromise)	IP-Adressen, Malware-Hashes, Domains	Direktes Blockieren

Für kleine Unternehmen konzentrieren Sie sich auf taktische und operative Aufklärung. Strategisch ist schön zu wissen. Technische IOCs sind nur nützlich, wenn Sie die Infrastruktur haben, sie einzusetzen.

Warum Bedrohungsaufklärung wichtig ist

Den Feind kennen

Ohne Aufklärung ist Sicherheit generisch. Mit ihr können Sie sich auf das Wesentliche konzentrieren.

Ohne Aufklärung: „Wir sollten uns wahrscheinlich um... alles sorgen?"

Mit Aufklärung: „Ransomware-Gruppen greifen aktiv Unternehmen an, die [Software, die wir verwenden] nutzen. Wir sollten unsere Patches und Backup-Strategie überprüfen."

Proaktiv vs. reaktiv

Aufklärung lässt Sie sich vorbereiten, bevor Angriffe treffen. Wenn eine neue Schwachstelle bekannt wird, wissen Sie, ob Ihre Branche angegriffen wird, bevor Sie selbst angegriffen werden.

Priorisierung

Begrenzte Ressourcen bedeuten, auszuwählen, woran gearbeitet wird. Aufklärung sagt Ihnen, welche Schwachstellen aktiv ausgenutzt werden, nicht nur theoretisch ausnutzbar sind.

Kostenlose Quellen für Bedrohungsaufklärung

Sie müssen nicht für Bedrohungsaufklärung bezahlen. Viele hochwertige Quellen sind kostenlos.

CISA (Cybersecurity and Infrastructure Security Agency)

Known Exploited Vulnerabilities (KEV) Catalog

Der KEV-Katalog listet Schwachstellen auf, die aktiv in der Praxis ausgenutzt werden. Wenn sie auf dieser Liste stehen, patchen Sie sofort.

Link: cisa.gov/known-exploited-vulnerabilities-catalog

Verwendung:

• Updates per E-Mail oder RSS abonnieren
• Mit Ihren Schwachstellen-Scans abgleichen
• KEV-Schwachstellen sollten höchste Priorität haben

Weitere CISA-Ressourcen:

• CISA Alerts — Hinweise zu aktuellen Bedrohungen
• Shields Up — Leitlinien bei erhöhter Bedrohungslage
• StopRansomware.gov — Ransomware-spezifische Leitlinien

MITRE ATT&CK

ATT&CK ist eine Wissensdatenbank über Taktiken und Techniken von Angreifern. Sie erklärt, WIE Angreifer vorgehen.

Link: attack.mitre.org

Verwendung:

• Angriffsmuster verstehen
• Ihre Abwehrmaßnahmen auf Techniken abbilden
• Für Bedrohungsmodellierung und Erkennungsregeln verwenden

Wichtige Abschnitte:

• Enterprise Matrix — Taktiken/Techniken für Enterprise-Umgebungen
• Groups — Profile bekannter Bedrohungsakteure
• Software — Von Angreifern verwendete Malware und Werkzeuge

Have I Been Pwned (HIBP)

Troy Hunts Dienst verfolgt Datenpannen. Wenn Ihre Unternehmens-Domain in Datenpannen erscheint, haben Angreifer Mitarbeiteranmeldedaten.

Link: haveibeenpwned.com

Verwendung:

• Ihre Domain für Benachrichtigungen registrieren: haveibeenpwned.com/DomainSearch
• Benachrichtigungen erhalten, wenn Mitarbeiter-E-Mails in Datenpannen erscheinen
• Passwort-Resets für betroffene Accounts erzwingen
• API für Automatisierung verfügbar

Domain-Suche einrichten:

1. Domain-Eigentümerschaft nachweisen (DNS-TXT-Eintrag oder E-Mail-Verifizierung)
2. Benachrichtigungen abonnieren
3. Benachrichtigungen erhalten, wenn neue Datenpannen Ihre Domain enthalten
4. Innerhalb von 24 Stunden auf Benachrichtigungen reagieren

Branchen-ISACs

Information Sharing and Analysis Centers (ISACs) teilen branchenspezifische Bedrohungsaufklärung.

Branche	ISAC	Link
Finanzdienstleistungen	FS-ISAC	fsisac.com
Gesundheitswesen	Health-ISAC	h-isac.org
Einzelhandel	Retail & Hospitality ISAC	rhisac.org
Technologie	IT-ISAC	it-isac.org
Multi-State	MS-ISAC	cisecurity.org/ms-isac

Die meisten bieten kostenlose Mitgliedschaftsstufen oder sind für kleine Organisationen kostenlos.

