Fortgale CTI stärkt die Unternehmensverteidigung, bevor ein Angriff zum Vorfall wird. Wir tracken feindliche Akteure, generieren kontinuierliche IOC-Feeds, erstellen vertikale Advisories, Briefings für den CISO und Reports für den Vorstand, überwachen Deep- & Dark-Web und managen die IT- und Brand-Exposition.
Die Fortgale CTI wird als acht spezialisierte Capabilities bereitgestellt, einzeln oder in Kombination aktivierbar je nach Kontext Ihrer Organisation. Von der Verfolgung feindlicher Akteure bis zur Überwachung kritischer Lieferanten: Jedes Modul beantwortet eine konkrete Frage des CISO, des SOC oder des Vorstands. Unter jedem Service hilft Ihnen ein «Relevant wenn…»-Abschnitt zu verstehen, welche Sie wirklich brauchen.
Strukturierte Profile von kriminellen Gruppen und staatlichen Akteuren, die gegen europäische Organisationen aktiv sind: MITRE ATT&CK-gemappte TTPs, beobachtete C2-Infrastruktur, Tooling, Viktimologie. Wo Beweise es zulassen, technische Attribution der gegen Kunden festgestellten Angriffe.
Sie haben Vorfälle mit Hinweisen auf gezielte Angriffe erlebt · Sie sind in Zielsektoren tätig (Finanzwesen, Fertigung, Energie, Gesundheitswesen, öffentliche Verwaltung, Verteidigung) · Sie verfügen über wertvolle Assets (IP, sensible Daten).
Indicators of Compromise (IPs, Domains, Hashes, URLs, YARA-Regeln) aus realen Vorfällen und Forschung, verteilt über STIX/TAXII direkt in die Sicherheitsplattformen der Kunden. Automatische Anwendung, kein manueller Eingriff erforderlich.
Sie betreiben SIEM/EDR/Firewall-Plattformen, die Custom TI unterstützen · Ihr SOC möchte die Detection mit kontextuellen IOCs anreichern · NIS2/DORA erfordern die TI-Integration in Ihre Kontrollen.
Reports, die einzelnen Sektoren gewidmet sind: Fertigung, Finanzwesen, Gesundheitswesen, Energie, öffentliche Verwaltung, kritische Infrastruktur. Wenn das CTI-Team gezielte Kampagnen erkennt, erhalten Kunden des betroffenen Sektors Ad-hoc-Advisories mit sofortigen operativen Hinweisen.
Sie sind in einem spezifischen Vertikalsektor tätig (Fertigung, Finanzwesen, Gesundheitswesen, Energie, öffentliche Verwaltung, kritische Infrastrukturen) und wollen Intelligence fokussiert auf Bedrohungen, die Ihre Branche betreffen.
Periodische Briefings für CISO, IT-Manager, Head of Cybersecurity: Expositionsstatus, gegen die Organisation aktive Akteure, erforderliche Entscheidungen. Dedizierte Reports für den Vorstand in Business-Risiko-Sprache, Compliance und Impact-Framing.
Der Vorstand verlangt regelmäßige Updates zum Cyber-Risiko · Sie müssen NIS2/DORA-Governance dem Vorstand nachweisen · der CISO muss in Business-Sprache kommunizieren, nicht technisch (Anforderung auch durch AktG §91/§93).
Kontinuierliche Präsenz in kriminellen Marktplätzen, Untergrund-Foren, Ransomware-Leak-Sites, Telegram-Kanälen, anonymisierten Netzwerken. Suche nach kompromittierten Unternehmenszugangsdaten, exfiltrierten Daten, Erwähnungen der Kunden, Planung unmittelbar bevorstehender Angriffe.
Sie fürchten Leaks von Unternehmensanmeldedaten · Sie sind eine sichtbare Marke · Sie sind in Ransomware-Zielsektoren tätig · Sie wollen die Planung von Angriffen vor der Ausführung abfangen.
Kontinuierliche Discovery und Monitoring der externen Angriffsfläche: Internet-facing Assets, ausnutzbare Schwachstellen, Shadow IT, abgelaufene Zertifikate, Credential Leaks, Cloud-Fehlkonfigurationen. Priorisierung nach realem Impact und Ausnutzbarkeit.
Sie haben eine große externe Oberfläche (Multi-Cloud, häufige M&A, ungesteuerte Shadow IT) · Sie haben Schwierigkeiten, bekannte Schwachstellen zu priorisieren · Sie wollen präventiv, nicht reaktiv agieren.
