Der Intelligence Cycle — und wo er bricht

Sechs Phasen, drei strukturelle Bruchpunkte, ein DACH-Lehrstück


Vierunddreissig Tage liegen zwischen dem Initial Access bei der
Landesverwaltung Kärnten am 21. April 2022 und der Detection am
24. Mai. Sechs Phasen umfasst der klassische Intelligence Cycle,
der in jedem CTI-Lehrgang als kanonische Lehrform hängt.
Sechsunddreissig Prozent der Programme messen laut
SANS-CTI-Umfrage 2024 ihre Effektivität — vierundsechzig Prozent
nicht. Drei Zahlen, die zusammengenommen die These der Folge
tragen: der Cycle ist als Lehrmodell brauchbar, als Beschreibung
der realen CTI-Praxis aber unzureichend — und der Massstab für
Reife ist nicht „wir haben einen Cycle", sondern „wir schliessen
ihn".


Wir legen die Phasen einzeln auf den Tisch und gehen mit
konkreten DACH-Fällen durch jede einzelne Bruchstelle. Phase 1 —
Direction — fehlt strukturell im DACH-Mittelstand, illustriert am
A1-Telekom-Fall: sechs Monate Verweildauer,
Hundert-Personen-Eradication, über zehntausend Systeme reset,
vermutete staatliche Akteure ohne hinterlegte Priority
Intelligence Requirements. Phase 2 — Collection — versagt im
Land-Kärnten-Lehrstück und bei MediaMarktSaturn. Phase 4 —
Analysis — bricht öffentlich an Olympic Destroyer 2018, dem
kanonischen False-Flag-Lehrstück mit gefälschtem Rich Header, das
die initialen Lazarus-Attributionen drei Wochen lang aufrecht
hielt. Und wir zerlegen die ACH-Empirie, die seit sieben Jahren
unter Druck steht: Dhami 2019, Karvetski 2020, Whitesmith 2024 —
Brainstorming und Devil's Advocacy haben empirischen Support,
Analysis of Competing Hypotheses hat keinen.


Phase 5 — Dissemination — funktioniert vorbildlich beim SPD-Hack,
sechzehn Monate nach der initialen Kompromittierung, mit
koordinierter BfV-BMI-Communiqué-Kette. Phase 6 — Feedback —
bricht strukturell, weil ein vergessenes RFI-Register keine
Schlagzeile produziert. Wir zeigen Xplain als die seltene
geschlossene Schleife auf Bundes-Niveau — Edöb-Bericht plus
Bundesrats-Administrativuntersuchung mit konkreten
Lieferanten-Massnahmen — und legen drei weitere DACH-Cases
daneben: Continental, Südwestfalen-IT, Funke Mediengruppe.


Die Folge argumentiert gegen den Konsens, dass „wir machen den
Cycle" schon ein CTI-Programm sei — und hält sich strikt an die
Empirie, die BSI, BACS, CERT.at und ENISA selbst publizieren,
ohne den Cycle-Begriff überhaupt zu führen. Wir erfinden keine
Kontroverse. Wir machen die methodische Disziplin sichtbar, die
in der Behörden-Praxis längst gelebt wird.


Was du mitnimmst
Den Reife-Test in Phase 6 anwenden — RFI-Register der letzten
zwölf Monate vorzeigen, Frequenz und Timing prüfen —, eine
realistische Bias-Mitigation einführen, die empirisch trägt
(Devil's Advocacy als feste Rolle, nicht ACH-Theater), und drei
Sofort-Schritte, die ein DACH-Mittelstands-Programm an einem Tag
beginnen kann. Pflichtwissen für jeden, der CTI-Reife vor
Vorstand, Aufsichtsbehörde oder CFO begründen muss.


Geschüttelt. Nicht gerührt.