⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Austausch von Bedrohungsinformationen nach ISO 27001 im Jahr 2026

Igor Petreski

Um 07:40 Uhr an einem Dienstagmorgen erhält Maria, CISO einer schnell wachsenden europäischen Zahlungsplattform, ein Bulletin mit hoher Vertrauenswürdigkeit von einem ISAC für Finanzdienstleistungen. Eine Kampagne zum Diebstahl von Zugangsdaten richtet sich gegen Zahlungsdienstleister, die eine bestimmte Integration eines Identitätsanbieters nutzen. Der Hinweis enthält Command-and-Control-Domains, verdächtige OAuth-Anwendungsnamen, User-Agent-Strings, beobachtete Taktiken und die Empfehlung, Secrets für betroffene Mandanten zu rotieren.

Innerhalb weniger Minuten stellt das Unternehmen die Fragen, die den Austausch von Cyberbedrohungsinformationen im Jahr 2026 prägen.

Das SOC möchte die Indikatoren sofort in das SIEM einspielen. Die Rechtsabteilung fragt, ob das Unternehmen eigene Telemetrie an das ISAC zurückmelden darf. Der Datenschutzbeauftragte fragt, ob IP-Adressen, Benutzernamen, Ticketauszüge, Authentifizierungsprotokolle oder Endpoint-Details personenbezogene Daten enthalten. Der COO möchte wissen, ob Kunden gewarnt werden müssen. Der CEO, gerade aus einer NIS2-Schulung für die Geschäftsleitung zurück, leitet die Warnmeldung mit zwei Worten weiter: „Unser Plan?“

Dann stellt der Compliance-Manager die entscheidende Frage: „Wenn die Aufsicht im nächsten Monat nachfragt, können wir nachweisen, dass unser Austausch von Cyberbedrohungsinformationen rechtmäßig, genehmigt, wirksam und kontrolliert war?“

Das ist die neue Realität. DORA ist von der Umsetzungsfrist in die aufsichtsrechtliche Prüfung übergegangen. NIS2 ist von Readiness-Projekten in die operative Zusammenarbeit übergegangen. GDPR gilt weiterhin, auch wenn es sich bei den Daten um Sicherheitstelemetrie handelt. Der Austausch von Bedrohungsinformationen ist kein informeller Slack-Austausch zwischen Sicherheitsteams mehr. Er ist eine gesteuerte Tätigkeit mit Vertraulichkeitsanforderungen, Datenminimierung bei personenbezogenen Daten, Offenlegungsgenehmigungen, Aufzeichnungen, Erwartungen der Aufsichtsbehörden und Auditnachweisen.

Für CISOs, Compliance-Manager, Auditoren und Geschäftsverantwortliche lautet die Frage nicht, ob sie an Vereinbarungen zum Austausch von Cyberbedrohungsinformationen teilnehmen sollen. Die eigentliche Frage ist, wie Informationen schnell genug geteilt werden können, um Verteidiger zu unterstützen, ohne unzulässige Offenlegung, Verletzungen der Kundenvertraulichkeit, wettbewerbsrechtlich relevante Informationsabflüsse, ungesteuerte Veröffentlichung von Schwachstellen oder schwache Nachweislagen zu verursachen.

ISO/IEC 27001:2022 ist das Governance-Rückgrat, das dies ermöglicht. Nicht als Zertifikat an der Wand, sondern als Managementsystem, das den Austausch von Cyberbedrohungsinformationen in ein wiederholbares, belastbares und GDPR-konformes Betriebsmodell überführt.

Warum sich der Austausch von Cyberbedrohungsinformationen 2026 verändert hat

Die erste Welle der Vorbereitung auf DORA und NIS2 konzentrierte sich auf Geltungsbereich, Fristen für Vorfallmeldungen, IKT-Drittparteienrisiken, Rechenschaftspflicht des Leitungsorgans und Gap Assessments. Diese Arbeit war notwendig, doch Aufsichtsbehörden und Kunden stellen inzwischen stärker operative Fragen:

  • An welchen ISACs, CERTs, CSIRTs, Herstellerforen oder vertrauenswürdigen Gemeinschaften nehmen Sie teil?
  • Wer ist berechtigt, die Organisation nach außen zu vertreten?
  • Wie entscheiden Sie, was geteilt werden darf?
  • Wie verhindern Sie, dass personenbezogene Daten, Kundengeheimnisse, Schwachstellendetails und sensible Architekturinformationen offengelegt werden?
  • Wie aktualisieren eingehende Bedrohungsinformationen Überwachungsregeln, Patch-Prioritäten, Risikoregister, Incident-Playbooks, Lieferantenüberprüfungen und Resilienztests?
  • Wo befinden sich die Nachweise?

DORA ist für Finanzunternehmen besonders eindeutig. Die Verordnung behandelt digitale operationale Resilienz als IKT-Risikomanagementsystem unter Verantwortung des Leitungsorgans, nicht als IT-Checkliste. DORA gilt seit dem 17. Januar 2025; im Jahr 2026 werden viele Finanzunternehmen daher danach beurteilt, ob ihre Prozesse in der Praxis funktionieren.

DORA Article 45 erlaubt den Austausch von Informationen über Cyberbedrohungen und Bedrohungsinformationen zwischen Finanzunternehmen, sofern der Zweck darin besteht, die digitale operationale Resilienz zu stärken. Der Austausch sollte innerhalb vertrauenswürdiger Gemeinschaften und auf Grundlage von Vereinbarungen erfolgen, die sensible Geschäftsinformationen, personenbezogene Daten, Vertraulichkeit, geistiges Eigentum und wettbewerbsrechtliche Grenzen schützen. Vereinfacht gesagt bedeutet DORA nicht „alles teilen“. Es bedeutet „sicher, bewusst und unter kontrollierten Bedingungen teilen“.

