Microsoft und CrowdStrike starten strategische Kooperation zur einheitlichen Benennung von Cyberbedrohungsakteuren

24. Juni 2025

In der schnelllebigen Welt der Cybersicherheit zählt jede Sekunde. Verzögerungen bei der Erkennung und Einordnung von Angreifern können den entscheidenden Unterschied ausmachen – zwischen erfolgreicher Abwehr oder verheerendem Ransomware-Angriff. Ein zentrales Problem: Uneinheitliche oder widersprüchliche Bezeichnungen von Bedrohungsakteuren auf unterschiedlichen Plattformen erschweren die Analyse und verzögern notwendige Reaktionen.

Um dem entgegenzuwirken, gehen Microsoft und CrowdStrike nun eine strategische Partnerschaft ein. Ziel ist es, ihre jeweiligen Taxonomien zur Klassifizierung von Bedrohungsakteuren miteinander abzustimmen. Mit der Vereinheitlichung der Namensgebung wollen die Unternehmen nicht nur die Effizienz von Sicherheitsanalysen steigern, sondern auch das Vertrauen in geteilte Informationen stärken.

Die gemeinsame Initiative orientiert sich an den Empfehlungen des National Institute of Standards and Technology (NIST), das in seinen Leitlinien (SP 800-1501) den Nutzen einheitlicher Bedrohungsbeschreibungen betont: Sie fördern ein gemeinsames Verständnis, verbessern die Koordination und stärken die allgemeine Cybersicherheitslage.

Durch die engere Zusammenarbeit und den Austausch ihrer umfangreichen Erkenntnisse wollen Microsoft und CrowdStrike Sicherheitsteams weltweit dabei unterstützen, schneller und fundierter auf Bedrohungen zu reagieren.

Namen helfen uns, die Bedrohungslage zu verstehen und Erkenntnisse über bekannte oder wahrscheinliche Verhaltensweisen von Cyberangreifern zu strukturieren. Bei Microsoft haben wir eine eigene Taxonomie zur Benennung von Bedrohungsakteuren veröffentlicht, um Forschern und Verteidigern dabei zu helfen, unsere Bedrohungsinformationen zu identifizieren, weiterzugeben und darauf zu reagieren. Diese Informationen basieren auf 84 Billionen Bedrohungssignalen, die wir täglich verarbeiten. Aber derselbe Akteur, den Microsoft als „Midnight Blizzard“ bezeichnet, kann von einem anderen Anbieter als „Cozy Bear“, ‚APT29‘ oder „UNC2452“ bezeichnet werden. Unsere gemeinsamen Kunden wünschen sich stets Klarheit. Die direkte Abstimmung der bekannten Gemeinsamkeiten dieser Akteursnamen mit anderen Anbietern trägt zu mehr Klarheit bei und gibt Sicherheitsfachleuten einen klareren Weg für Maßnahmen vor.

Microsoft und CrowdStrike legen gemeinsames Referenzhandbuch für Bedrohungsakteure vor

Microsoft und CrowdStrike haben heute die erste Ausgabe eines gemeinsamen Referenzhandbuchs zu Cyberbedrohungsakteuren veröffentlicht. Ziel der Initiative ist es, Sicherheitsteams weltweit eine präzisere, schnellere und konsistentere Einordnung von Bedrohungen zu ermöglichen – insbesondere in komplexen Umgebungen, in denen Informationen aus mehreren Quellen zusammengeführt werden.

Der Leitfaden enthält eine Übersicht über bekannte Bedrohungsakteure, die sowohl von Microsoft als auch von CrowdStrike beobachtet werden. Dabei sind die jeweiligen Bezeichnungen und Aliasnamen der Gruppen in den Taxonomien beider Unternehmen aufgeführt – ein praktisches Werkzeug, um zwischen verschiedenen Benennungssystemen zu übersetzen.

Mit diesem Handbuch wollen die beiden Sicherheitsexperten:

• das Vertrauen in die Identifikation von Bedrohungsakteuren stärken,

• die Korrelation von Informationen über verschiedene Plattformen hinweg erleichtern,

• und die Reaktionsgeschwindigkeit von Verteidigern gegenüber aktiven Bedrohungen verbessern.

Dabei geht es ausdrücklich nicht um die Einführung eines einheitlichen Namensstandards. Vielmehr steht die praktische Unterstützung im Vordergrund: Der Leitfaden soll Analysten und Sicherheitsteams helfen, schneller Verbindungen zu ziehen und fundiertere Entscheidungen zu treffen – unabhängig davon, welche Plattform oder welchen Anbieter sie nutzen.

Mit diesem Schritt setzen Microsoft und CrowdStrike ein deutliches Zeichen für mehr Transparenz und Zusammenarbeit in der Cybersicherheitsbranche – und tragen dazu bei, Bedrohungsakteure künftig noch effektiver zu bekämpfen.

