Threat Actor Profiling · technische Attribution Fortgale
CTI · Capability 01 · Threat Actor Profiling

Wissen, wer Sie angreift.

Die meisten SOC-Teams schließen Alerts. Wenige wissen, wer dahintersteht. Threat Actor Profiling transformiert generische Vorfälle — Phishing, Malware, Cloud-Angriffe — in Adversary Knowledge: MITRE-gemappte TTPs, beobachtete Infrastruktur, Viktimologie, Attribution mit explizitem Confidence Level.

TA-Briefing anfordern Reale Dossiers ansehen ↓
180+Profilierte Akteure
4-StepAttribution-Methode
4 StufenConfidence Rating
Framework · Standards
MITRE ATT&CK
Diamond Model
STIX 2.1
TAXII 2.1
Analyse · Disziplinen
OSINT
HUMINT
TECHINT
Reverse Engineering
Das Problem

SOC-Daten ohne Attribution sind blind.

Ein geschlossener Alert ohne Wissen, wer ihn ausgelöst hat, ist eine verpasste Lernchance. Tausendfach pro Jahr wiederholt, wird daraus der Grund, warum sich die Verteidigung trotz steigender Investitionen nicht verbessert.

01

Volumen ohne Priorität

Tausende Alerts pro Tag, alle mit ähnlicher Severity. Ohne Profiling behandelt das SOC-Team Mass-Spam und gezieltes Spear-Phishing gegen den CFO gleich.

02

Targeted nicht von opportunistisch unterscheidbar

Derselbe technische Vektor (z.B. eine Phishing-E-Mail) kann zufälliger Spam oder ein wochenlang vorbereiteter Angriff sein. Ohne Attribution tritt der Unterschied nicht zutage.

03

Generische Verteidigung

Ohne Wissen, wer angreift, werden Kontrollen flächendeckend angewendet: alles blockieren, alles alarmieren, alles loggen. Ergebnis: Lärm, Fatigue, steigende Kosten und sinkender defensiver ROI.

Die Unterscheidung, die alles ändert

«Wer könnte» vs «wer greift» an.

Generische Threat Intelligence beschreibt die Landschaft. Threat Actor Profiling identifiziert den operativen Gegner der spezifischen Organisation, basierend auf ihren realen Vorfällen und ihrer Viktimologie.

Threat Landscape · «wer könnte»
  • Abstrakte Taxonomie bekannter Gruppen
  • Generische Branchentrends
  • Aggregierte Makro-Statistiken
  • Nützlich für CISO-Erstorientierung
  • Quartals- oder Jahres-Updates
Notwendig, aber nicht ausreichend
Threat Actor Profiling · «wer greift an»
  • Akteure, die die spezifische Organisation berührt haben
  • TTPs beobachtet an eigenen Vorfällen
  • Viktimologie kohärent mit eigenem Sektor/Geo
  • Steuert konkrete Verteidigungsentscheidungen
  • Kontinuierliches Update · Feedback-Loop mit SOC
Operativ · actionable
Die Methode · 4 Schritte

Vom SOC-Alert zur dokumentierten Attribution.

Kein mystischer Prozess. Eine dokumentierbare technische Pipeline, anwendbar auf jeden Vorfall einer gewissen Relevanz. Das Ergebnis enthält stets ein explizites Confidence Level — selbst wenn die Beweise nicht ausreichen, wird das ausgesprochen.

  1. 01
    Vom SOC-Alert zur forensischen Evidenz

    Triage und Artefakt-Erfassung

    Extraktion und forensische Aufbewahrung jedes Artefakts: Payload, IPs, Domains, Hashes, vollständige E-Mail-Header, Endpoint-Logs, Netzwerk-Telemetrie. Keine Eindämmungsmaßnahme vor der Konsolidierung der IOCs.