Anbieter-Sicherheitsmeldungen

Ihre Technologieanbieter veröffentlichen Sicherheitshinweise. Abonnieren Sie diese.

Anbieter	Link zur Sicherheitsmeldung
Microsoft	msrc.microsoft.com
Apple	support.apple.com/security-updates
Google (Cloud)	cloud.google.com/security/bulletins
AWS	aws.amazon.com/security/security-bulletins
GitHub	github.blog/changelog (Sicherheit markiert)
Atlassian	confluence.atlassian.com/security

Weitere kostenlose Quellen

Quelle	Was sie bietet	Link
NIST NVD	Schwachstellendatenbank	nvd.nist.gov
Exploit-DB	Öffentliche Exploits	exploit-db.com
AlienVault OTX	Community-Bedrohungsindikatoren	otx.alienvault.com
SANS Internet Storm Center	Aktuelle Internet-Bedrohungen	isc.sans.edu
The Hacker News	Sicherheitsnachrichten	thehackernews.com
Krebs on Security	Eingehende Sicherheitsverletzungsberichterstattung	krebsonsecurity.com
BleepingComputer	Ransomware- und Malware-Nachrichten	bleepingcomputer.com

Einrichten der Verletzungsüberwachung

Domain-Überwachung mit HIBP

Schritt-für-Schritt-Einrichtung:

1. Gehen Sie zu haveibeenpwned.com/DomainSearch

2. Geben Sie Ihre Domain ein und wählen Sie die Verifizierungsmethode:

   • DNS-TXT-Eintrag (fügen Sie have-i-been-pwned-verification=... zu DNS hinzu)
   • E-Mail-Verifizierung (E-Mail an security@, admin@ usw.)

3. Nach der Verifizierung sehen Sie alle bestehenden Datenpannen, die Ihre Domain enthalten

4. Benachrichtigungen konfigurieren:

   • Sofortige Benachrichtigung für neue Datenpannen
   • Empfänger-E-Mail-Adressen angeben

5. Reaktionsprozess einrichten (siehe unten)

Reaktionsprozess bei Datenpannen-Benachrichtigungen

Wenn Sie eine Datenpannen-Benachrichtigung erhalten:

## Verfahren zur Reaktion auf Datenpannen-Benachrichtigungen

### Innerhalb von 1 Stunde

1. Betroffene Accounts identifizieren
   - Welche E-Mail-Adressen sind in der Datenpanne?
   - Auf welche Systeme haben diese Benutzer Zugang?

2. Datenpannen-Inhalt bewerten
   - Passwörter? (sofort zurücksetzen erzwingen)
   - Personenbezogene Daten? (betroffene Benutzer benachrichtigen)
   - Andere Anmeldedaten? (rotieren)

3. Sofortige Maßnahmen
   - Passwort-Reset für betroffene Benutzer erzwingen
   - Aktive Sitzungen ungültig machen
   - MFA aktivieren, falls noch nicht (Neu-Einschreibung erzwingen, falls bereits aktiviert)

### Innerhalb von 24 Stunden

4. Potenziellen Zugriff untersuchen
   - Anmelderlogs auf verdächtige Aktivitäten prüfen
   - Zugriff auf sensible Systeme überprüfen
   - Nach Anzeichen einer Kompromittierung suchen

5. Benutzerbenachrichtigung
   - Betroffene Benutzer über die Datenpanne informieren
   - Erklären, welche Daten exponiert wurden
   - Bei Passwortänderungen und Wachsamkeit anleiten

### Innerhalb von 1 Woche

6. Abhilfe
   - Schwachstellen, die die Datenpanne aufdeckt, beheben
   - Kontrollen bei Bedarf stärken

7. Dokumentation
   - Vorfall im Sicherheitslog dokumentieren
   - Gewonnene Erkenntnisse notieren

Dienste zur Anmeldedaten-Überwachung

Neben HIBP sollten Sie diese Dienste für die Anmeldedaten-Überwachung in Betracht ziehen:

Dienst	Funktionen	Kosten
SpyCloud	Enterprise-Anmeldedaten-Überwachung	Kostenpflichtig
Recorded Future	Darkweb-Überwachung	Kostenpflichtig
Flare	Darkweb-Aufklärung	Kostenpflichtig
HIBP Enterprise	API für Anmeldedatenprüfungen	Moderat
Dehashed	Datenpannen-Suche	Günstig

Für kleine Unternehmen deckt die HIBP-Domain-Überwachung das Wesentliche ab. Bei wachsender Größe upgraden.

