Cyberangriffe, neue Schwachstellen, organisierte Kriminalität oder geopolitische Spannungen – Bedrohungen der Informationssicherheit sind dynamisch und vielschichtig. Unternehmen stehen vor der Herausforderung, diese Gefahren nicht nur zu erkennen, sondern systematisch zu bewerten und daraus Maßnahmen abzuleiten. Genau das verlangt ISO/IEC 27001:2024 Control 5.7: Informationen über Bedrohungen der Informationssicherheit müssen kontinuierlich erhoben, analysiert und genutzt werden.
In der Praxis wird dies auch als Threat Intelligence bezeichnet – die strukturierte Erfassung und Auswertung sicherheitsrelevanter Informationen, um proaktiv auf Risiken reagieren zu können. In diesem Beitrag erfahren Sie, wie Sie Bedrohungslagen richtig bewerten, wie sich das mit dem ISMS, der NIS-2-Richtlinie, der DSGVO und dem Cyber Resilience Act (CRA) verzahnt – und warum ein systematischer Umgang mit Bedrohungsinformationen für die Zertifizierung nach ISO 27001 unerlässlich ist.
Inhaltsverzeichnis
- Was fordert ISO 27001 Control 5.7 konkret?
- Warum ist Threat Intelligence so wichtig?
- Ziele von Control 5.7 – Threat Intelligence kurz erklärt
- Checkliste: Anforderungen an ein funktionierendes Threat Intelligence-System
- Threat Intelligence -Umsetzung im ISMS
- Threat Intelligence -Relevanz für DSGVO, NIS-2, CRA, DORA
- Fazit – Threat Intelligence
- FAQ: Threat Intelligence nach ISO 27001
Was fordert ISO 27001 Control 5.7 konkret?
Bevor Sie Bedrohungen bewerten und in Schutzmaßnahmen überführen können, müssen die Anforderungen aus dem Standard klar verstanden sein. Control 5.7 verlangt von Unternehmen, dass Informationen über Bedrohungen der Informationssicherheit erhoben und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen:
- relevante Informationen über aktuelle und potenzielle Bedrohungen identifizieren (z. B. aus CERTs, Behörden, Brancheninformationen),
- diese systematisch analysieren, bewerten und priorisieren,
- Ableitungen für Schutzmaßnahmen treffen,
- die Informationen regelmäßig aktualisieren,
- und die Ergebnisse der Analyse in das ISMS einfließen lassen.
Ziel ist es, die IT-Sicherheit nicht nur reaktiv, sondern vorausschauend zu gestalten.
Warum ist Threat Intelligence so wichtig?
Die Bedrohungslage für Unternehmen verändert sich täglich – und oft schneller, als interne Prozesse reagieren können. Genau deshalb ist Threat Intelligence so entscheidend. Ohne fundierte Informationen über Bedrohungen agieren Unternehmen im Blindflug. Mit einem strukturierten Threat Intelligence-Prozess lassen sich:
- Cyberrisiken frühzeitig erkennen und bewerten,
- IT-Sicherheitsmaßnahmen gezielt und risikoorientiert planen,
- Verletzungen gesetzlicher Anforderungen vermeiden (z. B. DSGVO Art. 32, BDSG, NIS-2-Governance-Pflichten),
- und Auditfeststellungen zur Risikobehandlung proaktiv vermeiden.
Gerade bei steigenden regulatorischen Erwartungen durch das NIS-2-Umsetzungsgesetz ist dies ein zentraler Baustein für Governance, Compliance und Resilienz.