NIS2 erzeugt außerhalb des Finanzsektors einen ähnlichen Druck. Die Richtlinie gilt für viele wesentliche und wichtige Einrichtungen in hochkritischen und anderen kritischen Sektoren, darunter digitale Infrastruktur, Managed Service Provider (MSPs), Managed Security Service Provider, Anbieter von Cloud-Computing-Services, Rechenzentrumsanbieter, Online-Marktplätze, Suchmaschinen, soziale Netzwerkplattformen, Banken und Finanzmarktinfrastrukturen. NIS2 Article 20 macht Leitungsorgane für die Genehmigung von Maßnahmen zum Management von Cybersicherheitsrisiken, die Aufsicht über deren Umsetzung und die Teilnahme an Schulungen verantwortlich. Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, darunter Risikoanalyse, Incident Handling, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, Umgang mit Schwachstellen, Wirksamkeitsbewertung, Cyberhygiene, Schulung, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management, MFA und sichere Kommunikation. Article 23 verlangt eine gestufte Meldung erheblicher Vorfälle, einschließlich einer 24-Stunden-Frühwarnung, einer Vorfallmeldung innerhalb von 72 Stunden und eines Abschlussberichts spätestens einen Monat nach der Vorfallmeldung.

GDPR ergänzt die Datenschutzgrenze. Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sicherheitsprotokolle, IP-Adressen, Benutzernamen, E-Mail-Adressen, Endpoint-Namen, Authentifizierungsereignisse, Support-Tickets, Schadsoftware-Proben, Screenshots und Notizen aus Betrugsuntersuchungen können personenbezogene Daten sein. GDPR verlangt eine rechtmäßige, faire, transparente, zweckgebundene, datenminimierte, sachlich richtige, speicherbegrenzte und sichere Verarbeitung. Zudem verlangt GDPR Rechenschaftspflicht; die Organisation muss die Einhaltung nachweisen können.

Das Ergebnis ist ein Governance-Problem. Der Austausch von Bedrohungsinformationen muss schnell genug sein, um die Abwehr zu verbessern, kontrolliert genug, um Aufsichtsbehörden zufriedenzustellen, und diszipliniert genug, um Datenschutz- und Vertraulichkeitsverletzungen zu vermeiden.

ISO 27001 als Compliance-Drehscheibe für den Austausch von Bedrohungsinformationen

ISO/IEC 27001:2022 eignet sich gut für diese Herausforderung, weil die Norm mit Kontext, interessierten Parteien, Geltungsbereich, Risiko, Führung, operativer Steuerung, Überwachung, internem Audit, Managementbewertung und kontinuierlicher Verbesserung beginnt.

Die Abschnitte 4.1 bis 4.4 verlangen von Organisationen, interne und externe Themen zu verstehen, interessierte Parteien und deren Anforderungen zu ermitteln, den ISMS-Geltungsbereich festzulegen und das Managementsystem aufrechtzuerhalten. Für eine DORA- oder NIS2-Organisation können interessierte Parteien zuständige Behörden, CSIRTs, Kunden, IKT-Anbieter, ISACs, Branchengruppen, Auftragsverarbeiter, Verantwortliche, Versicherer, Internes Audit und das Leitungsorgan umfassen.

Die Abschnitte 5.1 bis 5.3 verlangen Führungsverantwortung, Vorgaben durch Richtlinien, Rechenschaftspflicht, Ressourcen und zugewiesene Verantwortlichkeiten. Das ist wichtig, weil der Austausch von Bedrohungsinformationen scheitert, wenn er informellem technischem Ermessen überlassen wird. Wenn SOC-Analyst, Rechtsabteilung, Datenschutzbeauftragter, CISO, PR-Leitung und Geschäftsverantwortlicher jeweils unterschiedliche Annahmen anwenden, wird die Organisation entweder zu viel teilen, blockieren oder zu spät reagieren.

Die Abschnitte 6.1.1 bis 6.1.3 überführen das regulatorische Thema in Risikobeurteilung, Risikobehandlung, Auswahl von Maßnahmen, Entscheidungen zur Erklärung zur Anwendbarkeit, Behandlungspläne und Restrisikoakzeptanz. Typische Risiken beim Austausch von Bedrohungsinformationen sind:

  • Personenbezogene Daten werden ohne Rechtsgrundlage oder Datenminimierung geteilt.
  • Vertrauliche Kundeninformationen werden in einem Forum offengelegt.
  • Schwachstellendetails werden veröffentlicht, bevor eine Risikominderung verfügbar ist.
  • Indikatoren werden konsumiert, aber nie operationalisiert.
  • ISAC-Teilnahme spiegelt sich nicht in Incident Response, Protokollierung, Schwachstellenmanagement oder Lieferantenrisiko wider.
  • Es fehlen Nachweise, wer die Offenlegung genehmigt hat und warum.
  • Wettbewerbsrechtliches Risiko durch Austausch geschäftlich sensibler Marktinformationen.
  • Inkonsistente regulatorische und kundenbezogene Kommunikation während eines erheblichen Vorfalls.

Abschnitt 8.1 verlangt anschließend, dass geplante Prozesse umgesetzt und gesteuert werden, mit dokumentierten Informationen in ausreichendem Umfang, um nachzuweisen, dass die Prozesse wie geplant durchgeführt wurden. Die Abschnitte 9 und 10 verlangen Überwachung, Messung, internes Audit, Managementbewertung, Behandlung von Nichtkonformitäten, Korrekturmaßnahmen und kontinuierliche Verbesserung. Kurz gesagt: ISO/IEC 27001:2022 macht den Austausch von Cyberbedrohungsinformationen zu einem auditierbaren Betriebsmodell.

Die zwei ISO-Maßnahmen, die den Austausch wirksam machen

Clarysecs Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint behandelt dieses Thema als Teil der Phase „Controls in Action“, Step 22: Organizational controls. Zwei Maßnahmen aus ISO/IEC 27002:2022 stehen im Mittelpunkt: 5.6 Kontakt mit interessierten Parteien und 5.7 Bedrohungsinformationen.

Der Zenith Blueprint stellt klar, dass ISAC-Teilnahme kein symbolisches Networking ist:

Die Teilnahme an solchen Gruppen ist keine symbolische Geste. Sie ist eine strategische Investition in Informationen, Zusammenarbeit und gemeinsame Resilienz.

