Jede Warnmeldung, jede verdächtige Domain und jede als auffällig eingestufte ausführbare Datei konkurrieren um Aufmerksamkeit. In Security Operations Centern ist Zeit meist die knappste Ressource. Eine Erkennung allein beantwortet selten die entscheidende Frage: Muss sofort gehandelt werden oder nicht? Der Unterschied zwischen einem relevanten Signal und bloßem Datenrauschen liegt meist nicht in der Menge der Informationen, sondern im richtigen Kontext.
Genau hier entfaltet Cyber Threat Intelligence (CTI) ihren Nutzen. Sie liefert den Kontext, ordnet Zusammenhänge ein und verknüpft Muster, damit Sicherheitsteams fundiert entscheiden können, welche Vorfälle Priorität haben. Das gilt insbesondere für moderne Angriffsszenarien, in denen Angreifer legitime Tools missbrauchen und ihre eigentlichen Absichten gezielt verschleiern.
Auch wenn dieser Artikel mit den täglichen Herausforderungen im Security Operations Center (SOC) beginnt, reicht der Nutzen von Threat Intelligence weit darüber hinaus. Die gewonnenen Erkenntnisse unterstützen unter anderem das Risikomanagement, die Sicherheitsarchitektur sowie Investitions und Strategieentscheidungen auf Managementebene.
Kernpunkte dieses Artikels:
- Cyber Threat Intelligence ergänzt Rohdaten um den notwendigen Kontext und macht aus einzelnen Signalen belastbare Entscheidungsgrundlagen für Sicherheitsprozesse.
- Erst durch die Anreicherung mit Relevanz, Vertrauensbewertungen und der Zuordnung zu realen Angriffskampagnen und Angreiferverhalten werden aus Rohdaten verwertbare Erkenntnisse.
- Effektive CTI unterstützt verschiedene Entscheidungsebenen gleichzeitig. Analysten, Threat Hunter und Führungskräfte profitieren gleichermaßen bei operativen Reaktionen und strategischen Risikoentscheidungen.
- Besonders wichtig ist CTI in der Grauzone moderner Angriffe, in der legitime Werkzeuge missbraucht werden und klassische Erkennungsverfahren ohne Kontext an ihre Grenzen stoßen.
- Die ESET eCrime Intelligence betrachtet nicht nur bekannte Ransomware-Gruppen, sondern analysiert Angriffe auf Ebene der Affiliates. Dadurch wird nachvollziehbar, wie Kampagnen tatsächlich ablaufen und wie sie sich frühzeitig stoppen lassen.
- Threat Intelligence entfaltet ihren größten Nutzen, wenn sie sich nahtlos in bestehende Sicherheitslösungen und Workflows integrieren lässt. So entstehen fundierte Entscheidungen statt zusätzlicher Komplexität.
Was ist Cyber Threat Intelligence (CTI)?
Ein einzelner Indikator wie ein Hashwert, eine Domain oder eine IP-Adresse ist zunächst nur eine Beobachtung. Er zeigt, dass etwas passiert ist. Erst Threat Intelligence liefert den notwendigen Kontext: Gehört dieser Indikator zu einer aktiven Angriffskampagne? Passt er zu bekannten Angriffstechniken? Und betrifft er überhaupt die eigene IT Umgebung?
Diese Unterscheidung klingt einfach, ist in der Praxis jedoch entscheidend. Die meisten Sicherheitsteams verarbeiten bereits zahlreiche Threat Intelligence Feeds, die zwar große Datenmengen liefern, aber oft nur wenig Kontext enthalten. Ohne zusätzliche Anreicherung werden diese Indikatoren schnell zur Belastung. Sie erhöhen den Aufwand für die manuelle Triage, schaffen Unsicherheit und verzögern die Reaktion, anstatt sie zu beschleunigen.
Moderne Cyber Threat Intelligence setzt genau an diesem Punkt an. Sie verknüpft Indicators of Compromise (IoCs) mit Taktiken, Techniken und Verfahren (TTPs), Informationen über Angreifer, Infrastrukturmustern sowie Konfidenzbewertungen. Erst dadurch können Analysten über die bloße Feststellung hinausgehen, dass etwas auffällig ist, und beantworten, warum ein Ereignis relevant ist, welche Auswirkungen es haben kann und welche Maßnahmen als Nächstes erforderlich sind.
Warum CTI für Sicherheitsteams wichtig ist
Im Arbeitsalltag dient Cyber Threat Intelligence vor allem dazu, Prioritäten zu setzen. Ein Security Operations Center (SOC) muss nicht jede einzelne Bedrohung bis ins Detail analysieren. Entscheidend ist, zu erkennen, welche Risiken für das eigene Unternehmen aktuell relevant sind. Dabei spielen Faktoren wie verfügbare Ressourcen, geografische Lage und das individuelle Bedrohungsprofil eine zentrale Rolle. Ohne diese zusätzliche Bewertungsebene verbringen Analysten viel Zeit mit manueller Triage. Je größer das Warnaufkommen, desto schneller wird dieser Prozess zum Engpass.
