Cyberangriffe betreffen nicht nur grosse Unternehmen. Auch kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Visier von professionellen Angreifern. Die neue Version der internationalen Norm ISO/IEC 27001:2022 nimmt diese Realität ernst – mit einem neuen Baustein: “Threat Intelligence”. Doch was steckt dahinter? Und was bedeutet das für KMU?
Autor: Andreas Karl, Lead Auditor und Produktmanager ICT, Swiss Safety Center AG
“Threat Intelligence” oder Bedrohungsinformationen beschreibt die strukturierte Sammlung und Auswertung von Informationen über aktuelle oder bevorstehende Cyberbedrohungen. Ziel ist es, sich nicht nur zu verteidigen, wenn ein Angriff bereits läuft – sondern Bedrohungen frühzeitig zu erkennen und wirksam zu verhindern.
Die neue Normfassung fordert damit einen Wandel: Weg vom reaktiven Schutz, hin zu einer vorausschauenden Sicherheitskultur.
Warum ist das relevant – gerade für KMU?
KMU verfügen oft nicht über ein grosses IT-Team oder eine eigene Security-Abteilung. Gerade deshalb ist ein gezielter, effizienter Umgang mit Sicherheitsrisiken entscheidend. “Threat Intelligence” hilft, vorhandene Ressourcen besser einzusetzen, indem:
- aktuelle Bedrohungslagen erkannt werden (z. B. neue Phishing-Wellen oder Ransomware-Kampagnen),
- gezielte Massnahmen getroffen werden (z. B. Patches, Awareness-Schulungen, Netzwerksegmentierung),
- und wichtige Entscheidungen risikobasiert vorbereitet werden können.
Was fordert die ISO/IEC 27001:2022 konkret?
Die Norm sagt nicht, wie genau “Threat Intelligence” umzusetzen ist. Aber sie macht klar: Organisationen sollen relevante Informationen über Bedrohungen systematisch beschaffen, bewerten und nutzen. Dazu gehören zum Beispiel:
- Sicherheitsmeldungen von Behörden (z. B. MELANI / BACS),
- Informationen aus Branchenverbänden,
- Warnungen von IT-Dienstleistern,
- eigene Logdaten oder Erfahrungswerte aus Vorfällen.
Für KMU ist entscheidend: Es braucht kein teures High-End-System. Schon einfache, strukturierte Informationsquellen und ein klar definierter Prozess genügen, um diese Anforderung zu erfüllen – und die eigene Cybersicherheit deutlich zu verbessern.
Wie lässt sich “Threat Intelligence” in der Praxis umsetzen?
Ein möglicher Einstieg für KMU:
- Zuständigkeit klären – Wer beobachtet die Bedrohungslage? Oft reicht eine verantwortliche Person im IT- oder Risikomanagement.
- Informationsquellen definieren – z. B. CERT-Meldungen, NCSC-Newsletter, Anbieter-Alerts.
- Bedrohungen bewerten – Was ist relevant für unser Unternehmen? Welche Systeme sind betroffen?
- Massnahmen ableiten – Technische Updates, organisatorische Schulungen, Szenarien für Notfälle.
- Dokumentieren und integrieren – In bestehende Risiko- und Notfallprozesse einbinden.
Fazit: Pflicht mit Nutzen
Die Integration von “Threat Intelligence” ist nicht nur eine neue Normanforderung – sie ist ein praktischer Mehrwert für KMU. Wer sich rechtzeitig informiert, kann gezielter handeln, Risiken reduzieren und im Ernstfall schneller reagieren.
Gerade in einer Zeit, in der Cyberversicherungen teurer und restriktiver werden, lohnt sich ein proaktiver Ansatz. Denn nicht der grösste Schutz kostet am wenigsten, sondern der passendste.
Hinweis: Die Übergangsfrist für die neue Normversion läuft bis Oktober 2025. Wer eine ISO/IEC 27001-Zertifizierung anstrebt oder bereits hat, sollte sich frühzeitig mit der Umsetzung neuer Anforderungen befassen – “Threat Intelligence” inklusive.
Weiterführende Informationen:
https://www.safetycenter.ch/zertifizierung/systeme-produkte/normen-standards/isoiec-27001
https://www.safetycenter.ch/zertifizierung/themen/isms
