Cyber Threat Intelligence wird zur Pflicht: Eine neue Priorität für kritische Infrastrukturen

Cyber Threat Intelligence (CTI) ist ein zentral wachsendes Fachgebiet innerhalb der Cybersicherheit. Es konzentriert sich auf das Sammeln, Analysieren und Teilen von Informationen über aktuelle und potenzielle Cyberbedrohungen, damit Organisationen Angriffe besser voraussehen, verhindern und auf sie reagieren können – so übereinstimmend führende Akteure wie Palo Alto Networks und andere.

CTI entwickelt sich zunehmend zu einer Kernkompetenz für Betreiber kritischer Infrastruktur, etwa Energieversorger. Aus einem "nice to have" wird ein de-facto -Standart - und in vielen Fällen eine gesetzlichen Verpflichtung, verankert in IT/OT/ICS-Sicherheitsrichtlinien, der NIS2 Richtlinie sowie in nationale Resilienz-Strategien.

• Auf nationaler Ebene wird Cyber Threat Intelligence (CTI) zunehmend als eine tragende Säule zum Schutz von Energie, Verkehr, Mobilität, Gesundheit, Wasser und Finanzwesen betrachtet. Sie unterstützt Regierungen und Betreiber dabei, Bedrohungsakteure, wahrscheinliche Szenarien sowie sektorübergreifende Kaskadeneffekte besser zu verstehen.
• Cyber Threat Intelligence unterstützt risikobasierte Investitions-und Priorisierungsentscheidungen (z.B. wo Segmentierung erforderlich ist, wo zusätzliche Überwachung sinnvoll ist oder welche IT-/OT-Assets zuerst modernisiert werden sollten), indem sie Bedrohungstrends und Akteursfähigkeiten mit konkreten Infrastrukturanhänigkieten verknüpft.

• Gemäß NIS2 und den damit verbundenen EU-Instrumenten (CRA, DORA) müssen Betreiber von wesentlichen und wichtigen Einrichtungen eine proaktive, informationsgestützte Sicherheitsüberwachung und einen risikobasierten Ansatz nachweisen, wodurch die Bedrohungsaufklärung ausdrücklich von einer optionalen zu einer erwarteten Praxis wird. 
• Analysen der NIS2 betonen die Bedeutung von Cyber Threat Intelligence (CTI) für: die Antizipation sektorspezifischer Bedrohungen, die Unterstützung einer kontinuierlichen Risikobewertung, die Priorisierung von Abhilfemaßnahmen über Cloud- und Altsysteme hinweg sowie die Verbesserung der Berichterstattung und Zusammenarbeit mit CSIRTs und anderen nationalen Behörden.

Cyber Threat Intelligence (CTI) für kritische Infrastrukturen ntwickelt sich zunehmend in Richtung Automatisierung – mit dem Einsatz von KI- und ML-Analysen über Big Data, OSINT und Telemetriedaten – sowie einer engeren Integration in Erkennung, Reaktion und Resilienzplanung, anstatt als isolierte, manuell erstellte Berichte zu agieren.

Kritische Infrastrukturen benötigen eine KI-gestützte CTI-Engine, die globale Bedrohungen aggregiert und interpretiert, sie mit proprietären Modellen verknüpft und durch die Expertise von Cybersecurity-Fachkräften anreichert, um umsetzbare Erkenntnisse und rollenbasierte, spezifische Intelligenz zu gewinnen.

CTI für Kritische Infrastrukturen entwickelt sich zunehmend in Richtung stärkerer Automatisierung – mit dem Einsatz von KI- und ML-Analysen auf Basis von Big Data, OSINT und Telemetriedaten – sowie einer engeren Integration in Erkennung, Reaktion und Resilienzplanung, anstatt in Form isolierter Berichte zu bestehen.

Die rechten Seite sind die CTI-Feeds und -Quellen für die Datenerfassung dargestellt. Diese Liste ist nicht vollständig und muss regelmäßig angepasst werden, da sich Cybersecurity-Bedrohungen sehr schnell weiterentwickeln.
Im Kern stehen Verarbeitung und Analyse: Die Daten werden mithilfe von KI (Transformer- und Foundation-Modellen) analysiert, normalisiert und angereichert.
Die Dissemination liefert CTI-Erkenntnisse für unterschiedliche Benutzer und Rollen. Der letzte Schritt ist die Integration in bestehende Workflows und IT-Tools.

Dies ist der erste Artikel einer dreiteiligen Serie. Der zweite Teil behandelt die Rolle von KI in der Cybersicherheit, während der dritte einen Überblick über Frameworks gibt und zeigt, wie man sich auf Gegenwart und Zukunft vorbereiten kann.