Mehr Daten bedeuten nicht automatisch bessere Entscheidungen
Ein weit verbreiteter Irrtum in der IT-Sicherheitsbranche lautet, dass mehr Daten automatisch zu einer besseren Erkennung führen. Tatsächlich ist oft das Gegenteil der Fall: Zusätzliche Daten sorgen häufig für noch mehr Unsicherheit. Analysten stehen dann immer wieder vor denselben Fragen:
- Gehört dieser Indikator zu einer aktiven Angriffskampagne oder handelt es sich lediglich um ein isoliertes Ereignis?
- Passt er zu einem Angriffsmuster, das wir bereits kennen oder erwarten?
- Ist er für unsere aktuelle IT-Umgebung überhaupt relevant?
Cyber Threat Intelligence beantwortet diese Fragen idealerweise bereits, bevor ein Analyst die Warnmeldung überhaupt öffnet.
Wer nutzt Cyber Threat Intelligence?
Von diesen Erkenntnissen profitieren unterschiedliche Rollen innerhalb eines Unternehmens. Security-Analysten nutzen CTI, um Warnmeldungen einzuordnen und zu erkennen, ob ein einzelnes Ereignis Teil eines größeren Angriffsmusters ist. Threat Hunter verwenden dieselben Informationen, um Hypothesen über das Verhalten von Angreifern zu entwickeln und gezielt nach entsprechenden Spuren in ihrer Umgebung zu suchen.
Detection Engineers übersetzen CTI in konkrete Schutzmaßnahmen. Sie leiten aus beobachteten Angriffstechniken Erkennungsregeln, Abfragen und automatisierte Mechanismen ab, die über den gesamten Sicherheitsstack hinweg eingesetzt werden können. SOC-Leiter und Incident-Response-Teams nutzen den Kontext von Kampagnen, um Untersuchungen zu priorisieren und die nächsten Schritte eines Angreifers möglichst früh vorherzusehen.
Auch außerhalb des SOC spielt Cyber Threat Intelligence eine wichtige Rolle. Teams für Vulnerability- und Exposure-Management priorisieren Gegenmaßnahmen anhand tatsächlich beobachteter Angriffe. Sicherheitsarchitekten und CISOs richten Schutzmaßnahmen und Investitionen an den relevantesten Bedrohungen aus. Auf Managementebene hilft strategische CTI schließlich dabei, technische Erkenntnisse in geschäftliche Risiken und fundierte Entscheidungen zu übersetzen.
Die drei Arten von Cyber Threat Intelligence
Cyber Threat Intelligence wird traditionell in drei Bereiche unterteilt: taktisch, operativ und strategisch. Häufig werden diese Ebenen fälschlicherweise als Reifegradmodell verstanden. Tatsächlich handelt es sich jedoch um unterschiedliche Perspektiven auf dieselbe Bedrohungslage, die parallel genutzt werden.
Die taktische CTI konzentriert sich auf die unmittelbare Erkennung. Sie umfasst Indicators of Compromise, Signaturen und die Zuordnung zu bekannten Angriffstechniken. Im Mittelpunkt steht die Frage: Worauf müssen wir jetzt achten?
Die operative CTI betrachtet Angriffskampagnen im größeren Zusammenhang. Sie zeigt, wie ein Angriff abläuft, welche Infrastruktur wiederverwendet wird und wie sich Werkzeuge und Vorgehensweisen der Angreifer verändern. Die zentrale Frage lautet: Wie läuft dieser Angriff tatsächlich ab?
Die strategische CTI geht noch einen Schritt weiter. Sie analysiert Entwicklungen über Regionen, Branchen und geopolitische Zusammenhänge hinweg und beantwortet die Frage: Welche Auswirkungen haben diese Entwicklungen auf unser Risikoprofil?

In einem leistungsfähigen SOC greifen alle drei Formen der Cyber Threat Intelligence ineinander und liefern den verschiedenen Entscheidungsebenen genau die Informationen, die sie benötigen.
So funktioniert der CTI-Lebenszyklus
Cyber Threat Intelligence wird häufig als linearer Prozess beschrieben: Anforderungen definieren, Daten sammeln, analysieren, Erkenntnisse weitergeben, Maßnahmen ableiten und anschließend Feedback nutzen, um den Prozess kontinuierlich zu verbessern.
In der Praxis ähnelt CTI jedoch eher einem geschlossenen Kreislauf, in dem jeder Schritt den nächsten beeinflusst.
- Informationsbedarf definieren: Ausgangspunkt sind die geschäftskritischen Systeme, Risiken und konkreten Fragestellungen des Unternehmens, nicht vorhandene Tools oder Datenquellen.