Monitoring der Nicht-IT-Angriffsfläche: Look-alike-Domains, gefälschte LinkedIn/Telegram-Profile, Phishing-Kits mit dem Kundenlogo, Executive Impersonation, Reputations-Erwähnungen, Deepfakes. Koordinierter Take-down wo möglich.
Erkennbare Marke als Ziel von Phishing/Spoofing · Führungskräfte mit exponiertem öffentlichen Profil · Marke beeinflusst die Konversion (Finanzwesen, Einzelhandel, Luxus, private Gesundheitsversorgung) · Sie benötigen koordiniertes Take-down von Online-Missbrauch.
Kontinuierliches Monitoring der externen Exposition und öffentlichen Vorfälle kritischer Lieferanten: Credential Leaks, ausnutzbare Schwachstellen, Erscheinen auf Ransomware-Leak-Sites, allgemeine Cyber-Posture. Sofortige Benachrichtigung bei Lieferanten-Breach — um das geerbte Cyber-Risiko zu verstehen und Gegenmaßnahmen zu aktivieren, bevor es sich in einen eigenen Vorfall verwandelt.
Sie sind auf kritische Lieferanten angewiesen (Cloud, Software, MSP, Finanzdienste, Logistik), deren Kompromittierung Sie exponiert · NIS2/DORA erfordern eine Third-Party-Risk-Governance · Sie müssen Due Diligence nach einem Lieferanten-Breach nachweisen.
In einer kostenlosen Session prüfen wir gemeinsam Ihren Kontext — Sektor, wertvolle Assets, jüngste Vorfälle, externe Exposition — und identifizieren, welche der 7 Module echten Wert bringen und welche nicht.
Eine Relevanzkarte der Module für Ihre Organisation + ein maßgeschneidertes modulares Angebot. Keine Verpflichtung zur Fortsetzung.
Jedes Modul ist einzeln oder in Kombination aktivierbar. Modulare Preisgestaltung basierend auf Perimeter und Volumen.
Es gibt Hunderte von Threat-Intelligence-Feeds auf dem Markt. Die meisten aggregieren Drittanbieter-Daten und verkaufen sie weiter. Fortgale macht etwas radikal anderes: Wir generieren originale Intelligence, jeden Tag.
Jeder vom Fortgale SOC bearbeitete Vorfall wird zu strukturierter Intelligence: unter realen Bedingungen beobachtete IOCs, dokumentierte TTPs, gemappte offensive Infrastruktur. Keine theoretischen Modelle – Artefakte aus Angriffen gegen europäische Organisationen in den letzten 24 Stunden.
Das Fortgale CTI-Team analysiert eigenständig Kampagnen, Infrastruktur und Tools großer krimineller Gruppen und staatlich geförderter Akteure, die gegen Europa aktiv sind. Ohne Abhängigkeit von Anbietern oder Aggregatoren: originale Analysen, eigene Attributionen, unabhängige Veröffentlichungen.
Fortgale nutzt intern entwickelte künstliche Intelligenz zur Verstärkung der Analysten: Korrelation hoher Volumina, Pattern Recognition bekannter Kampagnen, Alert-Priorisierung. Keine KI-Produkte Dritter: interne Systeme, trainiert auf eigenen Daten.
Proprietäre Datenbank der gegen Europa aktiven Akteure, Echtzeit-IOC-Verteilung, kontinuierliche Dark-Web-Abdeckung, zweisprachige Reports für Management und technische Teams.
Wir profilieren Akteure, analysieren Samples, verfolgen Kampagnen. Einen Teil dieser Recherche teilen wir mit der Community auf unserem Blog. Wir aggregieren keine Drittanbieter-Feeds — wir veröffentlichen nur, was wir aus erster Hand verifiziert haben.
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Artikel lesen →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Artikel lesen →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Artikel lesen →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Artikel lesen →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Artikel lesen →
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Artikel lesen →Die sieben CTI-Capabilities werden in vier operativen Formaten geliefert: zweisprachige PDFs für Management und Analysten, STIX/TAXII-Feeds für SIEM/EDR-Konsum, Echtzeit-Alerts per Webhook und Live-Briefings mit den Analysten. Jedes Deliverable ist darauf ausgelegt, sich ohne Overhead in bestehende Prozesse einzufügen.