    EDR TriageEmail ForensicsNetwork CaptureMemory Snapshot
  2. 02
    Vom Artefakt zum Pattern

    MITRE ATT&CK Korrelation und Profil-Matching

    Mapping der beobachteten TTPs auf das MITRE ATT&CK-Framework und Abgleich mit den Profilen bereits getrackter Threat Actors. Identifikation von Überlappungen auf Tactic-, Technique- und Sub-Technique-Ebene.

    MITRE ATT&CKTTP MappingProfile MatchingSigma Rules
  3. 03
    Vom Pattern zum Fingerprint

    Analyse Infrastruktur · Tooling · Code · Viktimologie

    Analyse der C2-Infrastruktur (ASN, Registrar, Hosting-Pattern, TLS-Fingerprint), des Toolings (Loader, RAT, Packer), des Malware-Codes (Similarity Hashing, Language Artifacts) und der Viktimologie (Sektor, Geografie, Größe).

    C2 FingerprintCode SimilarityReverse EngineeringViktimologie
  4. 04
    Vom Fingerprint zur Attribution

    Dokumentierte Attribution + Confidence Level

    Formulierung der expliziten Attribution mit Confidence Level (high / medium / low / insufficient). Wenn die Beweise nicht ausreichen, werden die wahrscheinlichsten Hypothesen angegeben ohne Überdehnung. Übereilte Attribution ist eine verbreitete Bad Practice in kommerzieller CTI — Fortgale praktiziert sie nicht.

    Confidence high/med/lowDokumentierte AttributionRanked HypothesenInterne Peer Review
Deep-Dives per Vektor

Wie wir Vorfall für Vorfall zuschreiben.

Drei Vektoren decken über 90% der beobachteten Vorfälle ab: Phishing, Malware, Cloud-Angriffe. Für jeden eine spezifische Attribution-Methodik.

Vektor 01

Phishing Attribution

Von scheinbar generischer Kampagne zu Kit + Operator

Eine Phishing-E-Mail ist selten ein isoliertes Ereignis. Fortgale analysiert das eingesetzte Kit (Tycoon 2FA, Mamba 2FA, Caffeine, EvilProxy, NakedPages, W3LL, Greatness), die Landing-Page-Architektur, die Delivery-Infrastruktur (Registrar, ASN, Certificate Fingerprint), das Viktimisierungs-Pattern und den Operator hinter der Kampagne — nicht alle Kits werden gleich eingesetzt.

  • AiTM Toolkit Tycoon 2FA · Mamba 2FA · Caffeine · EvilProxy · W3LL — distinkte Fingerprints auf Landing, Redirect Chain, Session Cookie Hijack.
  • Spear-Phishing Operator Reconnaissance LinkedIn, OSINT-Lookup zum Opfer, Kontextualisierung (Kundenlogo, reale Person, Geschäftsprozess).
  • MFA Bypass Attribution Unterscheidung zwischen AiTM-Kit, Social-Eng SIM-Swap, automatisiertem Push Fatigue, OAuth Consent Phishing. Jede Methode verweist auf einen anderen operativen Cluster.
  • DACH-targeted vs Broad-Spray Volumen, Segmentierung Kundendomains, deutsche Copy nativ vs maschinelle Übersetzung, regionale Banken/Logos (Sparkasse, DKB, ING, Commerzbank, Deutsche Bank) → Indikatoren für DACH-spezifische oder breit-europäische Ausrichtung.
Für den Vorstand

Für den Vorstand: Die Attribution einer AiTM-Kampagne an einen spezifischen Operator übersetzt sich in 2-4 gezielte Kontrollen (Conditional Access Policy, FIDO2-Hardware für Top-Targets, Geo-Fencing, IDP-seitige Detection Rules) — nicht in 1.000 manuell zu analysierende E-Mails.