- Relevante Bedrohungsdaten sammeln: Informationen stammen aus interner Telemetrie, externen Threat-Intelligence-Berichten, Intelligence-Feeds, Communities zum Informationsaustausch sowie aus Open Source Intelligence (OSINT).
- Daten analysieren und in Kontext setzen: Indikatoren werden mit Konfidenzbewertungen, Informationen über Angreifer, Taktiken, Techniken und Verfahren (TTPs) sowie ihrer Relevanz für das Unternehmen korreliert. Frameworks wie MITRE ATT&CK dienen dabei als gemeinsame Sprache.
- Erkenntnisse bereitstellen und operationalisieren: Die gewonnenen Informationen müssen den richtigen Personen oder Sicherheitssystemen in einer Form zur Verfügung stehen, die unmittelbar nutzbar ist.
- Maßnahmen umsetzen und den Prozess verbessern: Abschließend wird bewertet, ob die ursprünglichen Fragestellungen beantwortet wurden. Die gewonnenen Erkenntnisse fließen anschließend in die weitere Datenerfassung und Analyse ein.
Dieser Kreislauf ist keineswegs nur Theorie. Unternehmen, die auf einen präventiven Sicherheitsansatz setzen, nutzen CTI, um Angriffe möglichst früh zu erkennen und Entscheidungen zu treffen, bevor sich ein Vorfall ausweitet.
Je besser die Threat Intelligence, desto präziser die Erkennung. Eine bessere Erkennung liefert wiederum hochwertigere Telemetriedaten, die die nächste Analyse weiter verbessern. Mit jedem Durchlauf gewinnt der gesamte Prozess an Qualität.
CTI-Quellen, Feeds und Standards
Viele Unternehmen begegnen Cyber Threat Intelligence zunächst in Form von Threat-Intelligence-Feeds. Dabei handelt es sich um maschinenlesbare Datenströme mit Indikatoren für potenzielle Bedrohungen. Feeds sind wichtig, allein reichen sie jedoch nicht aus.
Was leister Threat Intelligence Feeds?
Ohne sorgfältige Aufbereitung können Intelligence-Feeds genau das Problem verschärfen, das sie eigentlich lösen sollen: Sie liefern große Datenmengen, aber nur wenig verwertbaren Kontext. Entscheidend ist daher nicht die Anzahl der Indikatoren, sondern deren Qualität und Aussagekraft.
Ein hochwertiger CTI-Feed stellt relevante und verlässliche Indikatoren bereit, die bereits gefiltert, validiert und von Dubletten bereinigt wurden. Dadurch sinkt der Aufwand für die manuelle Analyse erheblich.
Ebenso wichtig ist der zusätzliche Kontext. Erst wenn Indikatoren mit Angriffskampagnen, Infrastruktur oder bekannten Angriffstechniken verknüpft werden, können Analysten nachvollziehen, warum ein Ereignis relevant ist und welche Maßnahmen erforderlich sind.
Auch die Priorisierung spielt eine zentrale Rolle. Nicht jeder Indikator ist gleich wichtig oder gleich vertrauenswürdig. Schweregradbewertungen helfen Security-Teams dabei zu entscheiden, welche Vorfälle sofortiges Handeln erfordern und welche zunächst lediglich beobachtet werden sollten.
Darüber hinaus müssen sich Threat-Intelligence-Daten nahtlos in bestehende Sicherheitsprozesse integrieren lassen. Standardisierte Formate wie STIX und TAXII ermöglichen die direkte Einbindung in SIEM-, SOAR- oder Threat-Intelligence-Plattformen (TIP).
Was bedeuten STIX und TAXII?
Standards wie STIX und TAXII sind die Grundlage dafür, Cyber Threat Intelligence effizient zwischen verschiedenen Sicherheitssystemen auszutauschen.
STIX definiert, wie Bedrohungsinformationen strukturiert werden. Dazu gehören Indikatoren, Beziehungen zwischen einzelnen Objekten sowie zusätzliche Kontextinformationen.
TAXII beschreibt dagegen den standardisierten Austausch dieser Informationen zwischen unterschiedlichen Systemen.
In der Praxis lassen sich Threat-Intelligence-Daten dadurch ohne manuelle Aufbereitung direkt in SIEM-, SOAR- oder CTI-Plattformen integrieren. Das erleichtert die Automatisierung und sorgt für konsistente Abläufe über den gesamten Sicherheitsstack hinweg.
Standardisierte Formate allein schaffen jedoch noch keinen Mehrwert. Wichtigist, dass die Informationen dort ankommen, wo sie benötigt werden, und sich ohne Umwege in bestehende Workflows einfügen.