Informationen in Maßnahmen umwandeln

Aufklärung ist nutzlos, wenn Sie nicht darauf reagieren.

Workflow zur Informationsverarbeitung

1. Quellen sammeln — CISA, HIBP, Anbieter-Meldungen, Nachrichten
2. Filtern & triagieren — Relevant für unseren Stack? Aktiv ausgenutzt?
3. Auswirkung bewerten — Sind wir anfällig? Was ist gefährdet?
4. Maßnahmen ergreifen — Patchen, blockieren, alarmieren, untersuchen
5. Dokumentieren & lernen — Runbooks aktualisieren, Erkennung verbessern

Wöchentlicher Bedrohungsüberprüfungsprozess

Blockieren Sie 30–60 Minuten wöchentlich für die Überprüfung von Bedrohungsaufklärung:

## Wöchentliche Bedrohungsaufklärungs-Überprüfung

Datum: [Datum]
Überprüfer: [Name]

### Überprüfte Quellen
- [ ] CISA-KEV-Updates
- [ ] Anbieter-Sicherheitsmeldungen (relevante auflisten)
- [ ] HIBP-Benachrichtigungen
- [ ] Sicherheitsnachrichten (wichtige Geschichten)
- [ ] Branchen-ISAC-Warnungen

### Relevante Elemente dieser Woche

| Quelle | Bedrohung/Schwachstelle | Relevant für uns? | Erforderliche Maßnahme |
|--------|---------------------|-----------------|---------------|
| CISA KEV | CVE-2024-XXXX (Name) | Ja (wir verwenden X) | Bis [Datum] patchen |
| AWS-Meldung | S3-Richtlinien-Update | Ja | Richtlinien überprüfen |
| Nachrichten | Branchen-Ransomware-Kampagne | Bewusstsein | Mit Team teilen |

### Ergriffene Maßnahmen

1. [Ergriffene Maßnahme mit Details]
2. [Ergriffene Maßnahme mit Details]

### Mit Team geteilt

- [ ] Kritische Elemente im #security-Kanal geteilt
- [ ] Relevante Elemente zum nächsten Team-Meeting hinzugefügt

### Hinweise für nächste Woche

[Alle Follow-up-Elemente oder zu beachtende Dinge]

Aufklärung mit Schwachstellenmanagement integrieren

Bedrohungsaufklärung mit Ihren Patch-Prioritäten verknüpfen:

Aufklärungsquelle	Integration mit Schwachstellenmanagement
CISA KEV	Jede Schwachstelle auf der KEV-Liste automatisch auf Kritisch hochstufen
Anbieter-Meldungen	Scan-Ergebnisse mit Meldungen abgleichen
Exploit-DB	Wenn Exploit vorhanden, Priorität erhöhen
Branchenwarnungen	Auf in Warnungen genannte Systeme konzentrieren

Beispiel: CISA-KEV-Integration

# Beispiel: Schwachstellen gegen KEV prüfen
import requests

def check_against_kev(cve_ids: list) -> list:
    """Prüft, ob CVEs im CISA-KEV-Katalog sind"""
    kev_url = "https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json"
    response = requests.get(kev_url)
    kev_data = response.json()
    
    kev_cves = {vuln['cveID'] for vuln in kev_data['vulnerabilities']}
    
    return [cve for cve in cve_ids if cve in kev_cves]

# Verwendung: Ergebnisse Ihres Schwachstellen-Scans prüfen
scan_results = ['CVE-2024-1234', 'CVE-2023-5678', 'CVE-2022-9999']
critical_vulns = check_against_kev(scan_results)
print(f"CVEs in KEV (sofort patchen): {critical_vulns}")

Branchenspezifische Bedrohungslandschaft

Verschiedene Branchen stehen vor unterschiedlichen Bedrohungen. Konzentrieren Sie Ihre Aufklärung entsprechend.

