A.5.7 — Bedrohungsintelligenz

A.5.7 ist die einzige Kontrolle in Annex A, die 2022 komplett neu hinzugekommen ist. Der Hintergrund: Die Bedrohungslandschaft verändert sich schneller als je zuvor — Ransomware-as-a-Service, Supply-Chain-Angriffe, KI-gestützte Phishing-Kampagnen. Ohne systematische Auswertung von Bedrohungsinformationen reagierst du immer nur auf den letzten Vorfall statt den nächsten zu verhindern.

Was verlangt die Norm?

Quellen identifizieren. Die Organisation ermittelt relevante Quellen für Bedrohungsinformationen — behördliche Warnmeldungen, CERTs, Branchenverbände, kommerzielle Feeds, Open-Source-Intelligence.
Informationen auf drei Ebenen sammeln. Strategisch (Trends, Akteure), taktisch (Methoden, Techniken, Verfahren — TTPs) und operativ (Indicators of Compromise — IoCs).
Relevanz bewerten. Eingehende Informationen werden auf Relevanz für die eigene Organisation, Branche und IT-Landschaft gefiltert.
In Maßnahmen überführen. Relevante Bedrohungsinformationen fließen in die Risikobeurteilung, das Schwachstellenmanagement und die Sicherheitsarchitektur ein.
Informationen teilen. Wo sinnvoll und zulässig, werden Bedrohungsinformationen mit vertrauenswürdigen Partnern und Fachgruppen geteilt.

In der Praxis

Quellenregister aufbauen. Dokumentiere alle Quellen für Bedrohungsinformationen: BSI/CERT-Bund, Allianz für Cyber-Sicherheit, branchenspezifische ISACs, Herstellerwarnungen, MITRE ATT&CK. Pro Quelle: Typ (strategisch/taktisch/operativ), Frequenz, verantwortliche Person für die Auswertung.

Bewertungsprozess definieren. Nicht jede Warnung betrifft dich. Definiere Kriterien: Betrifft die Bedrohung unsere Technologien? Unsere Branche? Unsere Region? Bewerte eingehende Informationen mit diesen Filtern, bevor du Maßnahmen ableitest.

Bedrohungsinformationen in die Risikobeurteilung einspeisen. Wenn eine neue Bedrohungskategorie auftaucht (z. B. Angriffe auf Software-Lieferketten), prüfe, ob deine Risikobeurteilung diese abbildet. Falls nicht, ergänze die Risikoszenarien. So bleibt dein Risikomanagement aktuell.

Quartalsweises Lagebild erstellen. Fasse die wichtigsten Bedrohungstrends quartalsweise zusammen und berichte der Geschäftsführung. Das erfüllt gleichzeitig A.5.4 (Managementverpflichtung) und gibt der Geschäftsführung Entscheidungsgrundlagen für Investitionen.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.7 typischerweise diese Nachweise:

Quellenregister — dokumentierte Übersicht der genutzten Bedrohungsintelligenz-Quellen (→ Bedrohungsregister im Starter Kit)
Bewertungsprotokolle — Nachweis, dass eingehende Informationen gesichtet und bewertet werden
Maßnahmenableitung — Beispiele, wie Bedrohungsinformationen zu konkreten Maßnahmen geführt haben
Lagebild — periodischer Bericht zur Bedrohungslage an die Geschäftsführung
Risikoregister-Updates — Nachweis, dass neue Bedrohungen in die Risikobeurteilung eingeflossen sind

KPI

% der identifizierten Threat-Intelligence-Quellen, die aktiv überwacht und ausgewertet werden

Gemessen als Prozentsatz: Wie viele deiner dokumentierten Quellen werden tatsächlich regelmäßig ausgewertet? Ziel: 100%. Quellen, die du abonniert, aber seit Monaten nicht gelesen hast, senken den Wert.

Ergänzende KPIs:

Anzahl der aus Bedrohungsinformationen abgeleiteten Maßnahmen pro Quartal
Durchschnittliche Zeit von Bedrohungswarnung bis Bewertungsabschluss
Anteil der Risikoszenarien im Risikoregister, die auf Bedrohungsintelligenz basieren

BSI IT-Grundschutz

A.5.7 mappt auf mehrere BSI-Bausteine, die Bedrohungserkennung adressieren:

DER.1.A12 (Auswertung von Informationen aus externen Quellen) — verlangt die regelmäßige Auswertung externer Sicherheitsinformationen und deren Einbeziehung in den Sicherheitsprozess.
OPS.1.1.1.A10 (Informationsbeschaffung zu Schwachstellen) — aktive Suche nach Informationen zu Schwachstellen in eingesetzten Produkten.
OPS.1.1.1.A20, A22, A23 — weiterführende Anforderungen zur Analyse und Reaktion auf Bedrohungsinformationen.
IND.1.A12 (Informationsaustausch bei ICS) — branchenspezifisch für Industriesteuerungen.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.7 — Bedrohungsintelligenz
ISO/IEC 27002:2022 Abschnitt 5.7 — Umsetzungshinweise
BSI IT-Grundschutz, DER.1 — Detektion von sicherheitsrelevanten Ereignissen

Häufig gestellte Fragen

Brauche ich eine Threat-Intelligence-Plattform?

Für die meisten KMU lautet die Antwort: nein. Eine strukturierte Auswertung von BSI-Warnmeldungen, CERT-Bund-Advisories und branchenspezifischen Quellen reicht aus. Entscheidend ist der Prozess (Quelle → Sichtung → Bewertung → Maßnahme), nicht das Tool.

Was sind die drei Ebenen der Bedrohungsintelligenz?

Strategisch (Trends, Bedrohungslandschaft — für Management-Entscheidungen), taktisch (Angriffsmethoden, TTPs — für Sicherheitsarchitektur) und operativ (IoCs, konkrete Angriffsindikatoren — für SOC und Incident Response). Die meisten Organisationen beginnen mit strategischer und operativer Ebene.

Wie oft muss ich Bedrohungsinformationen auswerten?

Operative Informationen (IoCs, Schwachstellenwarnungen) sollten täglich oder in Echtzeit verarbeitet werden. Strategische Lagebilder reichen quartalsweise. Die Frequenz hängt von deiner Risikolage ab — KRITIS-Betreiber und Organisationen mit hoher Bedrohungslage brauchen höhere Frequenz.

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB / (C)ISO
Consulted	Abteilungsleitung, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, Incident-Response-Team, Risikoverantwortliche, Geschäftsführung
Informed	Abteilungsleitung, IT-Admin, IT-Sicherheitsbeauftragter, Geschäftsführung