Compliance-Lexikon · Grundbegriff
Threat Actor
[θrɛt ˈæktə] · auch: Bedrohungsakteur, Angreifer, Angreiferkategorie
Ein Threat Actor ist eine Einzelperson, Gruppe oder Organisation, die eine Bedrohung fuer Informationssysteme darstellt – kategorisiert nach Motivation (finanziell, staatlich, ideologisch), Faehigkeiten (Script Kiddie bis APT) und Angriffszielen als Grundlage fuer risikobasierte Sicherheitsplanung.
Warum Threat-Actor-Analyse fuer die Compliance relevant ist
Ein risikobasierter Sicherheitsansatz – wie ihn NIS-2, DORA und ISO 27001 fordern – erfordert die Kenntnis der Bedrohungen, gegen die man sich schuetzt. Sicherheitsmassnahmen, die ohne Bezug zu realen Angreifern definiert werden, sind schlecht priorisiert. Wer weiss, welche Threat Actors fuer die eigene Branche und Region relevant sind, kann Sicherheitsinvestitionen gezielter einsetzen und Erkennungsmassnahmen auf die tatsaechlich verwendeten Techniken ausrichten.
Wo Threat-Actor-Analyse gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.5.7 | Bedrohungsinformationen (Threat Intelligence): Kenntnis relevanter Bedrohungsakteure als Grundlage fuer Sicherheitsmassnahmen. |
| NIS-2 / BSIG | § 30 Abs. 2 | Risikoanalyse muss aktuelle Bedrohungslage beruecksichtigen – Threat-Actor-Analyse als Grundlage. |
| DORA | Art. 26 | Threat-Led Penetration Testing (TLPT): Tests muessen auf realen Bedrohungsakteuren und deren TTPs basieren. |
| MITRE ATT&CK | Groups | ATT&CK-Datenbank dokumentiert ueber 130 bekannte Bedrohungsgruppen mit Taktiken, Techniken und Zielen. |
| BSI Lagebericht | jaehrlich | BSI Lagebericht zur IT-Sicherheit dokumentiert aktuelle Bedrohungsakteure und Angriffsszenarien fuer Deutschland. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Risikoanalyse ohne explizite Bedrohungsakteur-Betrachtung – abstrakte Risiken statt realer Angreifer
- Threat Intelligence nicht in Sicherheitsarchitektur eingeflossen
- DORA-TLPT ohne Threat-Actor-Profiling – methodisch unzureichend
- Threat-Actor-Analyse einmalig, nicht aktualisiert
Kategorien von Threat Actors
Kriminelle Gruppen (Financially Motivated): Ziel ist finanzieller Gewinn durch Ransomware, BEC, Betrug. Staatlich gesponserte Akteure (Nation-State Actors): Spionage, Sabotage kritischer Infrastruktur, geopolitisch motiviert. Haktivisten: Ideologisch motiviert, Ziel ist Aufmerksamkeit oder Stoerung. Insider Threats: Mitarbeiter mit Zugang zu vertraulichen Systemen, absichtlich oder fahrlassig. Script Kiddies: Geringe Faehigkeiten, nutzen vorgefertigte Werkzeuge – opportunistisch. Advanced Persistent Threats (APT): Hochfahige staatliche oder staatlich gesponserte Gruppen mit langfristiger Praesenz im Zielnetz. Fuer die meisten Unternehmen sind kriminelle Gruppen und Insider Threats die relevantesten Bedrohungsakteure.
Threat Intelligence als Grundlage
Threat Intelligence bezeichnet strukturierte Informationen ueber Bedrohungsakteure, ihre Methoden und ihre aktuellen Kampagnen. Quellen: BSI-Lagebericht (kostenlos, Deutschland-fokussiert), CERT-Berichte, MITRE ATT&CK Groups-Datenbank (kostenlos), kommerzielle Threat-Intelligence-Dienste (CrowdStrike, Recorded Future), ISAC-Netzwerke (branchenspezifisch). DORA Art. 45 foerdert den Austausch von Bedrohungsinformationen im Finanzsektor.
Naechste Ebene
Threat Actor in der Praxis: Profiling, Mapping und Evidence
Wie Threat-Actor-Profile erstellt und in die Sicherheitsplanung eingebunden werden.