Cybersicherheit in der Verteidigung ist Unternehmens-Cybersicherheit mit drei Multiplikatoren — nationalstaatlichen Gegnern, der Netzwerktopologie klassifizierter Enklaven und der Kopplung mit operativer Technologie. Plattformen, die in diesem Kontext funktionieren, werden vom Bedrohungsmodell ausgehend gebaut: Assets nach Klassifizierung und Kritikalität katalogisiert, Bedrohungsinformationen, die durch STIX/TAXII-Pipelines fließen, Erkennung und Reaktion darüber geschichtet. Plattformen, die scheitern, entstanden durch das Umlackieren kommerzieller Sicherheits-Software mit einem Verteidigungs-Etikett. Diese vierteilige Serie zeigt, wie man es richtig macht. Teil 1 behandelt das Fundament.

Den architektonischen Rahmen liefert Der vollständige Leitfaden zur Cybersicherheit in der Verteidigung. Die C2-Bauserie unter Aufbau eines C2-Systems von Grund auf ist die Plattform, die dieser Cyber-Stack verteidigt; die NATO-Interop-Serie unter NATO-Interoperabilität: Implementierungs-Walkthrough setzt den Kontext für den Koalitions-Datenaustausch.

Schritt 1: Ein explizites Bedrohungsmodell aufbauen

Cybersicherheit in der Verteidigung, die nicht von einem expliziten Bedrohungsmodell ausgeht, verteidigt gegen eine Fiktion. Das Bedrohungsmodell dokumentiert, gegen wen die Plattform verteidigt, was diese Gegner können und was sie wollen. Jede nachfolgende architektonische Entscheidung verweist auf das Modell.

Die Komponenten eines verteidigungstauglichen Bedrohungsmodells:

  • Bedrohungsakteure. Nationalstaatliche Gegner (mit namentlich genannten Länderzuschreibungen, wo der operative Kontext dies stützt), staatsnahe Gruppen, kriminelle Akteure, Insider, Supply-Chain-Kompromittierungsvektoren. Jeder Akteur hat ein Profil aus Motiv, Fähigkeit und Geduld.
  • Gegnerische Taktiken. MITRE ATT&CK-Mapping ist die gemeinsame Sprache; richten Sie sich ab Sprint eins danach aus. Spezifische TTPs (Taktiken, Techniken, Verfahren), mit denen die Plattform rechnet.
  • Gegnerische Ziele. Aufklärung, Persistenz, laterale Bewegung, Datenexfiltration, operative Störung, kinetische Vorbereitung. Unterschiedliche Ziele erfordern unterschiedliche Verteidigungsausrichtungen.
  • Angriffsfläche. Netzwerk-Eingangspunkte, Supply-Chain-Abhängigkeiten, menschenzugewandte Oberflächen (Phishing, Social Engineering), Schnittstellen zur operativen Technologie.
  • Angenommene gegnerische Fähigkeiten. Zero-Day-Ausnutzung, maßgeschneiderte Implants, signalaufklärungsfähig, verweildauer-tolerant. Das Verteidigungs-Engineering der Plattform skaliert auf diese Fähigkeiten, nicht auf kommerziell-kriminelles Niveau.
  • Out-of-Scope-Bedrohungen. Explizit aufgezählt: physische Sicherheit des Rechenzentrums, elektromagnetische Sicherheit jenseits üblicher Praxis, Bedrohungen, die andere Teile der Sicherheitsarchitektur abdecken. Scoping verhindert Scope-Creep in unendliche Verteidigung.

Das Bedrohungsmodell ist ein lebendes Dokument, im Repository neben dem Quellcode versioniert, von Sicherheits- und Engineering-Leads geprüft. Es ist das beschaffungstaugliche Artefakt, das Akkreditierungsprüfer als erstes anfordern.

Schritt 2: Asset-Inventar mit Klassifizierung und Kritikalität

Der Cyber-Stack verteidigt konkrete Assets. Sie zu katalogisieren ist unglamourös und entscheidend — Programme, die das Asset-Inventar überspringen, verteidigen gegen den falschen Gegner und die falsche Angriffsfläche.