Für Maßnahme 5.6 können interessierte Parteien nationale oder branchenspezifische Netzwerke für Cyberbedrohungsinformationen, ISACs, regulatorische Foren, Herstellergruppen für Sicherheitshinweise, Open-Source-Communitys und akademische Arbeitsgruppen umfassen. Externer Austausch muss jedoch bewusst, rechtmäßig und freigegeben erfolgen. Der Zenith Blueprint ergänzt die Reifegraderwartung:

Reife ISMS-Implementierungen behandeln die Teilnahme an SIGs als gesteuerte Tätigkeit, nicht als informellen Zusatznutzen.

Das bedeutet, ein Register der beigetretenen Gruppen und Foren zu führen, offizielle Teilnehmende zu benennen, Protokolle oder Zusammenfassungen zu erfassen und Erkenntnisse in interne Überprüfungen oder Aktualisierungen von Maßnahmen zu integrieren.

Maßnahme 5.7 überführt externe Informationen in Handeln. Der Zenith Blueprint formuliert:

Eine Organisation kann sich nicht gegen etwas verteidigen, das sie nicht versteht.

Er warnt außerdem davor, Patch-Feeds mit Bedrohungsinformationen zu verwechseln. Echte Bedrohungsinformationen umfassen Profile von Bedrohungsakteuren, Taktiken, Techniken und Verfahren, Indikatoren einer Kompromittierung (IOCs), branchenspezifische Warnungen, Schwachstellenkontext und strategische geschäftliche Auswirkungen. Nützliche Informationen kombinieren interne Überwachung, externe Partnerschaften, CERT- oder ISAC-Beziehungen, kommerzielle Feeds und Open-Source-Quellen, jedoch nur, wenn jemand sie prüft, priorisiert und in Maßnahmen übersetzt.

Clarysecs Zenith Controls: The Cross-Compliance Guide Zenith Controls unterstreicht den Wert für die rahmenwerksübergreifende Compliance. Der Leitfaden ordnet Maßnahme 5.6 als präventiv und korrektiv ein, unterstützt Vertraulichkeit, Integrität und Verfügbarkeit und sieht Governance als primäre operative Fähigkeit. Er verknüpft 5.6 mit 5.7 Bedrohungsinformationen, 5.5 Kontakt mit Behörden, 5.31 gesetzliche, satzungsmäßige, regulatorische und vertragliche Anforderungen sowie 8.8 Management technischer Schwachstellen. 5.7 wird als präventiv, aufdeckend und korrektiv zugeordnet, verbunden mit Identify, Detect und Respond, mit operativer Fähigkeit im Bedrohungs- und Schwachstellenmanagement.

Die Botschaft ist einfach: Ein reifes Programm zum Austausch von Cyberbedrohungsinformationen besteht aus zwei Hälften. Erstens: kontrollierte Beziehungen. Zweitens: kontrollierte Nutzung dessen, was empfangen und geteilt wird.

Ein praktisches Betriebsmodell für gesteuerten Austausch

Ein belastbares Betriebsmodell für 2026 sollte sechs Fragen beantworten, bevor der erste Indikator geteilt wird.

Governance-FragePraktische AntwortVon Auditoren erwartete Nachweise
Wer darf teilnehmen?Benannte Rollen, genehmigte Foren, Ersatzkontakte, BefugnisgrenzenSIG- und ISAC-Register, Ernennungsaufzeichnungen, Rollenbeschreibungen
Was darf empfangen werden?Bedrohungsberichte, IOCs, TTPs, Schwachstellenhinweise, BranchenwarnungenEingangsprotokoll, Quellenklassifizierung, Handhabungsregeln
Was darf geteilt werden?Bereinigte Indikatoren, nicht zurechenbare Muster, genehmigte Hinweise, für Aufsichtsbehörden geeignete FaktenOffenlegungsgenehmigung, Prüfung der Datenminimierung, Freigabe durch Rechtsabteilung oder Datenschutzbeauftragten
Wie werden Informationen genutzt?SIEM-Regeln, EDR-Blockierungen, Priorisierung von Schwachstellen, Aktualisierungen des Risikoregisters, Änderungen an PlaybooksÄnderungstickets, Erkennungsregeln, Risikoaktualisierungen, Sitzungsprotokolle
Wie wird Datenschutz geschützt?Datenminimierung, Pseudonymisierung, Schwärzung, Prüfung der Rechtsgrundlage, AufbewahrungsgrenzenDPIA oder Datenschutzprüfung, Austauschvorlage, Aufbewahrungsprotokoll
Wie wird die Wirksamkeit überprüft?Kennzahlen, Tabletop-Übungen, Audit-Feststellungen, ManagementbewertungKPIs, Lessons Learned aus Vorfällen, interner Auditbericht, Korrekturmaßnahmen

Clarysec setzt dies typischerweise als schlanken, aber formalen Workflow um:

  1. Bedrohungsinformationen erfassen und klassifizieren.
  2. Relevanz für Assets, Lieferanten, Services, Regionen und Kunden validieren.
  3. Informationen in Maßnahmen überführen, etwa Überwachungsregeln, Schwachstellentickets, Benutzerwarnungen, Lieferantenanfragen oder Risikoaktualisierungen.
  4. Entscheiden, ob ausgehender Austausch notwendig, rechtmäßig, sicher und durch Mitgliedschaftsregeln erlaubt ist.
  5. Schwärzung, Aggregation, Pseudonymisierung oder Anonymisierung anwenden.
  6. Erforderliche Genehmigungen einholen.
  7. Über einen genehmigten Kanal teilen.
  8. Aufzeichnen, was mit wem, warum, wann und unter wessen Befugnis geteilt wurde.
  9. Ergebnisse überprüfen und Maßnahmen aktualisieren.

Dies verhindert die zwei klassischen Fehler: Das Sicherheitsteam erhält nützliche Informationen, aber nichts ändert sich; oder das Sicherheitsteam teilt nützliche Informationen, schafft dadurch aber rechtliche, vertragliche oder datenschutzbezogene Exponierung.

DORA Article 45: kontrollierter Austausch ohne Verlust der Vertraulichkeit

Für Finanzunternehmen sollte DORA Article 45 in einen internen Standard zum Austausch von Cyberbedrohungsinformationen übersetzt werden. Eine praktische Auslegung umfasst fünf Bedingungen.

