Afleveringen
-
Roberts-Kriterien, GIR-PIR-SIR-Hierarchie, drei DACH-Sektor-Builds live
Drei Worte heisst die meistgenannte Priority Intelligence Requirement in DACH-CTI-Programmen 2026: „Monitor Ransomware Threats." Vier Kriterien hat Scott Roberts 2016 für eine echte PIR formuliert — Singular, Atomic, Decision Centric, Timeliness. Hundertachtzig Anforderungs-Templates listet das Intel-471-CU-GIR-Framework, das in der DACH-Industrie regelmässig als PIR-Set missverstanden wird. Drei Worte, null Roberts-Kriterien erfüllt. Hundertachtzig importierte Themen, keine einzige organisationsspezifische Entscheidung.
Workshop-Format. Eine Stunde. Wir bauen live drei Sektor-PIR-Sets — Schweizer Energieversorger, deutscher Maschinenbauer, österreichisches Finanzinstitut — und legen die methodische Genealogie nebeneinander: US Army Field Manual 34-2 von 1994 als kanonische Definition, Roberts' Medium-Blog von 2016 als de-facto-CTI-Konvention, FIRST-CTI-SIG-Curriculum, CTI-CMM v1.0 von 2024 als Reife-Framework. Was ist eine PIR im Roberts-Sinn? Eine Frage, deren Antwort eine Stakeholder-Entscheidung ermöglicht. Was ist sie nicht? Ein Topic-Bucket, ein Sammelplan-Filter, eine BDEW-Whitepaper-Übersetzung in achtzehn Punkten.
Drei Negativ-Folien aus der DACH-Realität: Xplain 2023 — eine PIR mit Legal und Procurement im Workshop-Raum hätte gefragt, welche Subdienstleister produktive Personendaten ohne vertraglichen Schutz halten, existierte aber nicht. SPD-Hack via CVE-2023-23397 — eine sektorale PIR auf APT28-Infrastruktur-Korrelation wäre Anfang 2023 handlungsfähig gewesen, ist aber in keinem DACH-Mittelstands-Programm vor 2024 dokumentiert. NIS2 Artikel 21 — listet zehn Mindestmassnahmen, „Priority Intelligence Requirement" kommt im gesamten Artikel und in der ENISA-Implementation-Guidance kein einziges Mal vor. Wer einer Organisation sagt „wegen NIS2 brauchen Sie PIRs", verkauft CTI-Tradecraft als Compliance-Pflicht.
Drei Stolpersteine räumen wir explizit aus dem Weg: PIR als Vendor-Vokabel für „Use Case", „NIS2 verlangt PIRs", Roberts' Heuristik als „Industry Standard". Die Folge argumentiert gegen die Konsens-Praxis, hundertachtzig fremde GIR-Templates als eigene PIR-Liste zu adoptieren — und hält sich strikt an die Doktrin, die seit 1994 in jedem ernstzunehmenden Field Manual steht. Wir erfinden keine Kontroverse. Wir machen den Unterschied zwischen Themenliste und Anforderungs-Set sichtbar.
Was du mitnimmst
Drei bis fünf PIRs nach Roberts in einem Vier-Stunden-Workshop bauen — Stakeholder-Set vor Methodik, Stühle im Raum für IT-Security, OT, Legal, HR, Risk, Business Continuity, Procurement —, eine quartalsweise Refinement-Kadenz im RFI-Register verankern, drei Stolpersteine in der nächsten Vendor-Demo erkennen. Pflichtwissen für jeden, der ein CTI-Programm vor CFO, Aufsichtsbehörde oder NIS2-Auditor begründen muss.Geschüttelt. Nicht gerührt.
-
Sechs Phasen, drei strukturelle Bruchpunkte, ein DACH-Lehrstück
Vierunddreissig Tage liegen zwischen dem Initial Access bei der Landesverwaltung Kärnten am 21. April 2022 und der Detection am 24. Mai. Sechs Phasen umfasst der klassische Intelligence Cycle, der in jedem CTI-Lehrgang als kanonische Lehrform hängt. Sechsunddreissig Prozent der Programme messen laut SANS-CTI-Umfrage 2024 ihre Effektivität — vierundsechzig Prozent nicht. Drei Zahlen, die zusammengenommen die These der Folge tragen: der Cycle ist als Lehrmodell brauchbar, als Beschreibung der realen CTI-Praxis aber unzureichend — und der Massstab für Reife ist nicht „wir haben einen Cycle", sondern „wir schliessen ihn".
