Threat Intelligence ohne Kontext ist wertlos

Plattformen wie z.B. Mandiant, Recorded Future oder CrowdStrike Falcon Intelligence versprechen, in quasi Echtzeit Informationen über die aktuelle Bedrohungslage bereitzustellen. Viele dieser Tools liefern umfangreiche Reports und werden von zahlreichen Organisationen eingesetzt.

Doch hier liegt das Problem:
Die Informationsflut ist oft so groß, dass sie Fachexperten und Entscheidungsträger schlicht erschlägt.
Gerade in größeren Organisationen fehlt es beispielsweise an Feingranularität – etwa dabei, Informationen gezielt nach Geschäftsbereichen oder Standorten zu filtern.

Hinzu kommt: Häufig kennt man die Kronjuwelen der Organisation nicht genau. Welche Daten, Systeme oder Prozesse sind wirklich kritisch? Welche Schutzbedarfe bestehen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit (CIA)?

Ohne diesen Kontext werden selbst modernste Threat-Portale zum Teil eines Security-Theaters – sie vermitteln Sicherheit, wo keine ist.

Was Organisationen wirklich brauchen:

• Klarheit über schützenswerte Werte und ihre Schutzbedarfe
• Ein vollständiges Register der IT-Systeme und anderer schützenswerter Assets
• Aussagekräftige Reports, die auf den eigenen Kontext zugeschnitten sind, statt standardisierter Portale, die mit Daten überfluten

Ich sehe es immer wieder: Für teures Geld werden Tools eingekauft, aber es fehlt an Verantwortung und Zielsetzung.
Das Ergebnis ist, was ich „kollektive Verantwortungslosigkeit“ nenne:

Jeder kennt die URL des Portals, aber niemand fühlt sich zuständig, sich damit zu beschäftigen, die Informationen sinnvoll zu nutzen oder Anforderungen zu formulieren.

Wie kann es sein, dass Organisationen 6- oder 7-stellige Beträge für Threat-Management-Plattformen ausgeben, ohne echten Mehrwert?