Erstens muss der Zweck Resilienz sein. Der Austausch sollte helfen, Cyberbedrohungen zu verhindern, zu erkennen, darauf zu reagieren oder sich davon zu erholen. Er darf nicht in Preisgestaltung, Kundenlisten, Marktstrategie oder geschäftlich sensible Informationen abgleiten.

Zweitens muss die Gemeinschaft vertrauenswürdig sein. Das bedeutet klare Mitgliedschaftsregeln, Vertraulichkeitspflichten, sichere Kommunikationskanäle, Zugriffskontrollen und Grenzen für Weitergabe an Dritte. ISO/IEC 27010:2015 unterstützt den sicheren Informationsaustausch in Vertrauensgemeinschaften, einschließlich Vertraulichkeitsregeln, Gegenseitigkeit und vertrauenswürdiger Kommunikationskanäle. ISO/IEC 27032:2023 unterstützt den Austausch von Cybersicherheitsinformationen und die Fähigkeit zur Lagebeurteilung. ISO/IEC 27035-2:2023 verknüpft Informationsaustausch mit Incident-Response-Planung, einschließlich der Teilnahme an CERTs und Branchengruppen.

Drittens müssen sensible Informationen geschützt werden. Dazu gehören Geschäftsgeheimnisse, Architekturdiagramme, Schwachstellendetails, Zugangsdaten, Kundenkennungen und personenbezogene Daten. Clarysecs SME Data Classification and Labeling Policy Data Classification and Labeling Policy - SME legt fest:

Externer Austausch muss ausdrücklich autorisiert und protokolliert werden.

Dieser Satz ist das Kontrollprinzip hinter einem DORA Article 45-Workflow. Die Organisation muss wissen, welche Klassifizierung gilt, wer die Freigabe genehmigt hat und wo die Aufzeichnung abgelegt ist.

Viertens müssen personenbezogene Daten minimiert werden. Die Enterprise Data Protection and Privacy Policy Data Protection and Privacy Policy legt fest:

Es dürfen nur Daten erhoben und verarbeitet werden, die für einen spezifischen, legitimen Geschäftszweck erforderlich sind.

Das SME-Pendant, Data Protection and Privacy Policy-sme Data Protection and Privacy Policy - SME, legt fest:

Es dürfen nur die unbedingt erforderlichen personenbezogenen Daten erhoben und aufbewahrt werden.

Das ist relevant, weil Bedrohungsinformationen Teams häufig dazu verleiten, Rohprotokolle in externe Kanäle zu kopieren. Stattdessen sollten sie nur das teilen, was der Empfänger benötigt, etwa eine bösartige Domain, einen Hash, einen Zeitstempelbereich, ein allgemeines Muster oder eine pseudonymisierte Fallreferenz.

Fünftens muss die Organisation Nachweise führen. DORA basiert auf dokumentiertem IKT-Risikomanagement, Vorfallklassifizierung, Berichterstattung, Tests, Drittparteien-Governance und Rechenschaftspflicht der Geschäftsleitung. Wenn der Austausch Incident Response, ein Resilienztestszenario oder eine Entscheidung zum Lieferantenrisiko beeinflusst, sollte dies in den ISMS-Aufzeichnungen sichtbar sein.

NIS2-Kooperation: vom rechtlichen Geltungsbereich zu operativen Beziehungen

NIS2 erweitert die Diskussion über Finanzunternehmen hinaus. Die Anwendbarkeit richtet sich nach Sektor, Größe und Kritikalität und kann für bestimmte Einrichtungen unabhängig von der Größe gelten, etwa für Vertrauensdiensteanbieter, DNS-Dienstleister, TLD-Register, kritische Einrichtungen und Dienste zur Registrierung von Domainnamen.

Für den Austausch von Bedrohungsinformationen ist die zentrale Lehre Governance. Article 20 macht Leitungsorgane für die Genehmigung und Aufsicht über Maßnahmen zum Management von Cybersicherheitsrisiken verantwortlich. Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen. Article 23 verlangt eine gestufte Meldung erheblicher Vorfälle.

Der Austausch von Bedrohungsinformationen berührt all dies. Wenn ein ISAC-Hinweis zeigt, dass ein verwalteter Service eines Lieferanten ausgenutzt wird, werden die Anforderungen an die Lieferkette nach Article 21 relevant. Wenn Informationen auf einen laufenden erheblichen Vorfall hinweisen, können die Melde- und Kundenkommunikations-Workflows nach Article 23 ausgelöst werden. Wenn eine erhebliche Cyberbedrohung Diensteempfänger betreffen kann, benötigt die Organisation einen kontrollierten Warnprozess.

Der Zenith Blueprint behandelt dies in der Phase „ISMS Foundation and Leadership“, Step 5, Communication, Awareness, and Competence. Er empfiehlt eine Planung der externen Kommunikation, die Kunden, Aufsichtsbehörden, Partner und die Öffentlichkeit identifiziert und anschließend festlegt, was wann von wem und mit welcher Genehmigung kommuniziert wird. Als praktisches Beispiel nennt er ein Verfahren zur Vorfallkommunikation, bei dem der CISO eine Mitteilung entwirft, die Rechtsabteilung sie prüft und der CEO sie vor dem Versand genehmigt.

Die SME Incident Response Policy Incident Response Policy - SME legt fest:

Der General Manager (GM) ist verantwortlich für die Autorisierung aller Entscheidungen zur Eskalation von Vorfällen, regulatorischen Meldungen und externen Kommunikationen.

Für größere Organisationen legt die Enterprise Incident Response Policy Incident Response Policy die Nachweisbasis fest:

Alle Vorfälle müssen im Security Incident Management System (SIMS) aufgezeichnet werden, einschließlich:

Wenn Bedrohungsinformationen zu einem Vorfall, einer Kundenwarnung, einer Meldung an Aufsichtsbehörden oder einem externen Hinweis werden, dürfen sie nicht nur in Postfächern und Chatverläufen verbleiben. Sie gehören mit Klassifizierung, Maßnahmen, Genehmigungen, Nachweisen und Lessons Learned in das Vorfallmanagementsystem.

