Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. Threat
  5. ThreatMap Teil 3: Von Daten und Informationen zu Erkenntnissen

ThreatMap Teil 3: Von Daten und Informationen zu Erkenntnissen

Intelligence-led Security

Share

Erik Van Dijk
Product Manager Orange Cyberdefense

"Erik, mal ehrlich: Meinen Daten, Informationen und Erkenntnisse nicht einfach dasselbe?"

Ganz und gar nicht! Auch wenn diese Begriffe im Alltag oft synonym verwendet werden, machen sie in der Cyber Threat Intelligence einen gewaltigen Unterschied – und wer sie nicht sauber trennt, hat es schwer, CTI richtig zu verstehen oder sinnvoll anzuwenden.

Im dritten Teil unserer Blog-Reihe räumen wir deshalb mit einem weit verbreiteten Missverständnis auf. Wir erklären, warum Daten noch keine Informationen sind, warum Informationen nicht automatisch Erkenntnisse liefern – und weshalb genau dieser Unterschied darüber entscheidet, wie wertvoll CTI für Ihr Unternehmen wirklich wird. Bevor wir später zeigen, wie wir bei Orange Cyberdefense aus Daten echte Erkenntnisse formen, klären wir zunächst die Grundlagen: Was unterscheidet diese drei Ebenen – und warum spielt das für wirksame Cyber Threat Intelligence eine zentrale Rolle? Unser Ziel? Ihnen zu zeigen, wie aus rohem Material verwertbares Wissen wird – und wie diese Klarheit die Qualität Ihrer sicherheitsrelevanten Entscheidungen nachhaltig verbessert.

Einleitung

In der Cyber Threat Intelligence (CTI) verwenden wir bestimmte Begriffe synonym. Das mag harmlos erscheinen, kann jedoch zu Unklarheiten darüber führen, worum es tatsächlich geht –und manchmal sogar Missverständnisse hervorrufen, die größere Probleme nach sich ziehen.

Eines der häufigsten Beispiele ist die Verwechslung von Daten, Informationen und Erkenntnissen. Diese drei Dinge sind grundverschieden, werden in der CTI jedoch häufig nebeneinander verwendet, zum Beispiel bei Begriffen wie:

  • Threat Intelligence Data Feed

  • Threat Intelligence Information

Um den wahren Mehrwert aus CTI zu ziehen, ist es entscheidend, eine klare Trennlinie zwischen diesen drei Ebenen zu ziehen.
Schauen wir uns das genauer an.

Daten: Roh und unverfälscht

Im einfachsten Sinne bezieht sich der Begriff Daten auf rohe, unverarbeitete Fakten. Im Kontext der Cybersicherheit können das zum Beispiel IP-Adressen, Logfiles oder Systemmeldungen sein. Man kann es sich wie einen großen Haufen ungeschliffener Edelsteine vorstellen – es gibt viele davon, aber für sich genommen sagen sie wenig aus.

Ein Logfile zeigt Ihnen beispielsweise jedes Mal, wenn sich ein Gerät mit dem Netzwerk verbindet, aber sie sagt Ihnen nicht, ob diese Verbindung normal oder verdächtig ist. Daten allein sind oft nur von begrenztem Nutzen – ohne Kontext können sie nur Rauschen sein.

Information: Zusammenhänge herstellen

Wenn Sie diese Daten organisieren und zu etwas Sinnvollerem zusammenfassen, erhalten Sie Informationen.

Stellen Sie sich zum Beispiel vor, Sie haben eine Reihe von Logfiles, die innerhalb kurzer Zeit einen Anstieg fehlgeschlagener Anmeldeversuche von mehreren IP-Adressen zeigen. Wenn man diese einzelnen Datenpunkte kombiniert, ergibt sich ein Muster, das auf potenziell böswillige Aktivitäten wie einen Brute-Force-Angriff hinweist.

An dieser Stelle gehen Sie über einzelne Fakten hinaus und gelangen zu etwas, das eine Geschichte erzählt. Informationen sind wertvoll, weil sie Ihnen Einblicke in mögliche Vorgänge geben – aber sie vermitteln Ihnen noch kein vollständiges Bild.