Vektor 02

Malware Attribution

Von der binären Probe zu Familie, Autor, Infrastruktur

Malware ist nicht nur ein zu blockierender Hash. Fortgale analysiert Code Similarity (BinDiff, ssdeep, TLSH, Vector35 Reuse), Packer und Crypter, C2-Protokolle (custom oder bekanntes Framework), Persistence Pattern, Language Artifacts (Kommentare, Debug Path, PDB, Encoding), PE-Timestamps und Compile-Zeiten. Jede technische Entscheidung schränkt den Kreis wahrscheinlicher Autoren ein.

  • Code Similarity & Reuse Identifikation gemeinsam genutzter Code-Blöcke zwischen Familien (z.B. SystemBC, Matanbuchus, BumbleBee → häufig verbundene Operatoren).
  • Packer / Crypter PrivateLoader vs SmokeLoader vs Themida Custom → Affiliations-Cluster.
  • C2 Protocol Fingerprint JA3/JA3S TLS-Fingerprint, Self-Signed Certificate Pattern, HTTP-Header-Signatur, Tor vs Cleartext, Beacon Timing.
  • Language & Culture Artifacts String-Encoding (CP1251 Russisch, GBK Chinesisch), Commit-Zeitzone bei wiederverwendeten Open-Source-Komponenten, PDB-Pfad mit Benutzernamen, Dialect Tags.
  • Operational Tempo Compilation-Timestamp-Pattern (Arbeitszeiten einer Zeitzone), Recompilation-Frequenz, Rotations-Kadenz der Infrastruktur.
Für den Vorstand

Für den Vorstand: Die Unterscheidung zwischen einem in Foren verkauften Commodity-Loader und einer gezielten Custom-Malware verändert das erforderliche Response-Level radikal — generisch vs. custom ist der Unterschied zwischen Patching und vollständiger DFIR.

Vektor 03

Cloud Attack Attribution

Microsoft 365 · AWS · Azure · GCP · OAuth Abuse

Cloud-Angriffe sind der am schnellsten wachsende Vektor — und derjenige, auf den die meisten CTI-Anbieter am schlechtesten vorbereitet sind. Fortgale verfolgt IAM Enumeration Pattern, OAuth Consent Abuse, Token-Theft-Chain, Cloud-native Persistence (Federated Identity Backdoor, Hidden Service Principal, App-Registration Sleeper) und Exfiltration über legitime APIs.

  • OAuth Abuse Signatures Pattern illegitimer App Consents, angeforderte Scopes (Mail.ReadWrite, offline_access, full_access_as_user), Naming-Pattern (Microsoft-Mimicking, gebrandet als HR Tools), Missbrauch des On-Behalf-Of Flow.
  • Token Theft Attribution Unterscheidung zwischen Adversary-in-the-Middle, Infostealer-driven (RedLine, Lumma, Vidar), Browser Cookie Exfiltration, PRT Theft. Jede Methode korreliert mit distinkten operativen Clustern.
  • Cloud Persistence Patterns Service Principal Sleeper, Federated Identity Poisoning (Solorigate-style), Conditional Access Tampering, Microsoft Graph Subscription Abuse.
  • Identity-as-Perimeter Analyse von Sign-in-Pattern, nicht-triviales Impossible Travel, Device Join Anomalies, Primary Refresh Token Abuse, MFA Bypass via Legacy App-Password.
  • Living-off-the-Cloud Nutzung legitimer APIs (Power Automate, Logic Apps, Lambda Functions) als C2- und Exfiltration-Channel — stark wachsender Vektor 2025-2026.
Für den Vorstand

Für den Vorstand: Ein zugeschriebener OAuth Consent Abuse übersetzt sich in 3 konkrete Kontrollen (Admin Consent Workflow, App Governance Policy, Conditional Access für nicht verifizierte Apps) — Tools, die in den Microsoft Tenants bereits vorhanden sind und korrekt konfiguriert werden müssen.

Dossiers · profilierte Akteure

Sieben reale Beispiele aus Fortgale CTI.

Drei von Fortgale CTI getrackte und attribuierte Akteure mit veröffentlichter Forschung. Ein globaler Initial Access Broker. Drei der aktivsten Ransomware-Gruppen gegen Europa 2024-2026. Es sind die typischen Dossiers, die ein Kunde erhält.