GDPR-konforme Offenlegung: Informationen teilen, nicht unnötige personenbezogene Daten

GDPR ermöglicht den Sicherheitsbetrieb, schafft aber keinen rechtsfreien Raum für unkontrollierten Austausch von Telemetrie. Viele Artefakte aus Bedrohungsinformationen können personenbezogene Daten enthalten:

  • IP-Adressen, die mit Benutzeraktivität verbunden sind.
  • E-Mail-Adressen, die in Phishing-Versuchen verwendet werden.
  • Benutzernamen, Gerätenamen, Endpoint-Kennungen oder Kundenmandanten-Kennungen.
  • Authentifizierungsprotokolle.
  • Support-Tickets.
  • Screenshots.
  • Notizen aus Betrugsuntersuchungen.
  • Schadsoftware-Proben, die Dokumente oder persönliche Dateien enthalten.
  • Schwachstellenberichte, die eine Exposition von Kundendaten enthalten.

Im Clarysec-Modell durchläuft jede Entscheidung zu ausgehendem Austausch einen Datenschutz- und Vertraulichkeitsfilter.

FilterEntscheidungsfrageTypische Kontrollmaßnahme
ZweckIst der Austausch für Cyberabwehr, rechtliche Berichterstattung oder koordinierte Risikominderung erforderlich?Zweck im Austauschprotokoll dokumentieren
RechtsgrundlageGibt es eine dokumentierte Rechtsgrundlage oder rechtliche Verpflichtung?Prüfung durch Rechtsabteilung oder Datenschutzbeauftragten bei personenbezogenen Daten ergänzen
DatenminimierungKann dasselbe Ergebnis mit weniger Feldern erreicht werden?Benutzernamen, E-Mails, Ticketnotizen und Kundennamen entfernen
PseudonymisierungKönnen Kennungen durch Fallkennungen oder Token ersetzt werden?Zuordnung intern mit eingeschränktem Zugriff aufbewahren
VertraulichkeitOffenbart der Inhalt Architektur, Schwachstellendetails oder Kundengeheimnisse?Als vertraulich oder hochvertraulich klassifizieren und Austausch beschränken
AufbewahrungWie lange müssen die geteilte Aufzeichnung und die Genehmigungsnachweise aufbewahrt werden?Aufbewahrungsregel und Prüfung der Löschung anwenden

In Zenith Controls ist ISO/IEC 27002:2022 Maßnahme 5.34, Datenschutz und Schutz personenbezogener Daten, als präventiv zugeordnet und mit Klassifizierung, Asset-Inventar, Datenmaskierung, Cloud-Sicherheit, Informationsübertragung, Zugriffskontrolle, Identitätsmanagement sowie Projekt- oder Änderungsprüfung verbunden. Sie wird außerdem GDPR Articles 25 und 32 zugeordnet, über Datenschutz durch Technikgestaltung, Sicherheit der Verarbeitung, Verschlüsselung, Pseudonymisierung, Zugriffskontrolle und nachweisbare Governance. Unterstützende Standards sind ISO/IEC 27701:2021 für Datenschutz-Informationsmanagement, ISO/IEC 27018:2019 für den Schutz personenbezogener Daten in Umgebungen öffentlicher Cloud-Auftragsverarbeiter und ISO/IEC 29100:2011 für Datenschutzgrundsätze.

Beim Austausch von Bedrohungsinformationen sollten Datenschutzbeauftragter und Sicherheitsteam nicht erst in einer Krise zusammenkommen. Sie sollten Muster, Vorlagen, Schwärzungsregeln und Eskalationsschwellen im Voraus freigeben.

Praxisbeispiel: Eine ISAC-Warnmeldung wird zu evidenzbasierter Resilienz

Zurück zu Marias Zahlungsplattform. Der ISAC-Hinweis enthält bösartige Domains, verdächtige OAuth-Anwendungsnamen, User-Agent-Strings und den Hinweis, dass mehrere Mitglieder Kontoübernahmeversuche gegen Benutzer im Finanzbetrieb beobachtet haben. Das Unternehmen findet außerdem drei verdächtige Anmeldeversuche in eigenen Protokollen.

So würde Clarysec die Reaktion mit ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls und dem Policy Toolkit operationalisieren.

SchrittMaßnahmeVerantwortlicherNachweis oder Kontrollbezug
1. Eingang protokollierenQuelle, Datum, Vertrauenswürdigkeit, Assets, betroffene Technologie und Handhabungsbeschränkungen erfassenSOC-AnalystEingangsprotokoll für Bedrohungsinformationen, ISO/IEC 27002:2022 Maßnahme 5.7
2. KlassifizierenHinweis als Vertraulich oder Hochvertraulich kennzeichnen, wenn er sensible Mitgliederdetails enthältSicherheitsverantwortlicherAufzeichnung zur Datenklassifizierung, Regel zur Autorisierung externer Weitergabe
3. Relevanz validierenProduktive Nutzung der Identitätsintegration, exponierte Benutzer, OAuth-Berechtigungen, DNS, Proxy, EDR und SIEM-Protokolle prüfenSOC und PlattformteamTriage-Notizen, Überwachungsnachweise, Schwachstellenprüfung
4. In Maßnahmen überführenErkennungen hinzufügen, Berechtigungen prüfen, Secrets bei Bedarf rotieren, Lieferanten anfragen, Risikoregister aktualisierenSOC, Engineering, RisikoverantwortlicherSIEM-Regeltickets, Änderungsaufzeichnungen, Lieferanteneskalation
5. Ausgehenden Austausch prüfenRohbefunde auf Zeitfenster, Muster, bösartige Domain und betroffenen Rollentyp reduzierenCISO, Rechtsabteilung, DatenschutzbeauftragterOffenlegungsgenehmigung, Bewertung der Datenminimierung
6. Sicher teilenNur genehmigte Informationen über den verschlüsselten Kanal des ISAC sendenCISO oder DelegierterAustauschprotokoll, Kanalaufzeichnung, Genehmigungszeitstempel
7. VerbessernKennzahlen und Lessons Learned in der ISMS-Bewertung berichtenCISO und GRCProtokolle der Managementbewertung, Korrekturmaßnahmen

Die ausgehende Nachricht enthält ursprünglich Zeitstempel, Quell-IP-Adressen, Zielbenutzernamen, Kundenmandanten-Kennungen und Screenshots. Nach Prüfung durch Datenschutzbeauftragten und Rechtsabteilung wird sie reduziert auf:

  • Zeitfenster in UTC.
  • Angriffsmuster.
  • Beobachtete bösartige Domain.
  • Allgemeiner betroffener Rollentyp, etwa Benutzer im Finanzbetrieb.
  • Keine Benutzernamen.
  • Keine Kundenmandanten-Kennungen.
  • Keine Screenshots.
  • Keine Kundennamen.
  • Keine Rohprotokolle, sofern sie nicht über einen kontrollierten Kanal angefordert werden.