Ziele von Control 5.7 – Threat Intelligence kurz erklärt
Die Integration von Bedrohungsinformationen verfolgt mehrere Ziele, die über bloßen Schutz hinausgehen:
- Proaktives Risikomanagement durch aktuelle Bedrohungsdaten
- Schutz kritischer Informationen vor dynamischen Gefahren
- Stärkung der Cyberresilienz durch frühzeitige Maßnahmen
- Integration externer Informationen in das ISMS
- Erfüllung regulatorischer Anforderungen (z. B. NIS-2, DSGVO, CRA)
Checkliste: Anforderungen an ein funktionierendes Threat Intelligence-System
Damit Unternehmen nicht reaktiv, sondern strategisch mit Bedrohungen umgehen, sind strukturierte Prozesse und klare Verantwortlichkeiten nötig. Die folgende Checkliste hilft bei der Umsetzung:
| ✅ | Maßnahme |
| ☑ | Regelmäßige Beobachtung einschlägiger Quellen (z. B. BSI, CERT-Bund, Hersteller, Branchenverbände) |
| ☑ | Bewertung der Relevanz für die eigene Organisation (z. B. durch den Informationssicherheitsbeauftragten) |
| ☑ | Ableitung konkreter Risiken und Maßnahmen |
| ☑ | Dokumentation im Risikomanagementprozess des ISMS |
| ☑ | Information relevanter Stakeholder über neue Bedrohungen |
| ☑ | Nutzung von Bedrohungsdaten bei System-, Produkt- oder Prozessänderungen |
| ☑ | Integration in den jährlichen ISMS-Review und Verbesserungsprozess |
Risiken ohne strukturierte Bedrohungsanalyse
Wer auf systematische Bedrohungsanalysen verzichtet, gefährdet die gesamte Sicherheitsarchitektur. Diese Konsequenzen drohen:
- Übersehen neuer Schwachstellen und Angriffsvektoren
- Unzureichende Reaktion auf aktuelle Cyberrisiken, Cyberattacken und Hackerangriffe
- Interessenskonflikte bei der Priorisierung von Sicherheitsmaßnahmen
- Fehlende Nachweise bei Audits (z. B. im Rahmen der ISO-27001-Zertifizierung)
- Verstöße gegen Pflichten der DSGVO, NIS-2 oder CRA
Threat Intelligence -Umsetzung im ISMS
Threat Intelligence ist keine Insellösung – sie muss in das Informationssicherheits-Managementsystem integriert sein. Dabei kommt es auf folgende Punkte an:
- Verankerung im Risikomanagementprozess
- Integration in die Sicherheitsstrategie und Maßnahmenplanung
- Schnittstelle zu Incident Response, Notfallmanagement und Systementwicklung
- Verantwortlichkeit klar definiert (z. B. beim externen Informationssicherheitsbeauftragten oder dem ISMS-Team)
- Regelmäßige Berichterstattung an das Management
Threat Intelligence -Relevanz für DSGVO, NIS-2, CRA, DORA
Bedrohungsinformationen sind auch aus regulatorischer Sicht nicht optional, sondern Pflicht. Die wichtigsten Bezüge:
- DSGVO Art. 32: verlangt „geeignete technische und organisatorische Maßnahmen“ – Bedrohungsbewertung ist Grundlage dafür
- NIS-2-Richtlinie: fordert aktive Überwachung und Bewertung von Risiken – ohne Bedrohungsanalyse nicht umsetzbar
- CRA: verlangt Sicherheitsvorkehrungen bereits im Produktdesign – nur möglich, wenn Bedrohungslagen bekannt sind
- DORA: fordert risikobasierte Steuerung von ICT-Bedrohungen – Bedrohungsintelligenz als Basis
Fazit – Threat Intelligence
Threat Intelligence ist mehr als ein Buzzword – es ist ein strategischer Erfolgsfaktor. Mit ISO 27001 Control 5.7 liefern Sie sich nicht länger der Unsicherheit aus, sondern schaffen Struktur und Handlungsfähigkeit in einer dynamischen Bedrohungslage.
Gerade im Kontext der NIS-2-Umsetzung, der DSGVO und des Cyber Resilience Acts sind systematische Prozesse zur Bedrohungserkennung, -analyse und -bewertung unverzichtbar.
Ob mit interner Expertise oder einem externen Informationssicherheitsbeauftragten – wer Threat Intelligence richtig angeht, schützt nicht nur Informationen, sondern auch Vertrauen, Reputation und Geschäftskontinuität.