APT · Spionage · 2026

Operation Storming Tide

Mora_001
Herkunft
Russische Herkunft · APT
Vektor
Fortinet Exploitation · Matanbuchus 3.0 · SystemBC
Viktimologie
Europäische und deutsche Unternehmen · Manufacturing Supply Chain

Multi-stage Kampagne, Mora_001 zugeschrieben. Das Fortgale-IR-Team hat sie intern als FortiSync Quasar getrackt: Fortinet-Exploit, Deployment von Matanbuchus 3.0, Astarion RAT und SystemBC. Evolution von Ransomware-Operationen zu reiner Spionage. Exfiltration blockiert.

APT · SpionageFortinet 0-DayMatanbuchus 3.0Astarion RAT
Confidence · High Dossier öffnen →
Cyber Espionage · 2023-aktiv

PhishSurf Nebula

PhishSurf Nebula
Herkunft
Herkunft unbestätigt · APT-Level Ressourcen
Vektor
Banking & Finance · Europa · MFA Bypass · AiTM
Viktimologie
Europäischer Bankensektor · Top Management

Fortgeschrittene Cyber-Spionage-Gruppe mit primärem Fokus auf den europäischen Bankensektor. MFA Bypass via AiTM, verteilte Infrastruktur auf regionalen Registraren, Social Engineering vorbereitet mit umfassendem OSINT. Signifikante Ressourcen hinter der Operation.

Banking & FinanceAiTM PhishingMFA BypassCyber Espionage
Confidence · Medium Dossier öffnen →
Threat Actor · 2022-aktiv

Nebula Broker

Nebula Broker
Herkunft
Europäische Herkunft · Custom Tooling
Vektor
BrokerLoader (custom) · Targeting Südeuropa & DACH
Viktimologie
Europäische Systeme und Organisationen · Supply Chain

Von Fortgale seit März 2022 getrackt: europäischer Akteur mit intern entwickelter Malware (BrokerLoader). Seltener Fall eines lokalen Akteurs mit offensiven Custom-Capabilities. Exklusiv von Fortgale CTI dokumentiert.

Europäischer Threat ActorCustom MalwareBrokerLoaderInitial Access Broker
Confidence · High Dossier öffnen →
Worm/Loader · 2021-aktiv

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Herkunft
Initial Access Broker · russisch-affiliiert
Vektor
USB Worm · Windows Installer Abuse · Tor C2
Viktimologie
Pre-Ransomware Access Broker · Multi-Sektor EU/US

USB-Wurm, der sich zu einem führenden Initial Access Broker für Ransomware-Gruppen (LockBit, Akira, Clop) entwickelt hat. Distinktes Pattern: msiexec chained mit regsvr32, Missbrauch von rundll32 über fodhelper.exe, Tor Onion C2, Follow-on Downloader für FakeUpdates, IcedID, Bumblebee. EU-Telemetrie wachsend 2025-2026.

Initial Access BrokerUSB WormTor C2Pre-Ransomware
Confidence · High Dossier öffnen →
Ransomware · 2024-aktiv · Top Group

RansomHub

RansomHub · RaaS
Herkunft
Nachfolger von ALPHV/BlackCat · Ex-Affiliates
Vektor
RaaS · Double Extortion · Linux/ESXi/Windows Builder
Viktimologie
Enterprise Multi-Sektor · Gesundheitswesen · Fertigung · Öffentliche Verwaltung

Anfang 2024 nach dem Kollaps von ALPHV/BlackCat entstanden, hat RansomHub schnell hochrangige Affiliates absorbiert (inklusive des Akteurs hinter dem Change Healthcare-Fall). Linux/ESXi/Windows Builder, proprietäres Exfiltration-Tooling, Leak Site auf Tor. Top-Impact auf europäische Enterprises in 2024-2025.