Wenn die Aktivität zu einem Vorfall wird, greifen die Kontrollen der Incident Response Policy. Wenn forensische Artefakte gesammelt werden, gilt die Evidence Collection and Forensics Policy-sme Evidence Collection and Forensics Policy - SME:

Jedes digitale Beweismittel muss protokolliert werden mit:

Die Richtlinie führt intern weitere Anforderungen an Beweismittel-Metadaten aus; das Auditprinzip ist jedoch klar: Jedes Artefakt, das für Untersuchung, Austausch, Berichterstattung an Aufsichtsbehörden oder Kundenkommunikation verwendet wird, benötigt Nachvollziehbarkeit.

Offenlegung von Schwachstellen ist nicht dasselbe wie Austausch von Bedrohungsinformationen

Ein häufiger Fehler besteht darin, Schwachstellenoffenlegung, Vorfallmeldung und Austausch von Bedrohungsinformationen als denselben Prozess zu behandeln. Sie überschneiden sich, sind aber nicht identisch.

Der Austausch von Bedrohungsinformationen kann Indikatoren, Taktiken, Branchenwarnungen, Verhalten von Angreifern, Minderungsmaßnahmen oder beobachtete Versuche umfassen. Koordinierte Offenlegung von Schwachstellen betrifft eine konkrete Schwäche in einem Produkt oder Service, häufig mit einem Meldenden, einer Frist zur Behebung, einem Hinweis und einer Entscheidung zur öffentlichen Offenlegung. Vorfallmeldung betrifft regulatorische oder vertragliche Berichterstattung über ein Ereignis, das Services, Daten oder Kunden betrifft.

Clarysec trennt diese Workflows und verbindet sie zugleich über das ISMS. Die Enterprise Coordinated Vulnerability Disclosure Policy Coordinated Vulnerability Disclosure Policy legt fest:

Koordination und Offenlegung: Die Organisation muss die öffentliche Offenlegung mit dem Meldenden koordinieren. Standardmäßig dürfen keine Schwachstellendetails öffentlich gemacht werden, bis eine Behebung oder Risikominderung verfügbar ist oder sich zumindest in Umsetzung befindet. Bei kritischen Problemen, bei denen eine Behebung nicht schnell bereitgestellt werden kann, kann die Organisation in Abstimmung mit den relevanten Behörden, sofern erforderlich, einen Sicherheitshinweis mit Anleitungen zu Ausweichmaßnahmen veröffentlichen, um Benutzer zu warnen. Vom Meldenden wird erwartet, dass er bis zur Freigabe durch die Organisation oder bis zur Veröffentlichung eines Hinweises auf eine öffentliche Offenlegung verzichtet. Grundsätzlich strebt die Organisation an, innerhalb von 90 Tagen nach Eingang des Berichts oder innerhalb eines anderen gemeinsam vereinbarten Zeitrahmens gemäß Branchenpraxis einen Hinweis zu veröffentlichen, einschließlich Nennung des Meldenden, sofern dessen Einwilligung vorliegt.

Dieselbe Richtlinie legt außerdem fest:

Vertraulichkeit: Bis zur öffentlichen Offenlegung sind alle Informationen zu einer gemeldeten Schwachstelle als Hochvertraulich zu behandeln. Details dürfen intern nur nach dem Need-to-know-Prinzip an Personal weitergegeben werden, das zur Validierung oder Behebung des Problems erforderlich ist. Die Identität des Meldenden ist vertraulich zu behandeln, sofern dies gewünscht wird. Die gesamte Kommunikation mit dem Meldenden sollte verschlüsselt werden, einschließlich der Nutzung des PGP-Schlüssels der Organisation, um sensible Schwachstellendetails zu schützen.

Das ist entscheidend für DORA Article 45 und NIS2-Kooperation. Eine vertrauenswürdige Gemeinschaft kann der richtige Ort sein, um Minderungsmaßnahmen oder übergeordnete Indikatoren zu teilen, aber nicht zwingend Exploit-Details, kundenspezifische Daten oder Informationen zu ungepatchten Schwachstellen.

Externe Kommunikation benötigt dieselbe Disziplin. Die Enterprise Social Media and External Communications Policy Social Media and External Communications Policy weist die Verantwortung für die Inhaltsprüfung zu, um die Einhaltung von Gesetzen zu Vertraulichkeit, Insider-Offenlegungen, geistigem Eigentum und Verleumdung sicherzustellen. Das ist relevant, wenn ein technischer Hinweis zu einer öffentlichen Erklärung, Kundenmitteilung, Website-Aktualisierung oder Botschaft an Aufsichtsbehörden wird.

Cross-Compliance-Zuordnung: ein Workflow, viele Verpflichtungen

Ein starker Workflow zum Austausch von Cyberbedrohungsinformationen sollte mehrere Rahmenwerke erfüllen, ohne doppelte Prozesse zu erzeugen.