Intelligence: Handlungsrelevante Erkenntnisse für fundierte Entscheidungen

Jetzt wird es ernst: Hier beginnt der Bereich der Intelligence. Sie entsteht durch die Analyse und Verarbeitung von Informationen. Das ist der Schritt, in dem aus rohen Daten etwas Handlungsrelevantes wird – und genau darauf kommt es an, wie wir bereits in unserem ersten Blogbeitrag erwähnt haben.

Bleiben wir bei unserem Beispiel: Nachdem Sie den auffälligen Anstieg der Logaktivität erkannt haben, entsteht Intelligence, wenn Sie diese Information mit früheren Vorfällen in Verbindung bringen, Muster erkennen und Expertenanalysen hinzuziehen. So stellen Sie fest, dass dieses Verhalten mit früheren Ransomware-Angriffen übereinstimmt.

Hier kommt CTI zum Tragen: Sie können nun fundierte Entscheidungen darüber treffen, wie Sie reagieren möchten. Vielleicht blockieren Sie bestimmte IP-Adressen, alarmieren Ihr Team oder leiten sogar eine umfassendere Untersuchung ein. Das ist Intelligence – nicht nur Daten, nicht nur Informationen, sondern Erkenntnisse, die zum Handeln anregen.

Die Entwicklung: Daten → Informationen → Erkenntnisse

Zusammenfassend lässt sich dieser Prozess wie folgt beschreiben:

  • Daten: Rohe, unverarbeitete Fakten, die für sich genommen nicht viel aussagen.
  • Informationen: Wenn Daten organisiert und in einen nützlichen Zusammenhang gebracht werden, lassen sich Muster oder Trends erkennen und es entsteht eine Geschichte. 
  • Erkenntnisse (Intelligence): Der letzte Schritt, in dem die Analyse der Informationen zu Einsichten führt, die fundierte Entscheidungen und gezieltes Handeln ermöglichen – das vollständige Bild wird sichtbar.

Ohne diesen klaren Weg von Daten über Informationen zu Intelligenz wären Ihre CTI-Bemühungen wie der Versuch, mit einer Karte zu navigieren, auf der die Hälfte der Straßen fehlt. Der Wert von CTI liegt in der Umwandlung von Rohdaten in Intelligenz, die Ihrem Unternehmen dabei hilft, Bedrohungen einen Schritt voraus zu sein.  

Warum es zählt

Diese Unterscheidung richtig zu treffen, ist mehr als nur eine Frage der Semantik. Sie zeigt Ihren Stakeholdern, dass Sie wissen, was Sie tun und entscheidet darüber, ob Ihr CTI-Programm Mehrwert erzeugt oder nur Lärm.

  • Wenn Sie bei den Daten stehen bleiben, versinken Sie in Details.
  • Wenn Sie bei den Informationen aufhören, erkennen Sie zwar Muster, handeln aber möglicherweise nicht.
  • Erst wenn Sie die Stufe der Erkenntnisse erreichen, können Sie fundierte und rechtzeitige Entscheidungen treffen, die Ihr Unternehmen schützen.

Genau deshalb steht dieser Prozess im Zentrum von CTI: Er stellt sicher, dass Ihr Team nicht nur Fakten sammelt, sondern daraus Erkenntnisse formt, die Ihrem Unternehmen helfen, seine Ziele zu erreichen.

Außerdem trägt dieser Ansatz dazu bei, CTI Schritt für Schritt weiter zu professionalisieren – denn genau hier liegen oft die schnellen Erfolge, die Raum für die komplexeren Herausforderungen schaffen.

Wie geht es weiter? Was kommt als Nächstes?

Selbstverständlich geschieht diese Transformation, die wir in diesem Blog besprochen haben – von Daten über Informationen zu Erkenntnissen – nicht von selbst. Sie muss durch einen strukturierten Prozess geleitet werden. Ein Beispiel ist der Intelligence-Zyklus. Genau das werden wir in unserem nächsten Blog behandeln. 

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.