RaaSDouble ExtortionESXi TargetingHealthcare · Fertigung
Confidence · High Dossier öffnen →
Ransomware · 2023-aktiv · EU-heavy

Akira

Akira · RaaS
Herkunft
Conti-Diaspora-Affiliate · rekonstituiert
Vektor
VPN Exploitation (Cisco ASA, SonicWall) · Double Extortion · ESXi
Viktimologie
Mid-Market EU · Fertigung · Professional Services · Bauwesen

Aktiv seit März 2023, Akira hat in 2024-2026 eine hohe Viktimisierungs-Kadenz beibehalten, mit Fokus auf den europäischen Mid-Market. Dominanter initialer Vektor: Exploitation von VPN-Appliances ohne MFA (Cisco ASA, SonicWall SSLVPN, bekannte ungepatchte Schwachstellen). Effektiver ESXi-Encryptor, Leak Site "Akira Dark Site" auf Tor mit 80er-Jahre-Ästhetik.

VPN ExploitationESXi EncryptorMid-Market EUConti Lineage
Confidence · High Dossier öffnen →
Ransomware · 2023-aktiv · Aggressive Negotiator

Medusa

Medusa · RaaS
Herkunft
Nicht bestätigt · russischsprachig
Vektor
Phishing · Public Exploits · Driver-Side BYOVD
Viktimologie
Öffentliche Verwaltung · Gesundheitswesen · Bildungssektor · Services · Bauwesen

Medusa zeichnet sich durch aggressive Verhandlung aus (öffentlicher Countdown auf der Leak Site mit ansteigender Forderung) und durch den intensiven Einsatz von BYOVD (Bring Your Own Vulnerable Driver) zur Deaktivierung von EDR. Starke Präsenz im europäischen öffentlichen Sektor 2024-2025, mit dokumentierten Vorfällen bei Kommunen, Krankenhäusern und Schulen.

BYOVDPublic SectorAggressive NegotiationLeak Site Countdown
Confidence · Medium Dossier öffnen →
Trust · Methodik

Wie wir Confidence kommunizieren. Und wann wir nicht attribuieren.

Übereilte Attribution ist eines der häufigsten Probleme in kommerzieller CTI. Fortgale deklariert explizit das Confidence Level jeder Attribution — und räumt ein, wenn die Beweise nicht ausreichen.

High

Mehrere unabhängige Beweise

Überlappung auf mindestens 3 unabhängigen Elementen: C2-Infrastruktur, Malware-Code, MITRE TTPs, Viktimologie, Language Artifacts. Attribution dokumentiert im Report.

Medium

Einige Beweise, fehlende Elemente

Überlappung auf 1-2 Elementen mit teilweisen Beweisen zum Rest. Attribution als wahrscheinlichste Hypothese formuliert, mit explizit deklarierten fehlenden Elementen.

Low

Einzelne Überlappung

Ein einziges Overlap-Element (z.B. ein geteiltes IOC). Wir geben die wahrscheinlichste Hypothese und weniger wahrscheinliche Alternativen an. Noch keine Attribution.

Insufficient

Unzureichende Beweise

Wir deklarieren explizit, dass die Beweise nicht ausreichen. Wir liefern die gesammelten Daten, die beobachteten TTPs, erzwingen aber keine Attribution. Selten unter Anbietern — für Fortgale Standard.

Der Output

Was auf dem Tisch des Kunden landet.

Vier konkrete Deliverables — nicht nur ein zu archivierender Report, sondern operatives Material zur Anwendung in SOC, SIEM, Endpoints und Vorstand.

01

Akteurs-Profil (PDF + JSON STIX)

Strukturiertes Dokument mit MITRE-gemappten TTPs, IOCs, C2-Infrastruktur, Tooling, Viktimologie, Attribution und Confidence Level. Technische und Executive-Version auf Deutsch und Englisch.

