Threat Actor – Praxis

Threat-Actor-Analyse ist in Audits ein Pruefpunkt, der zeigt, ob Risikomanagement auf realen Bedrohungen oder abstrakten Kategorien basiert. Was Auditoren konkret pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung der Threat-Actor-Analyse prueft der Auditor, ob relevante Bedrohungsakteure identifiziert und deren Methoden in die Risikoanalyse eingeflossen sind. Das BAM-Objekt CROSS-TA-01 definiert, was konkret vorgelegt werden muss.

Haeufige Fehler

• Threat-Actor-Profil nicht aktuell – veraenderte Bedrohungslage nicht beruecksichtigt
• Keine Verbindung zwischen Threat-Actor-Methoden und Schutzmassnahmen
• Threat Intelligence aus einer einzigen Quelle – unvollstaendiges Bild
• Fuer DORA-TLPT keine dokumentierten Threat-Actor-Profile als Testgrundlage

Umsetzung: Threat-Actor-Profiling

Erster Schritt: Branchenspezifische Bedrohungsakteure identifizieren (BSI-Lagebericht, ISAC, MITRE ATT&CK Groups). Zweiter Schritt: Fuer jeden relevanten Akteur TTPs aus MITRE ATT&CK mapping. Dritter Schritt: Schutzmassnahmen gegen die haeufigsten TTPs pruefen und Luecken schliessen. Vierter Schritt: Threat-Intelligence-Feed einrichten fuer kontinuierliche Aktualisierung. Fuenfter Schritt: SIEM-Regeln auf haeufige TTPs ausrichten.

Evidence-Anforderungen im Audit

Der Auditor erwartet: datiertes Threat-Actor-Profil mit relevanten Akteuren, Quellenangaben und Aktualisierungsdatum, ATT&CK-Mapping der haeufigsten TTPs, Nachweis der Verbindung zu Schutzmassnahmen und – fuer DORA-TLPT – den vollstaendigen Threat-Actor-basierten Testplan.

Die strategische Einordnung – warum Threat Actor-Analyse langfristig mehr als ein Risikodokument ist – findet sich auf Ebene 3.