Intelligence Requirements — PIRs die tatsächlich funktionieren

Roberts-Kriterien, GIR-PIR-SIR-Hierarchie, drei
DACH-Sektor-Builds live


Drei Worte heisst die meistgenannte Priority Intelligence
Requirement in DACH-CTI-Programmen 2026: „Monitor Ransomware
Threats." Vier Kriterien hat Scott Roberts 2016 für eine echte
PIR formuliert — Singular, Atomic, Decision Centric, Timeliness.
Hundertachtzig Anforderungs-Templates listet das
Intel-471-CU-GIR-Framework, das in der DACH-Industrie regelmässig
als PIR-Set missverstanden wird. Drei Worte, null
Roberts-Kriterien erfüllt. Hundertachtzig importierte Themen,
keine einzige organisationsspezifische Entscheidung.


Workshop-Format. Eine Stunde. Wir bauen live drei Sektor-PIR-Sets
— Schweizer Energieversorger, deutscher Maschinenbauer,
österreichisches Finanzinstitut — und legen die methodische
Genealogie nebeneinander: US Army Field Manual 34-2 von 1994 als
kanonische Definition, Roberts' Medium-Blog von 2016 als
de-facto-CTI-Konvention, FIRST-CTI-SIG-Curriculum, CTI-CMM v1.0
von 2024 als Reife-Framework. Was ist eine PIR im Roberts-Sinn?
Eine Frage, deren Antwort eine Stakeholder-Entscheidung
ermöglicht. Was ist sie nicht? Ein Topic-Bucket, ein
Sammelplan-Filter, eine BDEW-Whitepaper-Übersetzung in achtzehn
Punkten.


Drei Negativ-Folien aus der DACH-Realität: Xplain 2023 — eine PIR
mit Legal und Procurement im Workshop-Raum hätte gefragt, welche
Subdienstleister produktive Personendaten ohne vertraglichen
Schutz halten, existierte aber nicht. SPD-Hack via CVE-2023-23397
— eine sektorale PIR auf APT28-Infrastruktur-Korrelation wäre
Anfang 2023 handlungsfähig gewesen, ist aber in keinem
DACH-Mittelstands-Programm vor 2024 dokumentiert. NIS2 Artikel 21
— listet zehn Mindestmassnahmen, „Priority Intelligence
Requirement" kommt im gesamten Artikel und in der
ENISA-Implementation-Guidance kein einziges Mal vor. Wer einer
Organisation sagt „wegen NIS2 brauchen Sie PIRs", verkauft
CTI-Tradecraft als Compliance-Pflicht.


Drei Stolpersteine räumen wir explizit aus dem Weg: PIR als
Vendor-Vokabel für „Use Case", „NIS2 verlangt PIRs", Roberts'
Heuristik als „Industry Standard". Die Folge argumentiert gegen
die Konsens-Praxis, hundertachtzig fremde GIR-Templates als
eigene PIR-Liste zu adoptieren — und hält sich strikt an die
Doktrin, die seit 1994 in jedem ernstzunehmenden Field Manual
steht. Wir erfinden keine Kontroverse. Wir machen den Unterschied
zwischen Themenliste und Anforderungs-Set sichtbar.


Was du mitnimmstDrei bis fünf PIRs nach Roberts in
einem Vier-Stunden-Workshop bauen — Stakeholder-Set vor Methodik,
Stühle im Raum für IT-Security, OT, Legal, HR, Risk, Business
Continuity, Procurement —, eine quartalsweise Refinement-Kadenz
im RFI-Register verankern, drei Stolpersteine in der nächsten
Vendor-Demo erkennen. Pflichtwissen für jeden, der ein
CTI-Programm vor CFO, Aufsichtsbehörde oder NIS2-Auditor
begründen muss.


Geschüttelt. Nicht gerührt.