Branchennews

MISP DE: Deutschlands nationale Plattform für Cyber-Threat-Intelligence

Das BSI entwickelt MISP DE – eine kostenfreie Plattform für Threat Intelligence. So schließen Sie Ihre Organisation an.

K
Kim Borg
4 Min. Lesezeit
  1. Pilotprogramm
    Pilotprogramm läuft seit 2024 mit ausgewählten Organisationen
    BSI
  2. NIS2UmsuCG
    NIS2UmsuCG trat am 17. Oktober 2024 in Kraft
    Bundesregierung
  3. Über
    Über 40.000 Unternehmen in Deutschland von NIS2 betroffen
    BSI-Schätzung
Cybersecurity professionals sharing threat intelligence in a secure environment

Eine nationale Plattform für Threat Intelligence

Deutschland befindet sich in einem geopolitischen Kontext, in dem die Cyberdomäne integraler Bestandteil der Sicherheitspolitik ist. Bedrohungsakteure – hauptsächlich durch Ransomware-Angriffe und DDoS – wiederverwenden Schwachstellen und hinterlassen Spuren in Form von IP-Adressen, Domainnamen und TTPs (Tactics, Techniques and Procedures).

Trotz breitem Konsens über den Nutzen des Informationsaustauschs fehlte bisher eine gemeinsame nationale Plattform. Das Ergebnis war, dass wertvolle Bedrohungsinformationen in einzelnen Organisationen verblieben.

MISP DE adressiert diesen strukturellen Mangel und steht im Einklang mit der nationalen Cybersicherheitsstrategie, der NIS2-Richtlinie und dem NIS2UmsuCG.

Was ist MISP?

MISP (Malware Information Sharing Platform) ist eine Open-Source-Plattform ohne Lizenzkosten. Der Workflow besteht aus fünf Schritten:

SchrittBeschreibung
1. SammlungBedrohungsindikatoren sammeln
2. NormalisierungDaten in Standardformaten strukturieren
3. AnreicherungKontext und Metadaten hinzufügen
4. KorrelationZusammenhänge zwischen Indikatoren finden
5. AustauschVerteilung an angeschlossene Organisationen

Die Plattform verarbeitet:

  • IP-Adressen und Domains
  • Checksummen (Hash-Werte)
  • SSL-Zertifikate
  • MITRE ATT&CK-Mapping
  • Zeitlinien und Zusammenhangsgraphen

Der Anschluss erfolgt über Weboberfläche oder API. API-Integration in SIEM, IDS und Firewalls wird für operativen Nutzen empfohlen – dann können Blockierungen automatisch basierend auf geteilten Bedrohungsinformationen erfolgen.

Zeitplan für MISP DE

2024

Pilotprogramm mit ausgewählten Organisationen für Tests und Validierung läuft bereits.

2025

Öffnung für öffentlichen Sektor – Kommunen, Länder und Bundesbehörden können Anschluss beantragen.

2025/2026

Privatwirtschaft wird nach Stärkung der rechtlichen Grundlagen einbezogen. Entsprechende Gesetzgebung ist in Vorbereitung.

Kontinuierlich

Ausbau der Funktionalitäten und Integration in das nationale Cybersicherheitszentrum unter BSI-Führung.

Wer kann sich anschließen?

Anschlusskriterien:

Die Organisation muss in Deutschland etabliert sein und mindestens eines der folgenden Kriterien erfüllen:

  • Betreibt kritische Infrastrukturen
  • Fällt unter das NIS2UmsuCG
  • Ist Bundesbehörde oder Landesbehörde
  • Erbringt wesentliche IT-Dienste oder Sicherheitsdienstleistungen für obengenannte Organisationen

Anschlussmethoden:

  1. Direkter Account — Zugang über Weboberfläche
  2. Synchronisation — Eigene lokale MISP-Instanz synchronisiert mit MISP DE (empfohlen)

Nutzen für verschiedene Organisationen

Große Organisationen (DAX-Unternehmen)

MISP DE bietet Zugang zu Deutschland-spezifischen Artefakten, die kommerzielle Threat Feeds selten abdecken. Lokale Bedrohungsakteure und Kampagnen gegen deutsche Ziele werden schneller erkannt.

Kommunen und kleinere Behörden

Kostenfreier Zugang zu Echtzeit-Bedrohungsinformationen trotz knapper Ressourcen. Schnellere Blockierung schädlicher Indikatoren und Grundlage für Risikoanalysen sowie zielgerichtete Schulungsmaßnahmen.