Der Asset-Katalog erfasst pro Asset:

  • Asset-Kennung und sprechender Name. Stabil, menschenlesbar, über die gesamte Sicherheits-Toolchain rückverfolgbar.
  • Asset-Typ. System, Datenbank, Netzsegment, Anwendungsdienst, Modellgewichte, Trainingsdatensatz, Controller der operativen Technologie.
  • Klassifizierungsstufe. NATO RESTRICTED, NATO SECRET, COSMIC TOP SECRET, nationale Entsprechungen. Die Stufe prägt alles, was nachgelagert kommt.
  • Kompartimente und Freigabefähigkeit. Nach STANAG 4774-Konventionen (siehe Teil 3 der NATO-Interop-Serie).
  • Kritikalitäts-Stufe. Missionskritisch, missionsessentiell, missionsunterstützend, administrativ. Verschiedene Stufen rechtfertigen unterschiedliche Verteidigungsausrichtungen.
  • Ownership. Die Organisation, die für Betrieb und Sicherheit des Assets verantwortlich ist.
  • Netz-Enklave. Auf welchem klassifizierten oder unklassifizierten Netz das Asset läuft.
  • Abhängigkeiten. Wovon dieses Asset abhängt; was von ihm abhängt.

Der Katalog ist automatisiert, wo möglich (CMDB-Integration, Discovery-Scanning, wo zulässig), und kuratiert, wo Automatisierung nicht ausreicht (Assets der operativen Technologie erfordern oft manuelle Katalogisierung). Lebendes Dokument, versioniert, Fundament für alles Weitere.

Schritt 3: Die CTI-Pipeline etablieren

Cyber Threat Intelligence ist die Schicht, die Erkennung sinnvoll macht. Rohindikatoren strömen hinein, kontextualisierte Bedrohungsdaten fließen hindurch, handlungsrelevante Intelligence fließt hinaus in die Erkennungs- und Reaktions-Toolchain. Die Architektur der Pipeline zählt ebenso wie die Eingaben.

Die Pipeline-Stufen:

Ingestion. Mehrere Feed-Typen: STIX/TAXII-Feeds von kommerziellen Anbietern, Bulletins von Partner-CSIRTs, Advisories nationaler CERTs, Schwachstellendatenbanken (NVD, Hersteller-Advisories), OSINT-Quellen. Jeder Feed hat eigenes Format, eigene Authentifizierung und eigenes Vertrauensmodell.

Normalisierung. Eingaben in eine kanonische CTI-Repräsentation überführen — STIX 2.1-Objekte (Indikatoren, Malware, Bedrohungsakteure, Kampagnen, Angriffsmuster). Normalisierung ist einseitig; die kanonische Form ist das, was die Verbraucher sehen. Das detaillierte CTI-Plattform-Engineering findet sich in CTI-Plattformen für die Verteidigung.

Deduplizierung und Korrelation. Derselbe Indikator kann in fünf Feeds auftauchen. Aggressiv deduplizieren. Indikatoren, die Kontext teilen — derselbe Bedrohungsakteur, dieselbe Kampagne, dasselbe Angriffsmuster — zu zusammengesetzten Intelligence-Paketen korrelieren.

Anreicherung. Kontext hinzufügen, den die Rohfeeds nicht enthalten: Konfidenz-Scoring, MITRE ATT&CK-Mapping, Asset-Relevanz-Scoring gegen das Inventar, Handhabungshinweise zur Klassifizierung, Freigabe-Tags.

Distribution. Push an SIEM/SOAR für Erkennungsregeln, an EDR für Endpunkt-Sperrlisten, an Netzwerksicherheitswerkzeuge für Verkehrsfilterung, an Threat-Hunt-Teams als Recherche-Eingaben, an den operativen Fusion-Stack, wo Cyber-Observables ins Multi-INT-Lagebild eintreten (siehe Fusion-Pipeline, Teil 3).