Wir legen die Phasen einzeln auf den Tisch und gehen mit konkreten DACH-Fällen durch jede einzelne Bruchstelle. Phase 1 — Direction — fehlt strukturell im DACH-Mittelstand, illustriert am A1-Telekom-Fall: sechs Monate Verweildauer, Hundert-Personen-Eradication, über zehntausend Systeme reset, vermutete staatliche Akteure ohne hinterlegte Priority Intelligence Requirements. Phase 2 — Collection — versagt im Land-Kärnten-Lehrstück und bei MediaMarktSaturn. Phase 4 — Analysis — bricht öffentlich an Olympic Destroyer 2018, dem kanonischen False-Flag-Lehrstück mit gefälschtem Rich Header, das die initialen Lazarus-Attributionen drei Wochen lang aufrecht hielt. Und wir zerlegen die ACH-Empirie, die seit sieben Jahren unter Druck steht: Dhami 2019, Karvetski 2020, Whitesmith 2024 — Brainstorming und Devil's Advocacy haben empirischen Support, Analysis of Competing Hypotheses hat keinen.
Phase 5 — Dissemination — funktioniert vorbildlich beim SPD-Hack, sechzehn Monate nach der initialen Kompromittierung, mit koordinierter BfV-BMI-Communiqué-Kette. Phase 6 — Feedback — bricht strukturell, weil ein vergessenes RFI-Register keine Schlagzeile produziert. Wir zeigen Xplain als die seltene geschlossene Schleife auf Bundes-Niveau — Edöb-Bericht plus Bundesrats-Administrativuntersuchung mit konkreten Lieferanten-Massnahmen — und legen drei weitere DACH-Cases daneben: Continental, Südwestfalen-IT, Funke Mediengruppe.
Die Folge argumentiert gegen den Konsens, dass „wir machen den Cycle" schon ein CTI-Programm sei — und hält sich strikt an die Empirie, die BSI, BACS, CERT.at und ENISA selbst publizieren, ohne den Cycle-Begriff überhaupt zu führen. Wir erfinden keine Kontroverse. Wir machen die methodische Disziplin sichtbar, die in der Behörden-Praxis längst gelebt wird.
Was du mitnimmst
Den Reife-Test in Phase 6 anwenden — RFI-Register der letzten zwölf Monate vorzeigen, Frequenz und Timing prüfen —, eine realistische Bias-Mitigation einführen, die empirisch trägt (Devil's Advocacy als feste Rolle, nicht ACH-Theater), und drei Sofort-Schritte, die ein DACH-Mittelstands-Programm an einem Tag beginnen kann. Pflichtwissen für jeden, der CTI-Reife vor Vorstand, Aufsichtsbehörde oder CFO begründen muss.Geschüttelt. Nicht gerührt.
-
Zijn er afleveringen die ontbreken?
-
S1E01 — Was ist CTI, wirklich?
Die Demontage der Gleichung „Feed gleich Intelligence"
50.000. 5. 4. Fünfzigtausend Indikatoren verspricht die Sales-Folie pro Tag. Fünf Tage misst Censys als Median-Lebensdauer eines kommerziellen Cobalt-Strike-Command-and-Control-Servers. Vier Prozent Overlap haben zwei Premium-Threat-Intelligence-Feeds laut der bislang sauberen USENIX-Messung. Drei Zahlen, die zusammengenommen erklären, warum „mehr Feeds gleich mehr Breite" ein Vendor-Slogan ist, kein empirischer Befund.