Empfehlung für den Einstieg

  1. Interne Verankerung — Führungsunterstützung und Verständnis für den Nutzen sicherstellen
  2. Schulung — Sicherstellen, dass entsprechende Kompetenzen für Interpretation und Umsetzung von Bedrohungsinformationen vorhanden sind
  3. Konsumieren beginnen — Daten empfangen und in Ihre Sicherheitssysteme integrieren
  4. Teilen wenn bereit — Eigene Bedrohungsinformationen beitragen, wenn Vertrauen und Verständnis gewachsen sind

Wichtig: Es ist nicht zwingend erforderlich, vom ersten Tag an Informationen zu teilen. Beginnen Sie mit dem Konsumieren.

Neue Services vom BSI

Neben MISP DE entwickelt das BSI weitere Services:

Scanning-Services Systematische Identifikation der Angriffsfläche von Organisationen – eine Weiterentwicklung bestehender BSI-Dienste zur Schwachstellenanalyse.

Nationales Monitoring Kontinuierliche Überwachung der Internet-Exposition deutscher Organisationen. Umsetzung in Kooperation mit privaten Anbietern unter BSI-Koordination. Start geplant für 2025/2026.

Häufige Fragen

Personenbezogene Daten in MISP DE?

Personenbezogene Daten sollen nicht in MISP DE geteilt werden. Das System verfügt über eingebaute Kontrollen. Die Auslegung der BfDI bezüglich IP-Adressen als personenbezogene Daten wird berücksichtigt.

Ist der Anschluss verpflichtend?

Nein, vollständig freiwillig, aber stark empfohlen vom BSI und nationalen Cybersicherheitszentrum.

Wie wird die Informationsqualität geprüft?

Der Beitragende führt die erste Prüfung durch, das BSI unterstützt, und die eingebauten Warning Lists des Systems helfen dabei, falsche Indikatoren zu filtern.

Integration mit unserem SIEM möglich?

Ja, MISP DE unterstützt APIs für Integration in SIEM, IDS, Firewalls und andere Sicherheitssysteme.

Verbindung zu NIS2 und NIS2UmsuCG

MISP DE unterstützt mehrere Anforderungen der NIS2-Richtlinie und des deutschen NIS2UmsuCG:

  • Incident Reporting — Indikatoren im Zusammenhang mit Vorfällen teilen
  • Risikomanagement — Bedrohungsinformationen für Risikobewertungen nutzen
  • Lieferkettensicherheit — Bedrohungen für Unterlieferanten identifizieren
  • Zusammenarbeit — Anforderungen zum Informationsaustausch mit Behörden erfüllen

So kann Securapilot helfen

Securapilot unterstützt Organisationen dabei, den Nutzen von MISP DE zu maximieren:

  • Incident Management — Bedrohungsinformationen in Ihre Incident-Prozesse integrieren
  • Risikomanagement — MISP-Daten als Input für Risikobewertungen nutzen
  • NIS2-Compliance — Ihre Arbeit mit Threat Intelligence dokumentieren und nachverfolgen
  • Lieferantenprüfung — Indikatoren im Zusammenhang mit Ihren Lieferanten überwachen

Demo buchen und sehen Sie, wie Securapilot Ihre Threat Intelligence-Arbeit stärken kann.

Häufig gestellte Fragen

Was ist MISP DE?

MISP DE ist Deutschlands nationale Plattform für Cyber-Threat-Intelligence, basierend auf Open Source. Sie wird vom BSI betrieben und ermöglicht Organisationen den Austausch von Bedrohungsinformationen wie IP-Adressen, Domains, Hashes und TTPs.

Wer kann sich an MISP DE anschließen?

In Deutschland etablierte Organisationen, die kritische Infrastrukturen betreiben, unter das NIS2UmsuCG fallen, Bundesbehörden sind oder wesentliche IT-Dienste für solche Organisationen erbringen. Zunächst öffentlicher Sektor, später Privatwirtschaft.

Entstehen Kosten für den Anschluss an MISP DE?

Nein, MISP DE ist vollständig kostenfrei. Die Plattform basiert auf Open Source ohne Lizenzkosten.

Müssen wir Informationen teilen um anzuschließen?

Nein, das ist freiwillig. Die Empfehlung lautet, zunächst Daten zu konsumieren und später zu teilen, wenn Vertrauen und Verständnis gewachsen sind.

#MISP#BSI#threat intelligence#NIS2#NIS2UmsuCG#NCSC

Weitere Artikel

Wir verwenden anonyme Statistiken ohne Cookies, um die Website zu verbessern. Mehr erfahren