Schritt 4: STIX/TAXII-Implementierung

STIX (Structured Threat Information Expression) ist das Datenmodell für Cyber Threat Intelligence. TAXII (Trusted Automated Exchange of Intelligence Information) ist das Transportprotokoll. Zusammen sind sie die Lingua Franca des CTI-Austauschs zwischen Verteidigungsorganisationen und kommerziellen Threat-Intelligence-Anbietern.

Die Implementierungsrealität:

Consumer-Seite zuerst. Die meisten Verteidigungsprogramme konsumieren STIX/TAXII von kommerziellen Anbietern (Mandiant, Recorded Future, CrowdStrike, MITRE) und Partner-CSIRTs. Der Consumer-seitige TAXII 2.x-Client ist gut verstanden und beherrschbar.

Schema-Validierung an der Grenze. Jedes eingehende STIX-Objekt wird vor der weiteren Verarbeitung gegen das Schema validiert. Fehlerhafte Eingaben werden geloggt und abgewiesen. Schema-Verletzungen wurden als Injection-Vektoren genutzt; strikte Validierung ist die strukturelle Verteidigung.

Konfidenz-Scoring. STIX-Objekte haben Konfidenz-Felder. Nutzen Sie sie. Ein hochkonfidenter Indikator eines Anbieters und ein niedrigkonfidenter, aus OSINT abgeleiteter Indikator werden in der nachgelagerten Erkennungs-Pipeline unterschiedlich behandelt.

Provider-Seite selektiv. Programme, die Intelligence mit Partnern teilen — Koalitions-CSIRTs, ISAC-Teilnahme, internes-zu-externes Sharing bei Incident Response — implementieren TAXII-Provider-Endpunkte. Die Implementierung ist schwerer als die Consumer-Seite und erfordert die Klassifizierungs-Handhabungs-Disziplin aus Teil 3 dieser Serie.

Schritt 5: OSINT-Pipeline mit Quellenvielfalt

Open-Source-Intelligence ist ein hochwertiger CTI-Input. Soziale Medien, Paste-Seiten, Ransomware-Leak-Seiten, technische Foren, Hersteller-Sicherheits-Advisories, Nachrichten. OSINT-Erkennung eines Angriffs gegen Partnerstreitkräfte oder -infrastruktur ist Intelligence von operativem Wert, hinter der Hersteller-Feeds oft zurückbleiben.

Das Muster der OSINT-Pipeline:

Quellenvielfalt. Keine einzelne Quelle dominiert. Mehrere Quellen reduzieren Single-Feed-Bias und legen Falschmeldungen schneller offen.

Konfidenz nach Quelle. Jede Quelle hat einen kalibrierten Konfidenz-Score auf Basis historischer Genauigkeit. Ein behaupteter Indikator in einem anonymen Forum wird anders behandelt als ein bestätigter Indikator in einem Advisory eines nationalen CERTs.

Attribution und Zitation. Jeder aus OSINT abgeleitete Indikator trägt Quell-URL, Snapshot-Zeitstempel und Analystennotiz. Ohne Provenienz übersteht der Indikator keine Prüfung und kann nicht an Koalitionspartner weitergegeben werden.

Rechtliche und ethische Leitplanken. OSINT-Erhebung aus sozialen Medien hat rechtliche Beschränkungen, die je nach Jurisdiktion variieren. Die OSINT-Erhebungsrichtlinie der Plattform ist dokumentiert, rechtlich geprüft und im Code durchgesetzt. Die ausführliche Behandlung findet sich in OSINT-Bedrohungsmonitoring für die Verteidigung.

Kernerkenntnis: Die CTI-Pipeline ist die Schicht, die generische Sicherheits-Software in verteidigungstaugliche Verteidigung verwandelt. Ein SIEM ohne CTI fängt Commodity-Bedrohungen ab. Ein SIEM, das mit nationalstaatlich relevanter CTI angereichert ist, fängt die Bedrohungen ab, gegen die die Plattform tatsächlich verteidigt. Die Investition in CTI-Infrastruktur ist die Entscheidung mit der höchsten Hebelwirkung im Cyber-Stack.