Woher gute Informationen stammen
„Gute Informationen erwarten nicht, dass das SOC zu ihnen kommt; sie gehen dorthin, wo sich das SOC bereits befindet. … Als Anbieter von Sicherheitsinformationen sollten Sie nicht mit dem konkurrieren, was ein SIEM, TIP oder SOAR bereits leistet. Wenn Sie bereits wertvolle Sicherheitsinformationen generieren, sollten Sie stattdessen in der Lage sein, sich in all diese Systeme zu integrieren – und genau das tut ESET.“
— Wolf Schumacher, Vice President of Global Partnerships and Alliances bei ESET
Diese Aussage bringt eine Schwäche vieler Threat-Intelligence-Angebote auf den Punkt. Müssen Analysten eine zusätzliche Plattform öffnen und separat auswerten, entstehen Reibungsverluste und wertvolle Zeit geht verloren.
ESET Threat Intelligence (ETI) verfolgt deshalb einen anderen Ansatz. Die Informationen werden in den Formaten STIX 2.1 und JSON über TAXII bereitgestellt und lassen sich direkt in Plattformen wie Microsoft Sentinel, Elastic, OpenCTI oder ThreatQuotient integrieren.
Dadurch ergänzt CTI bestehende Sicherheitsprozesse, statt sie zu unterbrechen. Analysten arbeiten weiterhin in den gewohnten Werkzeugen, profitieren aber gleichzeitig von zusätzlichem Kontext, einer besseren Priorisierung und schnelleren Entscheidungen.
Wie SOC-Teams Cyber-Threat-Intelligence nutzen
Der eigentliche Wert von Cyber Threat Intelligence zeigt sich erst im praktischen Einsatz.
Warnmeldungen anreichern und priorisieren
CTI liefert den Kontext, der herkömmlichen Erkennungsergebnissen häufig fehlt. Ein verdächtiges Ereignis wird erst dann wirklich aussagekräftig, wenn es mit bekannter Infrastruktur, dem Verhalten von Angreifern oder einer laufenden Angriffskampagne in Verbindung gebracht werden kann.
Dieser zusätzliche Kontext reduziert Unsicherheiten und hilft Analysten dabei, Relevanz und Dringlichkeit schneller einzuschätzen. Statt Warnmeldungen isoliert zu betrachten, können Security-Teams ihre Prioritäten anhand tatsächlicher Bedrohungsmuster festlegen.
Threat Hunting und Incident Response
Auch beim Threat Hunting gibt CTI die Richtung vor. Anstatt wahllos nach Auffälligkeiten zu suchen, können Threat Hunter gezielt nach Techniken, Werkzeugen oder Infrastrukturen fahnden, die mit aktiven Angriffskampagnen in Verbindung stehen. Dadurch steigt die Wahrscheinlichkeit, tatsächlich relevante Hinweise zu finden.
Während der Incident Response liefert CTI wertvolle Hintergrundinformationen über das typische Vorgehen eines Angreifers. Sie zeigt beispielsweise, wie sich ein Angreifer innerhalb eines Netzwerks bewegt, wie er seine Persistenz sichert oder seine Berechtigungen ausweitet. So lassen sich Vorfälle vollständiger untersuchen und kritische Phasen eines Angriffs deutlich seltener übersehen.
SIEM, SOAR, XDR und Threat Intelligence Plattformen
All diese Anwendungsfälle funktionieren nur dann zuverlässig, wenn die bereitgestellten Informationen relevant und auf die jeweilige Umgebung abgestimmt sind. Allgemeine oder kontextarme Daten erzeugen vor allem zusätzliches Rauschen und bremsen Security-Teams aus.
Wirksame Cyber Threat Intelligence berücksichtigt deshalb das individuelle Umfeld eines Unternehmens, liefert belastbaren Kontext und fügt sich nahtlos in bestehende Arbeitsabläufe ein. Erst dann wird sie zu einem festen Bestandteil fundierter Sicherheitsentscheidungen.
Diese Anwendungsfälle funktionieren nur, wenn die Informationen spezifisch und operativ abgestimmt sind. Generische oder kontextarme Daten verursachen Rauschen und bremsen die Teams aus. Effektive CTI muss die Umgebung des Unternehmens widerspiegeln, aussagekräftigen Kontext enthalten und sich nahtlos in bestehende Workflows integrieren lassen. Sind diese Bedingungen erfüllt, wird die Intelligence Teil des Entscheidungsprozesses selbst.
Die Grauzone: Wo die meisten Angriffe ihren Ursprung haben
Ein großer Teil heutiger Angriffe bewegt sich in einem Bereich, der weder eindeutig bösartig noch eindeutig harmlos ist. Genau diese Grauzone stellt viele Sicherheitsteams vor besondere Herausforderungen.
Dazu gehören potenziell unerwünschte Anwendungen (PUAs), Fernwartungslösungen oder andere legitime Werkzeuge. Sie sind in vielen Unternehmen fester Bestandteil des IT-Betriebs, werden aber gleichzeitig regelmäßig von Angreifern missbraucht.
Fernwartungstools verdeutlichen dieses Problem besonders gut. Sie ermöglichen Administratoren den legitimen Zugriff auf Systeme, können aber ebenso für unbefugten Fernzugriff oder laterale Bewegungen innerhalb eines Netzwerks eingesetzt werden.