Threat-Reports, vertikale Advisories und Executive Briefings als PDF auf Englisch und Italienisch. Zwei Schnitte pro Report: technisch für SOC-Analysten und Threat Hunter (TTPs, IOCs, MITRE-Mapping) und Executive für Management und Vorstände (Business-Risiko, priorisierte Maßnahmen).
Maschinenlesbare IOCs, direkt konsumierbar von SIEM, EDR, Firewall und TIP-Plattformen. Standard-Integration STIX 2.1 / TAXII 2.1, Custom-Threat-Intelligence-Unterstützung auf den wichtigsten MDR-Plattformen. Kontinuierliche Rotation, validierte Indikatoren.
Sofortige Benachrichtigungen bei Erkennung von Unternehmenszugangsdaten auf Leak-Sites, Kundenerwähnungen in Foren, Auftreten von Look-alike-Domains, hochprioritären IOCs. Zustellung per E-Mail, Webhook, Slack, Microsoft Teams. Liefer-SLA unter 15 Minuten.
Periodische Sessions mit dem CTI-Team: Advisory-Walkthroughs, technische Q&A, Deep-Dives zu spezifischen Akteuren, die in der Umgebung des Kunden erkannt wurden. On Demand: Einberufung eines Analysten für Triage- oder Post-Incident-Support.
KI verwandelt Rohdaten in Signale; Analysten verwandeln Signale in Entscheidungen. Fortgale hat die KI-Tools, die unser Team verstärken, intern entwickelt – ohne die Kontrolle an externe Plattformen abzugeben.
Interne KI-Systeme korrelieren in Echtzeit Millionen von Netzwerk-, Endpoint- und Threat-Feed-Events und identifizieren Muster, die Stunden manueller Analyse erfordern würden. Analysten erhalten priorisierte Signale, kein Roh-Rauschen.
Interne Modelle erkennen die Fingerprints getrackter Threat Actors – Infrastruktur, Toolsets, Verhalten – beschleunigen die Attribution und reduzieren Response-Zeiten von Stunden auf Minuten.
Keine Black-Box-Algorithmen Dritter. Jede Analyse wird vom Team mit dokumentierten Methoden und verifizierbaren Ergebnissen produziert. Wenn Fortgale eine Kampagne einem Akteur zuschreibt, geschieht dies aufgrund technischer Belege – nicht auf Empfehlung eines Anbieters.
Jeder neue Vorfall reichert die internen Modelle an. Fortgale CTI wird für Kunden in kontinuierlichem Engagement progressiv präziser: Der historische Kontext ihrer Infrastruktur ist integraler Bestandteil jeder neuen Analyse.
Die TTPs, die Fortgale CTI speisen, stammen aus realen Vorfällen: Enumeration, Lateral Movement, Credential Dumping, Exfiltration. Das folgende Video ist eine Simulation des wiederkehrenden Verhaltens eines Akteurs – die Art von Beleg, die ein Kunde in unseren monatlichen Reports sieht.
Intelligence ist nur dann wertvoll, wenn sie sich in konkreten Schutz übersetzt. Fortgale integriert die CTI direkt in den SOC- und MDR-Service und schafft einen kontinuierlichen Zyklus: Detection → Intelligence → verbesserte Verteidigung.
Das Fortgale SOC wendet die CTI-Intelligence in Echtzeit auf Detection-Regeln an. Jeder neue identifizierte IOC oder TTP wird sofort an die Systeme aller überwachten Kunden verteilt.
SOC entdecken →Das Fortgale MDR nutzt nicht nur die Regeln des EDR-Anbieters: Wir reichern sie mit proprietärer Intelligence zu aktiven Threat Actors an, erhöhen die Detection-Rate und reduzieren False Positives.
MDR entdecken →Während eines Vorfalls beschleunigt CTI Attribution und Eindämmung. Zu wissen, wer angreift und wie er operiert, reduziert die Response-Zeit dramatisch und begrenzt den Gesamtschaden.
IR-Team kontaktieren →Die meisten CTI-Anbieter verkaufen Feeds weiter, die von Drittanbietern aggregiert werden (VirusTotal, Mandiant, Recorded Future). Fortgale generiert originale Intelligence aus drei primären Quellen: täglich vom SOC bearbeitete Vorfälle, unabhängige Threat-Actor-Forschung, kontinuierliches Deep- und Dark-Web-Monitoring. Kontextuelle, aktuelle, anwendbare Intelligence.