Schritt 6: Cyber als Fusionsdisziplin

Moderne Cybersicherheit in der Verteidigung behandelt Cyber-Observables als eine weitere Aufklärungsdisziplin neben SIGINT, IMINT, ELINT. Die Outputs des Cyber-Stacks fließen in die operative Fusions-Pipeline; die Outputs der operativen Fusions-Pipeline reichern die Cyber-Entscheidungsfindung an. Die Integration ist bidirektional.

Das architektonische Muster:

Cyber-Ereignisse als Beobachtungen. Bestätigte Kompromittierungen, Erkennungen von Angriffsversuchen, attribuierte Kampagnen — jedes wird zur Beobachtung im kanonischen Track-Schema, mit Cyber-Disziplin-Metadaten getaggt. Das detaillierte Muster findet sich in Aufbau einer Fusions-Pipeline für die Verteidigung, Teil 3.

CTI-Anreicherung von Tracks der physischen Domäne. Wenn ein Cyber-Indikator gegnerische Aktivität an einem geografischen Ort nahelegt, reichert der Indikator den Track der physischen Domäne im operativen Lagebild an. Ein SIGINT-Erfassungspunkt, der sich am selben Ort wie eine bestätigte Cyber-Kompromittierung befindet, wird zu einem höherpriorisierten Track für den Bediener.

Gemeinsame Klassifizierungsmechanik. Die Klassifizierungs-Labels auf Cyber-Daten fließen durch dieselbe STANAG 4774/4778-Bindung wie Daten der physischen Domäne. Cyber-spezifische Kompartimente und Freigabefähigkeit arbeiten mit dem umfassenderen Klassifizierungssystem zusammen.

Schritt 7: Repository-Struktur für Cyber-Code

Cyber-Stack-Code ist sensibel — falsche Änderungen können Erkennung deaktivieren, Kompromittierungen übersehen oder klassifiziertes Material leaken. Repository-Disziplin mindert das Risiko.

Die Struktur, die funktioniert:

  • cyber/threat-model/ — versionierte Bedrohungsmodell-Dokumente, MITRE ATT&CK-Mappings, Asset-Tier-Klassifizierungen.
  • cyber/asset-inventory/ — der Katalog aus Schritt 2, mit Zusammenführung von Discovery-Automatisierung und manueller Kuratierung.
  • cyber/cti/feeds/ — Feed-Konfigurationen, Normalisierungsregeln pro Quelle, Deduplizierungs-Policies.
  • cyber/cti/enrichment/ — Anreicherungs-Pipelines, Konfidenz-Scoring-Regeln, Asset-Relevanz-Scoring.
  • cyber/detection-rules/ — SIEM-Erkennungsinhalte (Sigma-Regeln, herstellerspezifische Formate), versionskontrolliert, in CI gegen aufgezeichnete Ereignisdaten getestet.
  • cyber/playbooks/ — SOAR-Reaktions-Playbooks, in CI getestet, vor Bereitstellung von der Sicherheitsleitung geprüft.
  • cyber/forensics/ — Erhebungs- und Analyse-Tooling, Beweismittelketten-Verfahren.
  • cyber/ADRs/ — Architecture Decision Records für bedeutende Entscheidungen der Cyber-Architektur.

Wie es weitergeht

Teil 1 hat das Fundament gelegt. Explizites Bedrohungsmodell, Asset-Inventar mit Klassifizierung, CTI-Pipeline, die STIX/TAXII und OSINT aufnimmt, Integration von Cyber als Fusionsdisziplin, Repository-Disziplin. Der Cyber-Stack hat nun einen klaren Blick darauf, gegen was er verteidigt, was er verteidigt und woher seine Intelligence stammt.

Teil 2 implementiert die Betriebsebene: SIEM und SOAR, entwickelt für klassifizierte Enklaven, CERT-übergreifende Integration, automatisierte Playbook-Disziplin, die praktischen Realitäten, die operative Cyber von PowerPoint-Cyber unterscheiden.