FAQ: Threat Intelligence nach ISO 27001
Threat Intelligence bezeichnet die systematische Sammlung, Analyse und Bewertung sicherheitsrelevanter Informationen, um Bedrohungen frühzeitig zu erkennen. ISO 27001 Control 5.7 fordert genau diese strukturierte Vorgehensweise.
In der Regel liegt die Verantwortung bei dem Informationssicherheitsbeauftragten oder dem ISMS-Team. Viele Unternehmen setzen hier auch auf einen externen Informationssicherheitsbeauftragten zur fachlichen Unterstützung.
Die NIS-2-Richtlinie verpflichtet Unternehmen zur aktiven Überwachung und Bewertung von Cyberrisiken. Ohne Threat Intelligence lassen sich diese Anforderungen nicht erfüllen.
Threat Intelligence ist ein Bestandteil des Risikomanagementprozesses im ISMS und sollte in regelmäßige Reviews, Maßnahmenplanung und Berichterstattung eingebunden sein
Ein externer Datenschutzbeauftragter unterstützt die Bewertung von Bedrohungen im Hinblick auf personenbezogene Daten und sorgt für die DSGVO-konforme Umsetzung von Sicherheitsmaßnahmen.
Mindestens quartalsweise – idealerweise aber kontinuierlich über abonnierte Quellen, CERTs oder spezialisierte Anbieter für IT-Sicherheit und Threat Intelligence.
Beispielsweise BSI, CERT-Bund, Hersteller-Sicherheitsmeldungen, Branchenverbände, Threat Intelligence Feeds und die Beratung durch Informationssicherheitsdienstleister.
Gerade kleine und mittlere Unternehmen KMU ohne eigene IT-Sicherheitsabteilung profitieren durch strukturierte Threat Intelligence und die Unterstützung eines externen Informationssicherheitsbeauftragten, z. B. im Rahmen von NIS-2-Beratung oder ISMS-Einführung.
DSGVO (Art. 32), NIS-2, DORA und CRA erwarten alle eine fundierte Risikoeinschätzung – Threat Intelligence ist eine notwendige Grundlage dafür.
Sie ermöglicht nachvollziehbare Risikobewertungen, zeigt proaktives Handeln und reduziert Audit-Feststellungen im Rahmen der ISO 27001-Zertifizierung.
Über Risikobewertungen, Maßnahmenpläne, Updates im SoA (Statement of Applicability) und Managementberichte.
Bedrohungen müssen nicht nur erkannt, sondern auch im Risikoregister bewertet und mit Maßnahmen versehen werden – typischerweise durch das ISMS-Team oder externe Berater.
Ad-hoc-Vorgehen, fehlende Zuständigkeiten, keine Aktualisierung und fehlende Einbindung in das ISMS sind klassische Stolpersteine.
Spezialisierte Anbieter für Informationssicherheitsberatung oder Datenschutzberatung unterstützen beim Aufbau, bei der Schulung und bei der Integration in das ISMS.
Er bringt aktuelles Know-how, Zugang zu professionellen Quellen und unterstützt bei Audit-Vorbereitung, Dokumentation und Compliance (z. B. NIS-2, ISO 27001).
Schwachstellenbewertung fokussiert sich auf Systeme und Software. Threat Intelligence betrachtet das größere Bild: Bedrohungsakteure, Trends und sektorbezogene Risiken.
Art. 32 DSGVO verlangt Schutzmaßnahmen „nach dem Stand der Technik“. Nur durch aktuelle Bedrohungsinformationen kann dieser Nachweis erbracht werden.
Security Information and Event Management (SIEM), Threat Intelligence Plattformen, Vulnerability Scanner – oder spezialisierte Services externer Dienstleister.
Ja – sie verbessert generell die IT-Sicherheit und hilft bei der Vorbereitung auf regulatorische Anforderungen wie das NIS-2-Umsetzungsgesetz.
Durch definierte Prozesse, feste Zuständigkeiten, regelmäßige Reviews und eine Verankerung im ISMS-Handbuch – idealerweise begleitet durch Informationssicherheitsberatung oder externe Expertise.