Indicators of Compromise (IPs, Domains, Hashes, URLs, YARA-Regeln) werden aus realen Vorfällen und der Forschung an offensiver Infrastruktur produziert. Sie werden automatisch über STIX/TAXII an SIEM/EDR/Firewalls der Kunden verteilt und als Custom Threat Intelligence auf MDR-Plattformen angewendet, um bekannte Bedrohungen vor dem Impact zu blockieren.
Suche nach kompromittierten Unternehmenszugangsdaten in kriminellen Marktplätzen, Monitoring von Foren, in denen Akteure Angriffe planen, Erkennung exfiltrierter Daten auf Ransomware-Leak-Sites, Tracking von Telegram-Kanälen und anonymisierten Netzwerken, Echtzeit-Alerts, wenn der Kundenname auftaucht.
Zwei Formate: technische Reports für Security-Teams (SOC-Analysten, Threat Hunters, technische CISOs) mit IOCs, MITRE-gemappten TTPs und operativen Hinweisen; Executive Reports für das Management mit Risikosprache, Business Impact und priorisierten Maßnahmen. Veröffentlicht auf Englisch und Italienisch.
Ja. Der CTI-Service ist sowohl als integrierte Komponente von SOC/MDR (Intelligence wird automatisch auf Detection-Regeln angewendet) als auch als Standalone-Service verfügbar – für Unternehmen mit internen Security-Teams, die ihn um proprietäre IOC-Feeds, vertikale Advisories und Threat-Actor-Reports anreichern wollen.
Fortgale ASM führt kontinuierliche Discovery und Monitoring der externen Angriffsfläche des Kunden durch: Internet-facing Assets, ausnutzbare Schwachstellen, Shadow IT, abgelaufene Zertifikate, Credential Leaks, Cloud-Fehlkonfigurationen (S3, Azure Blob, GCP). Alles wird mit interner Threat Intelligence korreliert, um zu priorisieren, was tatsächlich von Akteuren ausgenutzt werden kann, die im Sektor des Kunden aktiv sind — keine Liste theoretischer Schwachstellen, sondern eine Liste konkreter Risiken.
Monitoring der Nicht-IT-Angriffsfläche: Look-alike-Domains, gefälschte LinkedIn/Telegram-Profile, die Führungskräfte imitieren, Phishing-Kits mit dem Kundenlogo, Executive Impersonation, Deepfakes, Reputations-Erwähnungen in kriminellen Kanälen. Koordinierter Take-down mit Providern (Registrare, Social-Plattformen, Hoster) wo möglich.
Ja. Der Executive Briefing & Vorstands-Reporting-Service produziert dedizierte Reports für Vorstand und Risiko-Komitees in Business-Risiko-Sprache: Expositionsstatus, gegen die Organisation aktive Akteure, NIS2- und DORA-Compliance, erforderliche Entscheidungen, potenzieller wirtschaftlicher Impact. Ein operatives Werkzeug für Cyber-Governance auf Vorstandsebene.
Technische Attribution ist Teil des Threat Actor Profiling. Wenn das CTI-Team einen Vorfall erkennt, werden beobachtete TTPs (MITRE ATT&CK-gemappt), C2-Infrastruktur, Tooling, Malware-Code und Viktimologie mit Profilen bereits getrackter Akteure korreliert. Wenn die Beweise ausreichen, wird eine dokumentierte Attribution formuliert. Wenn nicht, werden die wahrscheinlichsten Hypothesen ohne Überdehnung angegeben — übereilte Attribution ist eine der häufigsten Bad Practices in kommerzieller CTI.
Dark-Web-Monitoring, proprietäre IOCs und Fortgale-Reports geben Ihnen Zugang zu der Intelligence, die sich normalerweise nur Großunternehmen leisten können. Sprechen Sie mit dem CTI-Team und erfahren Sie, was wir heute tracken.
Keine Nurturing-Sequenzen, keine Auto-Replies. Einer unserer Analysten ruft Sie innerhalb eines Werktags zurück.
Der vollständige Report (Executive Summary · operative IoCs · technisches Runbook) ist vertraulich. Senden Sie uns zwei Angaben und einer unserer Analysten kontaktiert Sie mit Zugang und einem kurzen technischen Briefing.
Reaktion in 30 Minuten, Eindämmung in 1–4 Stunden. Auch wenn Sie kein Fortgale-Kunde sind.