Für klassische Erkennungssysteme ist diese Unterscheidung schwierig. Das Verhalten wirkt auf den ersten Blick vollkommen normal. Erst der Kontext macht deutlich, ob ein legitimes Werkzeug ordnungsgemäß genutzt oder gerade für einen Angriff missbraucht wird.
Genau an dieser Stelle setzt Cyber Threat Intelligence an. Statt sich ausschließlich auf die Klassifizierung einer Anwendung zu verlassen, betrachtet CTI deren Nutzung im Zusammenhang mit bekannten Angriffsmustern. Werden legitime Werkzeuge unter verdächtigen Bedingungen eingesetzt, lässt sich ein möglicher Angriff häufig deutlich früher erkennen.
Die langjährige Forschung von ESET zu potenziell unerwünschten Anwendungen zeigt, welchen Unterschied dieser Ansatz macht. Über viele Jahre hinweg wurden typische Missbrauchsmuster dokumentiert und analysiert. Dadurch können Security-Teams erkennen, wann ein eigentlich legitimes Werkzeug Teil eines bekannten Angriffsszenarios ist – oft lange bevor eindeutig schädliche Aktivitäten sichtbar werden.
Für viele Unternehmen ist genau dies das früheste belastbare Anzeichen dafür, dass ein Angriff bereits begonnen hat.
Jenseits der Ransomware-Marken: Affiliates verstehen
Ein weiterer Bereich, in dem klassische Threat Intelligence häufig zu kurz greift, ist die Einordnung der Angreifer. Viele Berichte konzentrieren sich auf bekannte Ransomware-Gruppen wie RansomHub, Embargo oder Gentlemen. Diese Namen stehen jedoch lediglich für ganze Ökosysteme. Die eigentlichen Angriffe werden häufig von sogenannten Affiliates ausgeführt. Dabei handelt es sich um unabhängige Akteure, die ihre eigenen Werkzeuge, ihre Infrastruktur und ihre Ziele wählen. Genau deshalb bleiben sie relevant, auch wenn eine Ransomware-Marke verschwindet oder ihren Namen ändert.
Weiterführende Lektüre: Demokratisierung der Cyberkriminalität: MaaS und Infostealer verstehen
Konzentriert sich Threat Intelligence ausschließlich auf bekannte Gruppennamen, geht diese Kontinuität verloren, sobald eine Gruppe ihren Namen ändert oder sich auflöst. Wer stattdessen das Verhalten von Affiliates, ihre Werkzeuge und ihre Infrastruktur analysiert, erkennt wiederkehrende Muster unabhängig von der jeweiligen Marke.
Die eCrime-Berichterstattung von ESET verfolgt ausdrücklich diesen Ansatz: Sie bündelt Aktivitäten auf der Ebene der Partner und bildet Verhaltensmuster ab, die über Kampagnen, Werkzeuge und Infrastruktur hinweg bestehen bleiben. Anstatt ausschließlich Ransomware-Gruppen oder Leak-Seiten zu beobachten, analysiert ESET Aktivitäten auf Affiliate-Ebene. Grundlage dafür sind Erkenntnisse aus realen Vorfällen und Telemetriedaten. Dadurch lässt sich nachvollziehen, wie ein Angriff tatsächlich abläuft, vom ersten Zugriff bis zur Datenexfiltration.
Diese Sichtweise zählt noch immer zu den am wenigsten entwickelten Bereichen der Cyber Threat Intelligence, obwohl sie den tatsächlichen Ablauf moderner Angriffe wesentlich realistischer abbildet.
Für Verteidiger verschiebt sich dadurch der Fokus von der reinen Beschreibung eines Angriffs hin zur operativen Nutzung der Informationen. Wiederkehrende Angriffsmuster lassen sich früher erkennen, oft noch bevor ein Vorfall eindeutig einer Gruppe zugeordnet werden kann. Gleichzeitig gewinnen Security-Teams wertvolle Zeit, um Gegenmaßnahmen einzuleiten, bevor ein Angriff seine volle Wirkung entfaltet.
CTI entfaltet ihren Nutzen erst dann vollständig, wenn sie konkrete Entscheidungen unterstützt. Die folgende Tabelle zeigt, wie sich Threat Intelligence unmittelbar auf typische Sicherheitsprozesse und die damit verbundenen Entscheidungen auswirkt.