Technologie/SaaS

Primäre Bedrohungen:

• Lieferkettenangriffe (Abhängigkeiten, CI/CD)
• Credential Stuffing gegen Benutzer-Accounts
• API-Missbrauch
• Quellcode-Diebstahl

Schwerpunktbereiche:

• Abhängigkeits-Schwachstellenwarnungen
• GitHub-Sicherheitshinweise
• Cloud-Anbieter-Meldungen

Finanzdienstleistungen

Primäre Bedrohungen:

• Business E-Mail Compromise
• Anmeldedaten-Diebstahl
• Überweisungsbetrug
• Geldautomaten-/Zahlungskartenbetrüge

Schwerpunktbereiche:

• FS-ISAC-Warnungen
• Betrugs-Trendberichte
• Regulatorische Leitlinien

Gesundheitswesen

Primäre Bedrohungen:

• Ransomware (sehr hohes Ziel)
• Schwachstellen in Medizingeräten
• PHI-Diebstahl

Schwerpunktbereiche:

• Health-ISAC
• FDA-Medizingeräte-Warnungen
• HHS-Cybersicherheits-Leitlinien

E-Commerce/Einzelhandel

Primäre Bedrohungen:

• Zahlungs-Skimming (Magecart)
• Kontoübernahme
• Inventar-/Preismanipulation
• DDoS in Hochsaison

Schwerpunktbereiche:

• PCI Security Council Warnungen
• Retail-ISAC
• Urlaubsbedrohungs-Hinweise

Bedrohungsaufklärung ohne Überlastung

Ein häufiger Fehler: Alles abonnieren und in Warnungen ertrinken.

Volumen verwalten

Quellen stufen:

• Stufe 1 (täglich prüfen): CISA KEV, HIBP, kritische Anbieter-Meldungen
• Stufe 2 (wöchentlich überprüfen): Branchen-ISAC, Sicherheitsnachrichten, andere Meldungen
• Stufe 3 (monatlich scannen): Forschungsberichte, strategische Analyse

Gnadenlos filtern:

• Ist das für unseren Tech-Stack relevant?
• Wird es aktiv ausgenutzt?
• Haben wir die betroffene Komponente?

Wo möglich automatisieren:

• RSS-Feeds in einem Aggregator
• E-Mail-Regeln zur Kategorisierung nach Dringlichkeit
• Skripte zum Abgleich von KEV gegen Ihr Inventar

Signal vs. Rauschen

Hohes Signal (darauf reagieren)	Niedriges Signal (nur Bewusstsein)
CVE in einer Komponente, die Sie verwenden	CVE in einer Komponente, die Sie nicht verwenden
Aktiv ausgenutzt (KEV)	Theoretische Schwachstelle
Datenpanne, die Ihre Domain enthält	Datenpanne bei unzusammenhängendem Unternehmen
Angriff, der Ihre Branche anvisiert	Allgemeine Bedrohungslandschaft
Sicherheitsmeldung Ihres Anbieters	Meldung eines zufälligen Anbieters

Erkennung aus Aufklärung aufbauen

Bedrohungsaufklärung informiert darüber, wonach Sie in Ihren Logs suchen.

Beispiel: Aufklärung in Erkennung umwandeln

Aufklärung: „Angreifer zielen auf VPN-Appliances mit Credential Stuffing unter Verwendung von Anmeldedaten aus Datenpanne X."

Reaktion zur Erkennung:

1. Prüfen, ob Mitarbeiter in Datenpanne X waren (HIBP)
2. VPN-Anmeldefehler überprüfen (auf Spitzen achten)
3. Warnung erstellen: „Fehlgeschlagene VPN-Anmeldungen von neuen IP-Bereichen"
4. Passwort-Reset für potenziell kompromittierte Accounts erzwingen

Pseudo-Warnungsregel:

# Warnung: Potenzielles VPN-Credential-Stuffing
name: VPN Credential Stuffing Detection
trigger:
  condition: count > 10
  window: 5m
  filter:
    event_type: vpn_login_failed
    group_by: source_ip
action:
  - alert: security-team
  - severity: high

MITRE-ATT&CK-basierte Erkennung

Kartieren Sie Ihre Erkennungsfähigkeiten auf ATT&CK-Techniken:

ATT&CK-Technik	Erkennungsmethode	Log-Quelle
T1078 (Gültige Accounts)	Unmögliche Reise, ungewöhnliche Zeiten	IdP-Logs
T1566 (Phishing)	Verdächtige E-Mail-Muster	E-Mail-Gateway
T1110 (Brute Force)	Mehrere fehlgeschlagene Anmeldungen	Authentifizierungs-Logs
T1486 (Verschlüsselte Daten)	Massenverschlüsselung von Dateien	Endpunkt-/Datei-Logs
T1071 (Application Layer Protocol)	Ungewöhnlicher ausgehender Verkehr	Netzwerk-Logs

