TTPs (Tactics, Techniques and Procedures)

TTPs stehen für Tactics, Techniques and Procedures – ein zentraler Begriff in der Cyber Threat Intelligence und Angriffsanalyse. TTPs beschreiben, wie Angreifer vorgehen, von der strategischen Absicht (Taktik) bis hin zu den konkreten technischen Schritten (Verfahren).

Die drei Ebenen der TTPs

  1. Tactics (Taktiken):
    Das „Was“ – das übergeordnete Ziel, z. B. Privilegienausweitung oder Persistenz

  2. Techniques (Techniken):
    Das „Wie“ – z. B. Passwort-Dumping oder Einsatz legitimer Tools (LOTL)

  3. Procedures (Verfahren):
    Das „Wie genau“ – konkrete Umsetzung, z. B. Einsatz von mimikatz oder rundll32.exe

Warum TTPs wichtig sind

  • Sie ermöglichen verhaltensbasierte Angriffserkennung

  • Grundlage für Threat Hunting und Detection Rules (EDR/XDR)

  • Zentrale Struktur in MITRE ATT&CK

  • Besseres Verständnis für Angriffsverläufe und Gruppenzuordnungen (z. B. APTs)

Beispiel: TTP im Kontext

Ebene Beispiel
Tactic Defense Evasion
Technique Obfuscated Files or Information
Procedure Einsatz von PowerShell -EncodedCommand

TTPs sind das Rückgrat moderner Cyberabwehr. Sie helfen, Angreifer nicht nur zu erkennen, sondern auch systematisch zu verstehen und abzuwehren – unabhängig von der eingesetzten Malware oder Infrastruktur.

Threat Intelligence

Threat Intelligence (Bedrohungsinformationen) bezeichnet das systematische Sammeln, Analysieren und Auswerten von Daten zu aktuellen und potenziellen Cyberbedrohungen. Ziel ist es, fundierte Entscheidungen zur Verteidigung gegen Angriffe treffen zu können – präventiv und reaktiv.

Was ist Threat Intelligence?

Threat Intelligence liefert kontextbezogene Informationen über Angreifer, Angriffsmethoden (TTPs), Schwachstellen, Indicators of Compromise (IoCs) und Bedrohungskampagnen. Diese Informationen stammen aus internen Quellen (z. B. SIEM, EDR) und externen Feeds (z. B. CERTs, Open Source, kommerzielle Anbieter).

Formen von Threat Intelligence

  • Strategisch: Hochwertige Analysen zu Akteuren, Trends, Risiken (für CISOs & Management)

  • Taktisch: Details zu Angriffsvektoren, genutzten Tools und Techniken (für SOC & Blue Teams)

  • Operativ: Konkrete Indicators of Compromise (IPs, Hashes, URLs etc.) zur Erkennung

Nutzen von Threat Intelligence

  • Früherkennung und Vermeidung gezielter Angriffe

  • Anpassung von Sicherheitsrichtlinien und -technologien

  • Unterstützung bei Incident Response und Forensik

  • Verbesserung von SIEM-/XDR-Systemen durch Anreicherung mit Kontextdaten

Vergleich: Threat Intelligence vs. klassische Bedrohungserkennung

Merkmal Threat Intelligence Klassische Erkennung (z. B. AV, IDS)
Datenbasis Externe & interne Quellen, manuelle & automatisierte Auswertung Nur lokale Ereignisse oder Signaturen
Kontext Hoch (Akteure, Motivation, Angriffsmuster) Gering (nur technische Events)
Prävention möglich Ja, durch strategische Maßnahmen Meist reaktiv
Dynamik Laufend aktualisiert, anpassbar Statisch, oft verzögert

Threat Intelligence ist ein Schlüsselfaktor für moderne Cybersicherheit. Sie ermöglicht es Unternehmen, nicht nur auf Angriffe zu reagieren, sondern ihnen proaktiv zuvorzukommen – mit fundierten Informationen und aktuellem Bedrohungswissen.

TISAX

TISAX steht für „Trusted Information Security Assessment Exchange“ und ist ein Sicherheitsbewertungs- und -zertifizierungsstandard, der speziell für die Automobilindustrie entwickelt wurde. TISAX wurde vom Verband der Automobilindustrie (VDA) in Deutschland eingeführt und dient dazu, die Informationssicherheit in der Lieferkette der Automobilindustrie zu gewährleisten und sicherzustellen.

Die TISAX-Zertifizierung umfasst eine gründliche Überprüfung und Bewertung der Informationssicherheitspraktiken und -prozesse von Unternehmen, die in der Automobilindustrie tätig sind, einschließlich Automobilherstellern und Zulieferern. Das Hauptziel von TISAX besteht darin, sicherzustellen, dass sensible und vertrauliche Informationen in der gesamten Lieferkette angemessen geschützt werden, um Risiken im Zusammenhang mit Datenschutz und Informationssicherheit zu minimieren.

Hier sind einige wichtige Merkmale und Aspekte der TISAX-Zertifizierung:

  1. Bewertung der Informationssicherheit: TISAX umfasst eine umfassende Prüfung der Informationssicherheitsmaßnahmen eines Unternehmens, einschließlich der Sicherheitsrichtlinien, Prozesse, technischen Sicherheitskontrollen und Schulungen.
  2. Standardisierte Prüfungen: TISAX verwendet standardisierte Prüfungen und Kriterien, die auf internationalen Standards und bewährten Verfahren basieren, wie beispielsweise ISO 27001 für Informationssicherheitsmanagementsysteme.
  3. Vertraulichkeit und Datensicherheit: Da die Automobilindustrie mit hochsensiblen Informationen arbeitet, wird besonderes Augenmerk auf die Vertraulichkeit und Datensicherheit gelegt. Unternehmen müssen sicherstellen, dass personenbezogene Daten und andere vertrauliche Informationen angemessen geschützt sind.
  4. Lieferkettenmanagement: TISAX legt Wert auf das Lieferkettenmanagement und erfordert, dass Unternehmen sicherstellen, dass auch ihre Lieferanten und Partner angemessene Sicherheitsvorkehrungen treffen.
  5. Stufenmodell: TISAX verwendet ein Stufenmodell, das auf einem Bewertungssystem basiert. Je nachdem, wie gut ein Unternehmen in Bezug auf die Informationssicherheit abschneidet, erhält es eine bestimmte Bewertungsstufe.
  6. Austausch von Prüfergebnissen: TISAX ermöglicht es Unternehmen, ihre Prüfergebnisse mit anderen Unternehmen in der Automobilindustrie zu teilen, anstatt mehrfach geprüft zu werden. Dies erleichtert die Zusammenarbeit und den Datenaustausch in der Lieferkette.

TISAX-Zertifizierungen sind oft Voraussetzungen für die Zusammenarbeit mit großen Automobilherstellern und -lieferanten. Durch die Zertifizierung können Unternehmen ihr Engagement für Informationssicherheit und Datenschutz demonstrieren und das Vertrauen ihrer Kunden stärken.

Es ist wichtig zu beachten, dass TISAX ein spezifischer Standard für die Automobilindustrie ist und von Organisationen außerhalb dieser Branche normalerweise nicht angewendet wird. Andere Branchen haben jedoch ähnliche Sicherheitsstandards und -zertifizierungen entwickelt, um ihre spezifischen Anforderungen zu erfüllen.