„Deshalb ist die Arbeit hinter den Kulissen so wichtig: Die mühsame Aufarbeitung, Anreicherung, Korrelation, Clusterbildung und Analyse der in der Telemetrie auftretenden Proben – wenn Bedrohungsinformationen durch langfristige Forschung und disziplinierte Analyse gestützt werden, sind Indikatoren nicht mehr nur Punkte auf einem Blatt Papier, sondern werden zu Mustern. Muster, die SOC-Teams dabei helfen, Entscheidungen schnell und sicher zu treffen.“
— Jean-Ian Boutin, Leiter der Bedrohungsforschung bei ESET
Cyber Threat Intelligence im Vergleich zu Feeds, Threat Hunting, SIEM und TIPs
Cyber Threat Intelligence wird häufig zusammen mit Threat-Intelligence-Feeds, Plattformen oder Security-Operations-Prozessen genannt. Diese Begriffe sind jedoch nicht austauschbar. Wer sie gleichsetzt, erwartet beispielsweise von einem Feed vollständigen Kontext oder geht davon aus, dass ein SIEM die eigentliche Analyse übernimmt. In der Praxis erfüllt jede dieser Komponenten eine klar definierte Aufgabe beim Erkennen, Verstehen und Abwehren von Bedrohungen.
CTI bildet dabei die kontextbezogene Ebene für fundierte Entscheidungen. Sie nutzt unterschiedliche Informationsquellen, darunter Threat-Intelligence-Feeds und Telemetriedaten, und unterstützt Arbeitsbereiche wie Erkennung, Threat Hunting oder Incident Response. Diese Unterscheidung ist wichtig. Andernfalls investieren Unternehmen womöglich in Werkzeuge oder Datenquellen, die ihr eigentliches Problem gar nicht lösen.
Die folgende Tabelle zeigt, wie diese Bausteine zusammenwirken und welche Rolle sie im Sicherheitsbetrieb jeweils übernehmen.

Woran sich nützliche Threat Intelligence erkennen lässt
Die entscheidende Frage lautet nicht, wie viele Bedrohungsdaten vorliegen, sondern ob daraus Informationen entstehen, die konkrete Fragestellungen beantworten und alltägliche Entscheidungen unterstützen.
Prüfen Sie zunächst, ob die bereitgestellten Informationen tatsächlich zu Ihrem Risikoprofil passen. Dazu gehören die für Ihr Unternehmen relevanten Branchen, Regionen und Bedrohungsakteure. Allgemein gehaltene Informationen mögen umfangreich sein, führen aber oft nicht zu konkreten Maßnahmen.
Ebenso wichtig ist der Kontext. Einzelne Indikatoren reichen selten aus. Erst Konfidenzbewertungen, Informationen zum Verhalten der Angreifer und die Zuordnung zu konkreten Angriffskampagnen ermöglichen eine fundierte Bewertung. Fehlt dieser Kontext, müssen Analysten die Zusammenhänge selbst herstellen. Das kostet Zeit und erhöht die Unsicherheit.
Genau schwerwiegend ist die Integration in bestehende Arbeitsabläufe. Müssen Informationen zunächst manuell aufbereitet oder in separaten Werkzeugen ausgewertet werden, werden sie im Alltag häufig nicht konsequent genutzt. Viele Unternehmen beziehen mehrere Threat-Intelligence-Feeds, schaffen es jedoch nicht, daraus operative Erkenntnisse abzuleiten. Fehlt die Integration in bestehende Prozesse oder die Automatisierung, bleiben viele Informationen letztlich ungenutzt.
Checkliste: Diese Fragen sollten Sie stellen
- Deckt die Threat Intelligence die für Ihr Unternehmen relevanten Regionen, Branchen und Bedrohungsakteure ab?
- Werden auch tatsächlich eingesetzte Umgebungen berücksichtigt, einschließlich OT-Systemen und Legacy-Infrastrukturen?
- Liefert sie neben Indicators of Compromise auch Kontext, Konfidenzbewertungen und relevante TTPs?
- Lassen sich die Informationen direkt in bestehende Workflows integrieren, beispielsweise über STIX/TAXII sowie SIEM-, SOAR- oder TIP-Plattformen?
- Sind die Berichte sowohl für operative Security-Teams als auch für das Management geeignet?
- Bietet der Anbieter eine Testversion oder einen Proof of Concept an, um die Eignung der Informationen zu überprüfen?
Wie ESET Threat Intelligence (ETI) fundierte Sicherheitsentscheidungen unterstützt
Threat Intelligence (ETI) wurde entwickelt, um Unternehmen nicht nur mit Bedrohungsdaten, sondern auch mit dem nötigen Kontext zu versorgen. Ziel ist es, operative und strategische Entscheidungen auf allen Ebenen der IT-Sicherheit zu unterstützen.
Zu den wichtigsten Alleinstellungsmerkmalen gehören:
Geopolitische Einblicke
ESET verfügt über umfassende Erkenntnisse zu Bedrohungsakteuren aus Regionen wie China, Nordkorea, Russland und dem Iran. Hinzu kommt die langjährige Präsenz in Mittel- und Osteuropa, einer Region, aus der ein erheblicher Teil der Infrastruktur und Aktivitäten vieler Angreifer stammt. Diese Kombination ermöglicht besonders frühe und fundierte Einblicke in neue Bedrohungen.
eCrime Intelligence auf Affiliate-Ebene
Statt sich ausschließlich auf bekannte Ransomware-Gruppen zu konzentrieren, analysiert ESET die Aktivitäten der Affiliates hinter den Angriffen. Dadurch lassen sich wiederkehrende Verhaltensmuster frühzeitig erkennen, auch wenn sich Gruppennamen oder Kampagnen ändern.