02

Dedizierte Detection Rules

SIGMA-Regeln für SIEM, YARA für statische/dynamische Analyse, Snort/Suricata für IDS, Custom Rules für die MDR-Plattformen des Kunden.

03

Erweiterung des Control Sets

Liste konkreter Kontrollen zur Implementierung basierend auf dem profilierten Akteur: Conditional Access Policy, Infrastruktur-Blocks, MFA Enforcement auf Ziel-Assets, App Consent Governance usw.

04

Technisches + Executive Briefing

Live-Session mit den Analysten für das SOC/IR-Team (technischer Deep-Dive) und eine separate Session für CISO/Vorstand (Business Impact, Risiko, erforderliche Entscheidungen).

Technische Ehrlichkeit

Wann TA Profiling nicht nötig ist.

Wenn Ihre Organisation eine begrenzte Angriffsfläche hat und nur opportunistische Angriffe mit geringem Volumen erleidet, ist Threat Actor Profiling im Verhältnis zum erzeugten Wert überdimensioniert. In diesen Fällen ist ein Standard-Service aus IOC-Feed und Perimeter-Schutz effizienter.

TA Profiling wird kritisch, wenn: ① die Organisation wertvolle Assets besitzt (geistiges Eigentum, sensible Daten, kritische Infrastrukturen); ② in Ziel-Sektoren tätig ist (Finanzen, Fertigung, Energie, Gesundheitswesen, Öffentliche Verwaltung, Verteidigung); ③ bereits Vorfälle mit Anzeichen gezielter Ausrichtung erlebt hat (vorherige Reconnaissance, Payload-Personalisierung, Angriff auf Top Management).

Sind Sie unsicher? Sprechen Sie mit uns. Wenn Sie es nicht brauchen, sagen wir Ihnen das.

Integration

Profiling als Motor der gesamten Verteidigung.

Ein Akteurs-Profil bleibt nicht in einem PDF. Es speist das SOC, beschleunigt IR, erweitert das MDR-Control-Set.

SOC · 24·7·365

Aus dem Profiling geborene Detection Rules

Jeder neue profilierte TA erzeugt SIGMA-, YARA- und Custom MDR Rules, die an das SOC verteilt werden. Das SOC wendet sie in Echtzeit auf alle überwachten Kunden an.

SOC entdecken →
MDR · erweiterte Erkennung

Detection angereichert mit Akteurs-Profilen

Fortgale MDR nutzt nicht nur die Vendor-EDR-Regeln: Sie werden mit den Profilen aktiver Threat Actors angereichert, was die Detection Rate erhöht und False Positives reduziert.

MDR entdecken →
IR · beschleunigte Response

Attribution, die das Containment verkürzt

Während eines Vorfalls beschleunigt das Wissen, wer angreift, Containment und Remediation: Sie antizipieren die nächsten Bewegungen, blockieren typische Exfiltrations-Patterns, kommunizieren mit Daten an den Vorstand.

IR-Team kontaktieren →
CTI · Sister Capability

Die anderen 6 CTI-Capabilities

Threat Intelligence Feed STIX/TAXII · Vertikale Advisories · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Threat Actor Profiling ist Capability 01 von 7.

Alle Capabilities ansehen →
Für den Vorstand

Drei Slides. Nur drei.

Der CISO liest diese Seite. Dann muss er sie in 5 Minuten einem Vorstand erklären, der kein MITRE spricht. Fortgale bereitet das vor.

01 · Der Status

Wie viele profilierte Angriffe haben Sie in den letzten 6 Monaten erlitten · wie viele targeted vs opportunistisch · Trend.

02 · Der Gegner

Wer angreift (profilierte Cluster) · warum (Motivation · Viktimologie) · explizites Confidence Level.

03 · Die Antwort

Erweitertes Control Set · geschätzte Kosten · erwarteter Impact · Implementierungs-Timeline · Restrisiko.

Das «3-Slides-Vorstands»-Pack ist in jedem Executive Briefing enthalten · separat anforderbar.