In der ersten Sach-Folge nach dem Piloten legen wir die Definitionen nebeneinander, die seit dreizehn Jahren zitiert werden: McMillans Gartner-Definition von 2013 mit ihren fünf Qualitätsmerkmalen, NIST SP 800-150, Biancos Pyramid of Pain in der heute kanonischen Sechs-Ebenen-Fassung von 2014 — und die MITRE-Erweiterung Summiting the Pyramid aus Dezember 2024, die das Modell zum ersten Mal seit elf Jahren empirisch unterlegt. Was unterscheidet Daten von Information, Information von Intelligence? Welches McMillan-Kriterium erfüllt ein STIX-Eintrag mit IP-Adresse und Vendor-Tag „Akira-related"? Genau eines von fünf. Warum bezahlen Kunden zweier marktführender Premium-Anbieter laut Bouwmans Interview-Teil gar nicht für die Indikatoren — sondern für die narrativen Reports?
Wir messen den Decay an zwei Censys-Snapshots, lesen den Phishing-Survival-Survey von Lee und Lim (Median 5,5 Stunden, Google Safe Browsing erfasst 18,4 Prozent in 4,5 Tagen), prüfen die SANS-CTI-Umfrage 2024 — 36 Prozent der Programme messen ihre Effektivität, 64 Prozent nicht — und legen drei DACH-Lehrstücke daneben: Südwestfalen-IT, Xplain, SPD-Parteizentrale. Dreimal lag die verletzbare Ebene oberhalb von Hash und IP. Dreimal hätte kein Indikator-Feed der Welt den Vorfall verhindert. Dreimal folgte eine regulatorische Reaktion — NIS2-Umsetzungsgesetz, NISG 2026, Schweizer ISG —, die Prozess verlangt, nicht Konsum.
Die Folge argumentiert gegen den Konsens, dass kommerzieller Feed-Konsum schon ein CTI-Programm sei — und hält sich strikt an die Empirie, die in den Fussnoten der Sales-Decks selbst steht, wenn man sie liest. Wir erfinden keine Kontroverse. Wir machen die in den Studien dokumentierte sichtbar.
Was du mitnimmst
Ein CTI-Produkt an fünf McMillan-Kriterien prüfen, jeden Indikator einer der sechs Pyramid-Ebenen zuordnen, jedes Artefakt am So-what-Test von Katie Nickels messen — Wen interessiert das? Was soll die Organisation tun? Wie machen wir es erneut? Pflichtwissen für jeden, der ein CTI-Programm aufbaut, reift oder vor Vorstand und Aufsichtsbehörde verantwortet.
Geschüttelt. Nicht gerührt. -
S1E00 — Zahlen, die niemand hinterfragt
Methodenkritik im DACH-Cybersecurity-Diskurs
309.000. 280.000. 202 Milliarden. Drei Zahlen, die in jeder zweiten Vorstandspräsentation auftauchen — und drei Zahlen, deren Methodikseiten kaum jemand gelesen hat.
In dieser Zwischenfolge legen wir die Quelldokumente nebeneinander: die BSI-Malware-Statistik, den Bitkom-Wirtschaftsschutzbericht, die BACS-Halbjahresberichte. Was misst eine „neue Malware-Variante" eigentlich? Ein veränderter Hashwert. Auch wenn an der Funktionalität nichts neu ist — das schreibt das BSI selbst auf seiner Methodikseite. Was steckt hinter den 202 Milliarden Euro Schaden? 1.002 Telefoninterviews, Selbsteinschätzung, hochgerechnet auf die deutsche Gesamtwirtschaft. Und warum sind die BACS-Zahlen methodisch sauberer — aber öffentlich seltener zitiert?
Wir nehmen jede Zahl auseinander, lesen die Fussnoten, die in den Schlagzeilen verloren gehen, und ziehen am Ende einen praktischen Filter: Wann ist eine Cybersecurity-Zahl operative Kennzahl, wann politisches Signal, wann Vendor-Argument? Die Folge argumentiert gegen den Konsens, dass diese Zahlen „stimmen" — aber sie hält sich strikt an das, was die Statistikämter selbst auf ihren Methodikseiten schreiben. Wir erfinden keinen Streit. Wir machen den vorhandenen sichtbar.
Was du mitnimmstSchadenszahl einem methodischen Typ zuordnen — gemessen, berichtet, geschätzt, hochgerechnet — und weisst, für welchen Argumentationskontext sie sich eignet. Pflichtwissen für jeden, der vor Vorstand, Verwaltungsrat oder Behörde Risiken kommunizieren muss.
Geschüttelt. Nicht gerührt.