Ressource: MITRE ATT&CK Navigator — Visualisieren Sie Ihre Abdeckung

Reale Geschichten: Bedrohungsaufklärung in Aktion

Geschichte 1: Die Datenpannen-Benachrichtigung, die Accounts rettete

Ein 50-köpfiges SaaS-Unternehmen hatte die HIBP-Domain-Überwachung eingerichtet. An einem Dienstagmorgen erhielten sie eine Warnung: 12 Mitarbeiter-E-Mail-Adressen erschienen in einer Datenpanne eines Drittanbieter-Dienstes.

Innerhalb von 1 Stunde:

• Der Security Champion identifizierte die 12 betroffenen Accounts
• Prüfte, welche Accounts MFA aktiviert hatten (9 hatten es, 3 nicht)
• Erzwang Passwort-Reset für alle 12
• Schob MFA-Einschreibung für die 3 ohne es an

Innerhalb von 24 Stunden:

• Überprüfte Anmelderlogs auf verdächtige Aktivitäten
• Fand, dass ein Account Anmeldeversuche von ungewöhnlichem Standort hatte (fehlgeschlagen wegen MFA)
• Informierte betroffene Mitarbeiter über die Quelldatenpanne

Ergebnis: Keine Kompromittierung. Die Angreifer probierten die Anmeldedaten innerhalb von Stunden nach dem öffentlichen Bekanntwerden der Datenpanne aus, aber MFA blockierte sie. Ohne HIBP-Überwachung hätten sie von der Exposition nichts gewusst.

Geschichte 2: Die CVE, die vor Ausnutzung gepatcht wurde

Der Security Champion eines Startups hatte CISA KEV in seine wöchentliche Überprüfung aufgenommen. An einem Montag erschien eine neue CVE für ihr Web-Framework in KEV.

Maßnahmen:

1. Produktivsysteme geprüft — verwundbare Version bestätigt
2. Sofort an das Dev-Team eskaliert
3. Notfall-Patch innerhalb von 6 Stunden eingespielt
4. Keine Ausnutzung in Logs verifiziert

Drei Tage später: Sicherheitsnachrichten berichteten von Massenausnutzung dieser CVE. Unternehmen, die nicht gepatcht hatten, wurden kompromittiert. Dieses Startup nicht.

Geschichte 3: ISAC-Warnung

Ein Fintech-Unternehmen nahm an FS-ISAC teil. Sie erhielten eine Warnung: Ein Bedrohungsakteur zielt auf Unternehmen mit ihrer spezifischen Zahlungsabwickler-Integration ab.

Maßnahmen:

1. Die in der Warnung geteilten TTPs überprüft
2. Spezifische Erkennungsregeln für beschriebenes Verhalten hinzugefügt
3. Fokussierte Zugriffsüberprüfung auf Zahlungssystemen durchgeführt
4. Team über zu beobachtende Dinge informiert

Zwei Wochen später: Sie erkannten und blockierten einen Angriff, der genau dem Muster entsprach. Die ISAC-Warnung hatte die anfängliche Erkundungsphase beschrieben, die sie in ihren Logs entdeckten.

Automatisierung für Bedrohungsaufklärung

Verlassen Sie sich nicht auf manuelle Prüfungen. Automatisieren Sie, wo möglich.

RSS-Feed-Aggregation

Sammeln Sie alle Ihre Quellen an einem Ort:

Kostenlose RSS-Leseprogramme:

• Feedly — Kostenloses Tier verfügbar, gut für Sicherheitsfeeds
• Inoreader — Kostenloses Tier mit Filtern
• Miniflux — Selbst gehostet, Open Source

Sicherheitsspezifische RSS-Feeds:

# Wesentliche Feeds hinzufügen
https://www.cisa.gov/cybersecurity-advisories/all.xml
https://krebsonsecurity.com/feed/
https://www.bleepingcomputer.com/feed/
https://feeds.feedburner.com/TheHackersNews
https://isc.sans.edu/rssfeed_full.xml

# Anbieterspezifisch (Ihre Anbieter hinzufügen)
https://github.blog/feed/
https://aws.amazon.com/security/security-bulletins/feed/