PUAs und die Grauzone legitimer Tools
Spezielle Intelligence-Feeds verfolgen legitime Anwendungen, die häufig von Angreifern missbraucht werden. Damit schließt ESET eine Lücke, die klassische Erkennungsverfahren oft offenlassen.
Standardisierte Integration
Die Threat Intelligence wird in den Formaten STIX 2.1 und JSON über TAXII bereitgestellt. Dadurch lässt sie sich direkt in Plattformen wie Microsoft Sentinel, Elastic, OpenCTI oder ThreatQuotient integrieren und ohne zusätzliche Anpassungen in bestehende Sicherheitsprozesse einbinden.
KI-gestützte Analyse und Entscheidungsunterstützung
Mit ESET Live AI* erweitert ESET seine Threat Intelligence um KI-gestützte Analysen. Große Sprachmodelle werden dabei mit kuratierten Erkenntnissen aus den APT-Berichten von ESET sowie den Recherchen von WeLiveSecurity kombiniert. Analysten erhalten dadurch schneller Antworten auf komplexe Fragestellungen und fundierte Einblicke in aktuelle APT-Kampagnen.
Die KI hilft Security-Teams dabei, deutlich schneller von Rohdaten zu verwertbaren Erkenntnissen zu gelangen. Gleichzeitig reduziert sie den Aufwand für die Interpretation umfangreicher Forschungsberichte und beschleunigt sowohl Untersuchungen als auch die Reaktion auf Vorfälle.
Kuratierte Intelligence aus unterschiedlichen Quellen
ETI umfasst eine Vielzahl spezialisierter Feeds und Berichte. Sie decken unter anderem Ransomware, Botnetze, Phishing-Infrastrukturen, Dual-Use-Anwendungen sowie eCrime- und APT-Aktivitäten ab. Dadurch erhalten Unternehmen einen umfassenden Überblick über das Verhalten von Angreifern.
Transparenz in Echtzeit
Ein wesentlicher Vorteil von ETI ist die kontinuierliche Aktualisierung auf Basis globaler Telemetriedaten und aktueller Forschungsergebnisse. Neue Bedrohungen fließen nahezu in Echtzeit in die Intelligence ein.
Vor der Bereitstellung werden sämtliche Informationen sorgfältig gefiltert, dedupliziert und mit zusätzlichem Kontext angereichert. Analysten erhalten dadurch ausschließlich hochwertige und belastbare Informationen statt redundanter oder wenig aussagekräftiger Indikatoren.
Das reduziert nicht nur Datenrauschen, sondern erhöht auch das Vertrauen in die Ergebnisse. Anstatt jedes Signal zunächst selbst validieren zu müssen, können Security-Teams schneller reagieren und sich auf die eigentliche Incident Response konzentrieren.
Langfristige Stabilität und Unabhängigkeit
Als privat geführtes Unternehmen bietet ESET langfristige Planungssicherheit. Gerade für Organisationen, die das Risiko einer Herstellerabhängigkeit bewerten müssen, ist dies ein wichtiger Aspekt.
ESET PRIVATE: Threat Intelligence für besonders anspruchsvolle Umgebungen
Große Unternehmen, Behörden und Betreiber kritischer Infrastrukturen sind auf besonders präzise Bedrohungsinformationen angewiesen. Durch die direkte Integration von CTI in den SOC-Betrieb lassen sich Bedrohungen kontinuierlich überwachen, Vorfälle schneller bearbeiten und Entscheidungen besser an die jeweilige Umgebung anpassen.
Deshalb bietet ESET im Rahmen von ESET PRIVATE neben Intelligence-Feeds und Berichten auch maßgeschneiderte Cyber Threat Intelligence an. ESET PRIVATE Threat Intelligence liefert einzigartige geopolitische und branchenspezifische Kontextinformationen, die auf die jeweilige Umgebung zugeschnitten sind. Dabei werden Frühwarnungen, Überwachung und exklusive Forschungsergebnisse im Rahmen einer strategischen Servicepartnerschaft kombiniert, um den individuellen digitalen Gegebenheiten eines Kunden besser gerecht zu werden.
Fazit
Cyber Threat Intelligence wird häufig als reine Informationsquelle betrachtet. Tatsächlich geht es jedoch um fundierte Entscheidungen in einer IT-Landschaft, die immer komplexer wird und sich ständig verändert.
Ob Unternehmen von CTI profitieren, hängt deshalb nicht allein vom Zugang zu Bedrohungsdaten ab. Entscheidend ist, ob diese Informationen in sämtliche Sicherheitsprozesse eingebunden werden können, von der Priorisierung einzelner Warnmeldungen über Threat Hunting und Schwachstellenmanagement bis hin zur strategischen Sicherheitsplanung.