RahmenwerkErwartungClarysec-Zuordnung
ISO/IEC 27001:2022Kontext, Führung, Risikobehandlung, operative Steuerung, dokumentierte Nachweise, Überwachung, Audit, kontinuierliche VerbesserungISMS-Geltungsbereich, Risikoregister, Erklärung zur Anwendbarkeit, Kommunikationsplan, internes Audit, Managementbewertung
ISO/IEC 27002:2022 Maßnahmen 5.6 und 5.7Gesteuerter Kontakt mit interessierten Parteien und handlungsrelevante BedrohungsinformationenSIG-Register, Eingang von Bedrohungsinformationen, Analyse-Workflow, Aktualisierungen der Erkennung, Austauschgenehmigungen
DORA Article 45Vertrauenswürdiger Austausch von Cyberbedrohungsinformationen, der Vertraulichkeit, personenbezogene Daten, Geschäftsgeheimnisse, IP und Wettbewerbsgrenzen schütztGenehmigte Gemeinschaften, Offenlegungsbedingungen, Prüfung durch Rechtsabteilung und Datenschutzbeauftragten, sichere Kanäle, Nachweisprotokolle
NIS2 Articles 20, 21 und 23Aufsicht durch das Leitungsorgan, Maßnahmen zum Management von Cybersicherheitsrisiken, Kooperation, Incident Handling, Sicherheit der Lieferkette, Umgang mit Schwachstellen, gestufte MeldungBerichterstattung an das Leitungsorgan, Vorfallkommunikation, Lieferanteneskalation, CSIRT-Kontaktliste, risikogesteuerte Aktualisierungen auf Basis von Bedrohungen
GDPR Articles 5, 6, 25 und 32Rechtmäßige, minimierte, zweckgebundene, sichere und rechenschaftspflichtige Verarbeitung personenbezogener DatenDatenschutzfilter, Schwärzung, Pseudonymisierung, Aufbewahrungsregeln, Prüfung durch Datenschutzbeauftragten, Austauschprotokoll
NIST CSF 2.0Ergebnisse aus GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND und RECOVER mit rechtlichen Verpflichtungen und KommunikationskanälenOrganisationsprofil, aktueller und Zielzustand, Verbesserungen bei Erkennung und Reaktion, Kommunikation mit externen interessierten Parteien
COBIT 2019Externe Anforderungen überwachen, Sicherheitsbedrohungen managen, Kontrollwirksamkeit bewerten, Datenschutz managenÜberwachung der Einhaltung, Bedrohungskennzahlen, Governance-Berichterstattung, Ausrichtung des Datenschutzprogramms

NIST CSF 2.0 ist als neutrale Ordnungsebene nützlich, weil die Funktion GOVERN interessierte Parteien, rechtliche Verpflichtungen, Abhängigkeiten, Risikobereitschaft, Rollen, Richtlinien und Aufsicht adressiert. Die Funktionen DETECT und RESPOND erwarten Überwachung, Integration von Bedrohungsinformationen, Erklärung eines Vorfalls, Beweissicherung, Benachrichtigung und externe Kommunikation.

COBIT 2019 ergänzt die Managementverantwortung. Praktiken wie DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements und APO13 Managed security helfen Auditoren zu prüfen, ob Bedrohungsinformationen die Kontrollleistung und Governance-Berichterstattung verbessern.

Wie Auditoren Ihr Austauschprogramm prüfen werden

Ein ISO/IEC 27001:2022-Auditor beginnt mit dem Managementsystem. Er wird fragen, wie gesetzliche, regulatorische, vertragliche und an interessierte Parteien gebundene Anforderungen nach den Abschnitten 4.1 und 4.2 identifiziert wurden. Er wird prüfen, ob der Austausch von Bedrohungsinformationen im Geltungsbereich liegt, ob Risiken beurteilt wurden, ob die Maßnahmen 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 und 8.16 in der Erklärung zur Anwendbarkeit enthalten oder begründet ausgeschlossen sind und ob Nachweise zeigen, dass der Prozess wie geplant durchgeführt wurde.

Ein auf DORA fokussierter Auditor oder eine Aufsicht wird nach Governance, Rechenschaftspflicht des Leitungsorgans, Integration in das IKT-Risikomanagement, Vorfallklassifizierung, Resilienztests, Auswirkungen auf Drittparteien und den Bedingungen von Article 45 suchen. Er wird fragen, ob die Teilnahme an Vereinbarungen zum Informationsaustausch dokumentiert ist, ob sensible und personenbezogene Daten geschützt werden, ob Bedrohungsinformationen das IKT-Risikomanagementrahmenwerk aktualisieren und ob sie Testszenarien beeinflussen.

Ein NIS2-orientierter Prüfer wird sich auf Aufsicht durch das Leitungsorgan, Maßnahmen nach Article 21, Incident Handling, Lieferantenabhängigkeiten, Umgang mit Schwachstellen, Kommunikation mit Kunden oder Diensteempfängern und Zusammenarbeit mit CSIRTs oder zuständigen Behörden konzentrieren. Er wird prüfen, ob Bedrohungsinformationen mit der Bewertung erheblicher Vorfälle und der gestuften Berichterstattung verbunden sind.

Ein Datenschutzauditor wird sich auf die Grundsätze von GDPR konzentrieren. Er wird fragen, ob geteilte Daten personenbezogene Daten waren, welche Rechtsgrundlage angewendet wurde, ob Datenminimierung durchgeführt wurde, ob Pseudonymisierung oder Schwärzung möglich war, ob die Aufbewahrung gesteuert wurde und ob die Organisation Rechenschaftspflicht nachweisen kann.

Gute Nachweise umfassen:

  • Genehmigtes ISAC- oder SIG-Register.
  • Benannte Teilnehmende und Stellvertretungen.
  • Mitgliedschaftsbedingungen und Vertraulichkeitspflichten.
  • Eingangsprotokoll für Bedrohungsinformationen.
  • Triage- und Relevanzbewertungen.
  • Tickets für Detection Engineering.
  • Änderungen der Priorisierung von Schwachstellen.
  • Eskalationen von Lieferantenrisiken.
  • Aufzeichnungen zu Offenlegungsgenehmigungen.
  • Notizen aus Datenschutzprüfungen oder Prüfungen durch den Datenschutzbeauftragten.
  • Geschwärzte ausgehende Nachrichten.
  • Vorfallsaufzeichnungen in SIMS.
  • Protokolle zur Übertragungskette von Beweismitteln.
  • Protokolle der Managementbewertung.
  • Feststellungen aus internen Audits und Korrekturmaßnahmen.