FAQ

Häufige Fragen zu TA Profiling.

Was ist der Unterschied zwischen Threat Actor Profiling und generischer Threat Intelligence?

Generische Threat Intelligence beschreibt die Bedrohungslandschaft abstrakt (bekannte Gruppen, Risiko-Sektoren, Trends). Threat Actor Profiling identifiziert, wer tatsächlich eine spezifische Organisation angreift — auf Basis ihrer realen Vorfälle, ihrer Angriffsfläche und ihrer Viktimologie. Ersteres informiert den CISO; Letzteres steuert konkrete Verteidigungsentscheidungen.

Wie unterscheidet man einen gezielten von einem opportunistischen Angriff?

Über Verhaltensindikatoren: Vorab-Recherche zum Ziel (LinkedIn, OSINT), Personalisierung des Payloads (Logo, Persona, Kundenkontext), Timing (Büroöffnungszeiten des Ziels), bevorzugte Vektoren (CFO, HR, IT-Admin). Ein generischer Angriff behandelt das Opfer wie eine beliebige IP; ein gezielter Angriff behandelt es wie ein Asset. Der Unterschied wiegt schwer auf der Response-Priorität.

Kann ich das Profil eines spezifischen Akteurs on-demand erhalten?

Ja. Das CTI-Team Fortgale produziert On-Demand-Profile einzelner Threat Actors, wenn ein Kunde einen Angriff durch eine spezifische Gruppe vermutet oder erleidet. Das Profil umfasst MITRE-gemappte TTPs, beobachtete Infrastruktur, Tooling, Viktimologie, zugehörige IOCs und dedizierte Detection Rules (SIGMA, YARA). Typische Lieferzeit: 3-10 Tage je nach Komplexität.

Wie funktioniert das Confidence Level der Attribution?

Vier Stufen: High (mehrere unabhängige technische Beweise — Infrastruktur, Code, TTPs, Viktimologie), Medium (einige Beweise, aber mit fehlenden oder ambigen Elementen), Low (einzelnes Overlap-Element, wahrscheinlichste Hypothese), Insufficient (Beweise unzureichend für Attribution — wird explizit erklärt). Fortgale erzwingt keine Attributionen, wo die Beweise nicht ausreichen.

Wann ist Threat Actor Profiling NICHT sinnvoll?

Wenn die Organisation eine begrenzte Angriffsfläche hat und nur opportunistische Angriffe mit geringem Volumen erleidet, ist TA Profiling im Verhältnis zum erzeugten Wert überdimensioniert. In diesen Fällen ist ein Standard-Service aus IOC-Feed und Perimeter-Schutz effizienter. TA Profiling wird kritisch, wenn die Organisation wertvolle Assets hat, in Ziel-Sektoren tätig ist (Finanzen, Fertigung, Energie, Gesundheitswesen, Öffentliche Verwaltung) oder bereits Vorfälle mit Anzeichen gezielter Ausrichtung erlitten hat.

Wie lange dauert das Profiling eines Threat Actors?

Ein Profil der ersten Stufe (TTPs + IOCs + Infrastruktur) erfordert typischerweise 3-7 Tage. Ein vollständiges Profil mit dokumentierter technischer Attribution, Tooling-Analyse und Viktimologie benötigt 2-4 Wochen. Für Akteure, die bereits in der Fortgale-Datenbank vorhanden sind (180+), steht das Profil in 24-48 Stunden zur Verfügung. Für unbekannte Akteure hängt es von Menge und Qualität der gesammelten Beweise ab.

Mit Profiling starten

Wer greift Sie in diesem Moment an?

Bringen Sie einen aktuellen Vorfall ein — Phishing, Malware, verdächtigen Cloud-Zugriff. Das Fortgale CTI-Team erstellt daraus innerhalb von 5 Werktagen ein kostenloses Mini-Profil. Ohne Verpflichtung: nur Evidenz.

Antwortzeit: < 1 Werktag.