HIBP-API-Automatisierung

Anmeldedatenprüfungen für Mitarbeiter-E-Mails automatisieren:

#!/bin/bash
# Wöchentliche E-Mail-Datenpannen-Prüfung für Mitarbeiter
# Erfordert HIBP-API-Schlüssel für Domain-Suche

HIBP_API_KEY="your-api-key"
DOMAIN="yourcompany.com"
SLACK_WEBHOOK="your-slack-webhook"

# Betroffene Accounts abrufen
BREACHES=$(curl -s -H "hibp-api-key: $HIBP_API_KEY" \
  "https://haveibeenpwned.com/api/v3/breacheddomain/$DOMAIN")

if [ ! -z "$BREACHES" ]; then
  curl -X POST $SLACK_WEBHOOK \
    -H 'Content-type: application/json' \
    -d "{\"text\":\"HIBP Alert: Neue Datenpannen für $DOMAIN erkannt. Sofort prüfen.\"}"
fi

GitHub Actions für wöchentliche Überprüfung

# .github/workflows/threat-intel.yml
name: Weekly Threat Intelligence Check

on:
  schedule:
    - cron: '0 9 * * 1'  # Montag 9 Uhr UTC
  workflow_dispatch:

jobs:
  check-kev:
    runs-on: ubuntu-latest
    steps:
      - name: Download CISA KEV
        run: |
          curl -o kev.json https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
          
      - name: Check for new entries
        run: |
          # Mit dem Snapshot der letzten Woche vergleichen
          # Bei neuen Einträgen alarmieren
          
      - name: Send summary
        run: |
          # An Slack/E-Mail mit neuen relevanten CVEs posten

Häufige Fehler

1. Informationsüberlastung — Alles abonnieren, nichts lesen. Gnadenlos priorisieren.

2. Kein Maßnahmenprozess — Aufklärung sammeln ohne Workflow, um darauf zu reagieren.

3. Generischer Fokus — Bedrohungen für Branchen verfolgen, in denen Sie nicht tätig sind. Auf IHRE Bedrohungslandschaft konzentrieren.

4. Kontext ignorieren — Eine CVE ist nicht kritisch, nur weil sie CVSS 9,8 hat. Ist sie in Ihrer Umgebung? Wird sie ausgenutzt?

5. Einzelpersonen-Abhängigkeit — Wenn nur eine Person Bedrohungsaufklärung liest, ist das ein Single Point of Failure.

6. Verzögerte Reaktion — HIBP-Benachrichtigung liegt eine Woche im Posteingang. Schnell handeln.

7. Keine Dokumentation — „Wir haben etwas darüber gesehen" ist nicht nützlich. Verfolgen Sie, was überprüft und entschieden wurde.

8. Anbieter vergessen — Die Schwachstellen Ihrer Anbieter sind Ihre Schwachstellen.

Experten-Tipps

Der 15-Minuten-Tagesscan

Keine Stunde wöchentlich? Täglich 15 Minuten:

1. CISA-KEV-RSS (2 Min.) — Neue Einträge?
2. HIBP-Dashboard (1 Min.) — Benachrichtigungen?
3. Sicherheitsnachrichten-Schlagzeilen scannen (5 Min.) — Wichtige Geschichten?
4. Anbieter-Meldungen (5 Min.) — Kritische Patches?
5. Maßnahmenelemente aktualisieren (2 Min.) — Tracking aktualisieren

Institutionelles Wissen aufbauen

Nicht nur reagieren – eine Wissensdatenbank aufbauen:

## Bedrohungsaufklärungs-Log — 2024

### Aktive Bedrohungen, die uns betreffen

| Bedrohung | Zuerst gesehen | Status | Unsere Exposition | Ergriffene Maßnahmen |
|--------|-----------|--------|--------------|---------------|
| CVE-2024-XXXX | 2024-01-15 | Gepatcht | 3 Server | Gepatcht 01/17 |
| Phishing-Kampagne Y | 2024-02-01 | Laufend | Bewusstsein | Schulung gesendet |
| Ransomware-Gruppe Z | 2024-02-20 | Aktiv | Überwachung | Extra Backups |

### Bewertung der Aufklärungsquellen

| Quelle | Signal-Qualität | Relevanz | Behalten/Löschen |
|--------|---------------|-----------|-----------|
| CISA KEV | Hoch | Hoch | Behalten |
| Zufälliger Anbieter X | Gering | Gering | Löschen |

