Alles andere folgt aus diesem Grundsatz: den Angreifer kennen, seine Züge antizipieren, ihn stoppen, bevor der Schaden zur Schlagzeile wird. Kein Redesign, ein Haltungswechsel.
Jahrelang hat die Cyber-Branche von Ereignissen gesprochen. Vorfällen. Alerts. Breaches. Anomalien. Begriffe, die ein technisches Phänomen beschreiben, und dabei das Einzige auslöschen, was zählt: Auf der anderen Seite ist jemand.
Ein Ereignis ist unpersönlich. Es passiert, wird protokolliert, wird geschlossen. Einen Angriff als Ereignis zu behandeln bedeutet, eine passive Rolle zu akzeptieren: Man reagiert auf das, was bereits geschehen ist, räumt auf und wartet auf den nächsten. Das ist die Haltung desjenigen, der Logs im Nachhinein liest.
Aber ein Angriff passiert nicht einfach. Er wird entschieden. Er hat einen Urheber,
einen Plan, ein Motiv, einen Zeitplan. Hinter jedem T1566 steckt jemand,
der Phishing als Einstiegspunkt gewählt hat. Hinter jeder lateralen Bewegung steht
jemand, der Ihr Netz besser kennt, als Sie denken. Der Angreifer hat einen Namen,
eine operative Geschichte, bevorzugte Ziele. Das ist kein Rauschen, das ist Absicht.
Fortgale entstand aus dieser Verschiebung. Wir verlagern den Blick vom Ereignis auf den Urheber, denn nur, was einen Namen hat, lässt sich kennen, antizipieren und stoppen.
Die Sprache des Ereignisses ist nicht neutral: Sie produziert eine Verteidigungsweise. Wenn ein Angriff ein Phänomen ist, wird die Verteidigung zu einer Reaktionskette. Es werden Tools gekauft, um Phänomene abzufangen, der Erfolg wird daran gemessen, wie viele abgeschlossen werden, die Bereinigungsgeschwindigkeit wird optimiert. Alles korrekt, alles unzureichend, weil das Subjekt fehlt.
Nicht «was ist passiert», sondern «wer handelt, was will er, wo wird er als nächstes zuschlagen».
Die erste Frage schließt ein Ticket. Die zweite baut einen Vorteil auf.
Den Angreifer wieder in den Mittelpunkt zu stellen ist keine Rhetorik: Es ist die Voraussetzung, die eine Verteidigung ermöglicht, die dem Einschlag vorausgeht, statt ihm hinterherzulaufen. Hier trennen wir uns von denen, die nur reagieren.
Wenn eine Maßnahme sich nicht eindeutig einem dieser drei zuordnen lässt, ist sie noch keine Fortgale-Maßnahme.
Proprietäre Intelligence, keine umgelabelten Drittanbieter-Feeds, zu den Akteuren, die aktiv gegen europäische Unternehmen operieren. 287 Angreifergruppen und Angriffswerkzeuge, namentlich benannt und aktualisiert durch Direktbeobachtung, echte Vorfälle und Darkweb-Monitoring. Der Kunde erhält einen lesbaren Report, keine Indikatorenliste.
Den Angreifer zu kennen ist der erste Akt der Verteidigung.
Wissen ist dazu da, vorher zu wissen. Operatives Frühwarnsystem und regelmäßige Threat Briefings: Die Information trifft ein, während die Kampagne sich noch formt, nicht erst, wenn sie den Perimeter bereits berührt hat. Antizipieren bedeutet, die Verteidigung vor den Einschlag zu verlagern, Überraschung in Erwartung zu verwandeln.
24·7·365-Bereitschaft mit Senior-Analysten, die den laufenden Angriff mit einem Playbook eindämmen, das für diesen Akteur und diesen Sektor gebaut wurde, keine generischen Runbooks. Die Zahlen sind der Beweis: TTD <15 Min., Eindämmung median <30 Min., Rauschen um >90% bis Tag dreißig reduziert.
Ihn rechtzeitig zu stoppen ist der zweite Akt der Verteidigung.
Eine namentliche Liste der Angreifer, die zählen, kein Volumenbericht. Jeden Monat: Wer visiert Ihren Sektor an, was tun sie Ihren Peers an, was bedeutet das für Ihre Haltung. Risikosprache, keine Alarmsprache.
Detection auf MITRE gemappt, Eindämmung in Minuten, Analysten, die Ihre operative Sprache sprechen. Das Runbook ist aktuell, kein eingefrorenes PDF von vor zwei Jahren. Wer antwortet, entscheidet und schließt den Fall, kein Handover, kein Eskalationsloop zwischen Ebenen.
Reales Risiko in verständliche Zahlen übersetzt: welche Angreifer, welche Controls fehlen, wie lange es dauert, die Lücke zu schließen, welche Auswirkungen ein Vorfall hätte. Betriebskontinuität, keine Versprechen.
Wir sprechen in Namen, MITRE-Codes und verifizierbaren Metriken. Wir beanspruchen keine Drittanbieter-Feeds: Wissen ist ein Asset, das wir selbst produzieren. Die Person, die dem Kunden antwortet, kann entscheiden. Unser Team arbeitet 24·7·365 von unserem europäischen Standort aus. Sie kennen Ihr regulatorisches Umfeld und arbeiten in Ihrer Zeitzone, nicht als Versprechen, sondern als messbare Reaktionszeit.
Wir versprechen keine totale Sicherheit: Sie existiert nicht. Wir versprechen etwas Ehrlicheres und Schwierigeres, zu wissen, wer Sie angreift, und ihn zu stoppen, bevor der Schaden zur Schlagzeile wird. In Europa sollte kein Unternehmen einen Angriff aus der Zeitung erfahren.
Ein Angriff ist kein Ereignis. Er ist jemand. Und jemanden kann man kennen, antizipieren, stoppen.
Keine Nurturing-Sequenzen, keine Auto-Replies. Einer unserer Analysten ruft Sie innerhalb eines Werktags zurück.
Der vollständige Report (Executive Summary · operative IoCs · technisches Runbook) ist vertraulich. Senden Sie uns zwei Angaben und einer unserer Analysten kontaktiert Sie mit Zugang und einem kurzen technischen Briefing.
Reaktion in 30 Minuten, Eindämmung in 1–4 Stunden. Auch wenn Sie kein Fortgale-Kunde sind.