Häufige Schwachstellen, die Clarysec in der Praxis sieht

Der häufigste Fehler ist informelle Teilnahme. Ein Sicherheitsingenieur tritt einem privaten Forum bei, erhält nützliche Informationen und teilt interne Beobachtungen ohne formale Autorisierung. Die Absicht ist gut, aber der Prüfpfad ist schwach und das Vertraulichkeitsrisiko hoch.

Der zweite Fehler ist passiver Konsum. Die Organisation abonniert Feeds, nimmt an ISAC-Telefonkonferenzen teil und leitet Hinweise weiter, aber niemand kann zeigen, wie diese Informationen Kontrollen verändert haben. Bedrohungsinformationen müssen Erkennungslogik, Patch-Prioritäten, Playbooks, Risikoregister, Lieferantenüberprüfungen, Sensibilisierungskampagnen oder Resilienztests aktualisieren.

Der dritte Fehler ist das Teilen von Rohprotokollen. Teams senden Screenshots, SIEM-Exporte, E-Mail-Header oder Paketmitschnitte extern ohne Datenminimierung. Dadurch können personenbezogene Daten, Kundenkennungen, interne Hostnamen, Token oder vertrauliche Architektur offengelegt werden.

Der vierte Fehler ist die Verwechslung von Öffentlichkeitsarbeit mit regulierter Kommunikation. Ein LinkedIn-Beitrag über einen Angriffstrend ist nicht dasselbe wie eine Kundenwarnung, eine Meldung an Aufsichtsbehörden, ein CSIRT-Update oder ein koordinierter Hinweis. Clarysec trennt diese Kanäle, weist Genehmigungsverantwortliche zu und verlangt Aufzeichnungen.

Der fünfte Fehler ist die Missachtung von Lieferanten. Viele Informationswarnungen betreffen Drittanbietersoftware, Cloud-Plattformen, Managed Service Provider (MSPs) oder Identitätsintegrationen. Unter DORA, NIS2, NIST CSF, COBIT 2019 und den Lieferantenmaßnahmen aus ISO/IEC 27002:2022 müssen Bedrohungsinformationen in das Lieferantenrisikomanagement einfließen.

Bauen Sie Ihr Paket für den Austausch von Bedrohungsinformationen 2026 auf

Die meisten Organisationen benötigen keine schwerfällige eigenständige Bürokratie. Sie benötigen ein kompaktes Governance-Paket, das während eines echten Vorfalls funktioniert. Clarysec empfiehlt:

  • Verfahren zum Austausch von Bedrohungsinformationen.
  • Register genehmigter Austauschgemeinschaften.
  • Formular für Eingang und Triage von Bedrohungsinformationen.
  • Formular zur Genehmigung ausgehender Offenlegung.
  • Checkliste zur Datenschutz- und Vertraulichkeitsprüfung.
  • Matrix für externe Kommunikation.
  • Vorlage für ISAC-Besprechungszusammenfassungen.
  • Regeln zur Verknüpfung von Nachweisen und Vorfällen.
  • Kennzahlen-Dashboard.
  • Testplan für interne Audits.

Das Verfahren sollte auf die ISO/IEC 27001:2022-Abschnitte zu Risikomanagement, Kommunikation, operativer Steuerung, Leistungsbewertung, internem Audit und kontinuierlicher Verbesserung verweisen. Es sollte ISO/IEC 27002:2022 Maßnahmen 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 und relevante Lieferantenmaßnahmen zuordnen. Außerdem sollte es DORA Article 45, NIS2-Kooperation und Pflichten zur Vorfallkommunikation sowie GDPR-Grundsätze referenzieren.

Vor allem muss es unter Druck nutzbar sein. Wenn der Prozess ein Treffen mit 12 Personen verlangt, bevor eine bösartige Domain mit einem vertrauenswürdigen ISAC geteilt wird, wird er scheitern. Wenn er erlaubt, Rohprotokolle von Kunden in ein Community-Portal einzufügen, wird er ebenfalls scheitern. Das Ziel ist kontrollierte Geschwindigkeit.

Austausch von Bedrohungsinformationen in evidenzbasierte Resilienz überführen

Der Austausch von Cyberbedrohungsinformationen im Jahr 2026 ist nicht nur ein Zeichen für Sicherheitsreife. Für Finanzunternehmen ist er mit DORA Article 45 und digitaler operationaler Resilienz verknüpft. Für wesentliche und wichtige Einrichtungen unterstützt er NIS2-Kooperation, Incident Handling, Reaktion auf Schwachstellen, Lieferantensicherheit und Warnungen an Diensteempfänger. Für jede Organisation, die personenbezogene Daten aus der EU verarbeitet, muss er von Anfang an GDPR-konform gestaltet sein.

Clarysec hilft Organisationen, dieses Betriebsmodell aufzubauen, ohne Verteidiger auszubremsen. Wir verbinden den Zenith Blueprint Zenith Blueprint, das Policy Toolkit und Zenith Controls Zenith Controls zu einem funktionierenden ISMS-Prozess: genehmigte Gemeinschaften, klare Rollen, datenschutzsichere Offenlegung, Vorfallsverknüpfung, Nachweisaufzeichnungen, Auditbereitschaft und rahmenwerksübergreifende Zuordnung.

Wenn Ihre Organisation an einem ISAC teilnimmt, Cyber-Sicherheitshinweise erhält, Indikatoren mit Peers teilt, an Behörden berichtet oder Schwachstellenoffenlegungen bearbeitet, ist jetzt der richtige Zeitpunkt, den Workflow zu formalisieren. Beginnen Sie mit einer einstündigen Überprüfung Ihrer aktuellen Austauschvereinbarungen und ordnen Sie diese anschließend ISO/IEC 27001:2022, DORA Article 45, NIS2 und GDPR zu.

Clarysec kann Ihnen helfen, das Register, Richtlinienklauseln, Genehmigungsvorlagen, das Modell für Auditnachweise und das Reporting-Paket für die Geschäftsleitung aufzubauen, die erforderlich sind, um den Austausch von Cyberbedrohungsinformationen schnell, rechtmäßig und belastbar zu gestalten.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article