Aufklärung mit Ihrem Team teilen

Nicht jeder braucht alle Aufklärung. Teilen Sie nach Zielgruppe:

Zielgruppe	Was teilen	Wie oft	Format
Sicherheitsteam	Alle relevanten Aufklärungen	Echtzeit	Slack-Kanal
Dev-Team	Abhängigkeits-Schwachstellen, Kodierungsleitlinien	Wöchentlich	E-Mail-Digest
Alle Mitarbeiter	Phishing-Kampagnen, Bewusstsein	Bei Relevanz	Slack/E-Mail
Führungsebene	Wichtige Bedrohungen, Branchentrends	Monatlich	Kurze Zusammenfassung

Workshop: Bedrohungsaufklärungsprogramm

Teil 1: Quellen einrichten (1 Stunde)

1. CISA KEV:

   • RSS/E-Mail-Updates abonnieren
   • Den Katalog als Lesezeichen speichern

2. Have I Been Pwned:

   • Ihre Unternehmens-Domain registrieren
   • Benachrichtigungs-E-Mails konfigurieren
   • Reaktionsprozess dokumentieren

3. Anbieter-Meldungen:

   • Ihre kritischen Anbieter auflisten
   • Jede Sicherheitsmeldung abonnieren
   • E-Mail-Ordner zur Triage einrichten

4. Branchenquellen:

   • Relevanten ISAC identifizieren
   • Kostenloses Tier/Newsletter abonnieren
   • Zur wöchentlichen Überprüfungsliste hinzufügen

Ergebnis: Liste abonnierter Quellen mit Links

Teil 2: Überprüfungsprozess erstellen (1 Stunde)

1. Wöchentliches Überprüfungsverfahren dokumentieren
2. Überprüfungsvorlage erstellen
3. Tracking-Tabellenkalkulation oder -system einrichten
4. Wiederkehrende Kalenderzeit planen

Ergebnis: Dokumentierter Bedrohungsaufklärungs-Überprüfungsprozess

Teil 3: Reaktions-Workflows aufbauen (1 Stunde)

1. HIBP-Datenpannen-Benachrichtigungs-Reaktionsverfahren
2. Kritisches Schwachstellen-Reaktionsverfahren
3. Eskalationskriterien

Ergebnis: Reaktionsverfahren für häufige Szenarien

Teil 4: Erste Überprüfung (30 Minuten)

1. Erste Bedrohungsaufklärungs-Überprüfung mit dem neuen Prozess abschließen
2. Alle Feststellungen dokumentieren
3. Bei Relevanz Maßnahmen ergreifen

Ergebnis: Abgeschlossene erste Überprüfung mit notierten Maßnahmen

So erklären Sie es der Führungsebene

Der Pitch:

„Ich möchte einen einfachen Prozess einrichten, um für unser Unternehmen relevante Bedrohungen zu verfolgen. Das bedeutet, kompromittierte Anmeldedaten zu überwachen, Schwachstellen zu verfolgen, die aktiv ausgenutzt werden, und über Angriffe auf unsere Branche informiert zu bleiben. 30 Minuten pro Woche halten uns Bedrohungen voraus, anstatt auf sie zu reagieren."

Der Wert:

• Proaktiv statt reaktiv
• Priorisiertes Patching basierend auf tatsächlicher Ausnutzung
• Frühwarnung bei kompromittierten Anmeldedaten
• Branchenspezifisches Bedrohungsbewusstsein

Die Anfrage:

„Ich brauche wöchentlich 30–60 Minuten geschützte Zeit für die Überprüfung der Bedrohungsaufklärung sowie die Genehmigung, Verletzungsüberwachung für unsere Domains einzurichten."

Die Metrik:

„Ich werde verfolgen: (1) wie viele Schwachstellen wir vor der Ausnutzung gepatcht haben, (2) erkannte und behobene Anmeldedaten-Verletzungen, (3) identifizierte und adressierte relevante Bedrohungen."

Fazit

Bedrohungsaufklärung ist nur nützlich, wenn sie ändert, was Sie tun. Ein Feed von CVEs, auf den Sie nie reagieren, ist Rauschen. Dreißig Minuten pro Woche, um zu überprüfen, was aktiv ausgenutzt wird, und zu prüfen, ob Sie anfällig sind – das ist ein Programm.

Was kommt als nächstes

Als nächstes: Angriffsflächen-Management — verstehen, was Angreifer von außen sehen können, bevor sie es selbst finden.