Wie Microsoft Cyberbedrohungen klassifiziert: Ein Wetterbericht der besonderen Art

In der wachsenden Flut globaler Cyberbedrohungen setzt Microsoft auf ein ungewöhnliches, aber effektives Ordnungssystem: Wetterphänomene. Mit dieser bildhaften Klassifizierung will das Unternehmen mehr Übersicht in die komplexe Welt der Bedrohungsakteure bringen – und zugleich Sicherheitsforscher und Unternehmen dabei unterstützen, schneller und gezielter auf Bedrohungen zu reagieren.

Die von Microsoft entwickelte Taxonomie soll Klarheit schaffen in einer Branche, die oft von widersprüchlichen Benennungen und überbordenden Datenmengen geprägt ist. Durch eine einheitliche, intuitive Benennung können Analysten Bedrohungen besser einordnen, priorisieren und entsprechende Schutzmaßnahmen ergreifen.

Fünf Hauptkategorien von Bedrohungsakteuren

Microsoft unterscheidet Bedrohungsgruppen anhand ihrer Motivation, Herkunft und Arbeitsweise – und ordnet sie in fünf übergeordnete Kategorien ein:

1. Staatlich unterstützte Akteure
   Diese Gruppen operieren im Auftrag oder unter Duldung staatlicher Stellen. Ihre Angriffe richten sich häufig gegen Regierungen, NGOs oder internationale Organisationen – meist mit dem Ziel der Spionage oder politischen Einflussnahme.

2. Finanziell motivierte Akteure
   Darunter fallen Gruppen, die aus rein wirtschaftlichen Gründen handeln – etwa Ransomware-Banden, Phishing-Akteure oder Betreiber von Business-E-Mail-Compromise-Angriffen. Sie agieren unabhängig und sind in der Regel nicht mit Staaten oder Unternehmen verbunden.

3. Private offensive Sicherheitsanbieter (PSOAs)
   Diese Akteure entwickeln und vertreiben Überwachungs- und Angriffstechnologien im kommerziellen Rahmen. Die Software wird oft von autoritären Regimen gegen Dissidenten, Journalisten oder Aktivisten eingesetzt – mit teils gravierenden Folgen für Menschenrechte weltweit.

4. Akteure hinter Beeinflussungsoperationen
   Ziel dieser Gruppen ist es, durch gezielte Informationskampagnen Meinungen, Entscheidungen oder das Verhalten von Zielgruppen zu beeinflussen – online wie offline.

5. Gruppen in Entwicklung
   Neue oder noch nicht eindeutig zuordenbare Bedrohungsaktivitäten werden zunächst unter einer vorläufigen Bezeichnung geführt, bis genauere Informationen zur Herkunft oder Motivation vorliegen. Dann erfolgt entweder die Umbenennung oder die Zuordnung zu einer bestehenden Gruppe.

Die Wetter-Taxonomie: Namen mit Bedeutung

Die eigentliche Benennung erfolgt nach einem klaren Muster:

• Familiennamen symbolisieren die Kategorie oder Herkunft. So steht beispielsweise „Typhoon“ für staatlich unterstützte Akteure mit Verbindung zu China, „Tempest“ für Gruppen mit finanziellen Motiven.

• Adjektive differenzieren innerhalb einer Kategorie verschiedene Gruppen anhand ihrer Taktiken, Techniken oder Ziele – etwa „Sapphire Typhoon“ oder „Midnight Tempest“.

• Sturm + Zahl kennzeichnet vorläufig nicht zugeordnete Gruppen: etwa „Storm-1234“.

Mit diesem System will Microsoft nicht nur die Komplexität reduzieren, sondern auch die Zusammenarbeit in der Cybersecurity-Community verbessern. Denn wer dieselbe Sprache spricht, kann Bedrohungen schneller erkennen – und gemeinsam besser darauf reagieren.

Ausblick: Gemeinsame Bedrohungstaxonomie als Grundlage für stärkere Cybersicherheit

Die jetzt vorgestellte erste Version der gemeinsamen Bedrohungstaxonomie ist ein Ergebnis der engen Zusammenarbeit zwischen Microsoft und CrowdStrike. Doch dies ist erst der Anfang: Auch Google/Mandiant und Palo Alto Networks (Unit 42) haben ihre Unterstützung für diese Initiative zugesagt und werden künftig zur Weiterentwicklung beitragen.

Die Zusammenarbeit führender Sicherheitsanbieter markiert einen wichtigen Schritt hin zu einer einheitlicheren Sprache im Umgang mit Cyberbedrohungen – und damit zu effizienterer Verteidigung weltweit. Denn Cybersicherheit ist längst keine Einzelleistung mehr, sondern eine gemeinsame Verantwortung.

Microsoft begrüßt die Partnerschaft mit CrowdStrike ausdrücklich und blickt gespannt auf die nächsten Entwicklungen. Ziel ist es, möglichst viele Akteure aus der Branche für dieses Vorhaben zu gewinnen, um den kollektiven Schutz weiter zu stärken.

In Kürze wird Microsoft weitere Einblicke in die Fortschritte und Ergebnisse der Zusammenarbeit geben.

Redaktion AllAboutSecurity

---

Bild/Quelle: https://depositphotos.com/de/home.html