Wie dieser Beitrag zeigt, entfaltet Cyber Threat Intelligence ihren Nutzen erst dann vollständig, wenn sie auf die jeweilige Umgebung zugeschnitten ist. Sie muss reale Bedrohungen widerspiegeln, sich nahtlos in bestehende Systeme integrieren lassen und sowohl operative als auch strategische Entscheidungen unterstützen.
Unternehmen, die CTI lediglich als Sammlung von Indicators of Compromise betrachten, werden weiterhin mit Datenrauschen kämpfen. Wer Threat Intelligence dagegen als integralen Bestandteil seiner Sicherheitsprozesse versteht, gewinnt einen entscheidenden Vorteil: mehr Überblick, bessere Priorisierung und fundiertere Entscheidungen.
*Früher bekannt als ESET AI Advisor
FAQ
Was ist Cyber Threat Intelligence (CTI)?
Cyber Threat Intelligence (CTI) umfasst analysierte und in einen Kontext gesetzte Informationen über Cyberbedrohungen. Im Gegensatz zu einzelnen Indikatoren zeigt CTI, wie Bedrohungen mit bekannten Angriffsmethoden, Kampagnen und der eigenen IT-Umgebung zusammenhängen. Ziel ist es, aus einzelnen Signalen verwertbare Erkenntnisse zu gewinnen, damit Sicherheitsteams fundierte Entscheidungen treffen und schneller reagieren können.
Welche drei Arten von CTI gibt es?
Cyber Threat Intelligence wird in taktische, operative und strategische CTI unterteilt. Taktische CTI unterstützt die Erkennung und Analyse anhand von Indicators of Compromise (IoCs) und Taktiken, Techniken sowie Verfahren (TTPs). Operative CTI beschreibt Angriffskampagnen und das Vorgehen von Angreifern. Strategische CTI liefert einen übergeordneten Blick auf Risiken, Trends und Entwicklungen. Dabei handelt es sich nicht um Reifegrade, sondern um unterschiedliche Perspektiven, die parallel genutzt werden.
Was ist der Unterschied zwischen Bedrohungsdaten und Threat Intelligence?
Bedrohungsdaten sind einzelne Beobachtungen, etwa eine verdächtige IP-Adresse, eine Domain oder ein Datei-Hash. Threat Intelligence ergänzt diese Informationen um Kontext, indem sie Zusammenhänge zu Angriffskampagnen, Angreifern und deren Vorgehensweisen herstellt. Erst dadurch lässt sich beurteilen, ob ein Vorfall tatsächlich relevant ist. Ohne diesen Kontext bleiben einzelne Indikatoren isolierte Signale, die zwar Aufwand verursachen, aber nur wenig Erkenntnisgewinn liefern.
Wie nutzen SOC-Teams CTI?
Security Operations Center (SOC) nutzen Cyber Threat Intelligence, um Warnmeldungen einzuordnen, Untersuchungen zu priorisieren, Threat Hunting gezielter durchzuführen und die Incident Response zu unterstützen. Darüber hinaus fließt CTI in Plattformen wie SIEM, SOAR und XDR ein, wo sie Ereignisse automatisch anreichert und die Entscheidungsfindung beschleunigt. Richtig integriert hilft CTI Analysten dabei, sich auf die tatsächlich relevanten Bedrohungen zu konzentrieren.
Was unterscheidet Threat Intelligence von Threat Hunting?
Threat Intelligence liefert Informationen über wahrscheinliche Bedrohungen, das Verhalten von Angreifern und deren Vorgehensweisen. Threat Hunting ist dagegen die aktive Suche nach Hinweisen auf diese Bedrohungen innerhalb der eigenen IT-Umgebung. CTI liefert die Grundlage für das Threat Hunting, ersetzt die eigentliche Untersuchung jedoch nicht.
Lässt sich CTI in SIEM-Lösungen integrieren?
Ja. Cyber Threat Intelligence lässt sich über Standards wie STIX und TAXII sowie über native Schnittstellen in SIEM-, SOAR- und TIP-Plattformen integrieren. Dadurch können Ereignisse automatisch mit zusätzlichen Informationen angereichert, Zusammenhänge besser erkannt und Reaktionen teilweise automatisiert werden. CTI wird so zum festen Bestandteil bestehender Sicherheitsprozesse.
Was ist die „Grauzone“ bei CTI?
Als Grauzone werden Werkzeuge und Aktivitäten bezeichnet, die weder eindeutig bösartig noch eindeutig harmlos sind. Dazu zählen beispielsweise Fernwartungslösungen oder potenziell unerwünschte Anwendungen (PUAs). Da Angreifer diese legitimen Tools häufig missbrauchen, ist ihre Erkennung besonders schwierig. CTI liefert den notwendigen Kontext, um verdächtige Nutzungsmuster zu erkennen und frühe Hinweise auf eine mögliche Kompromittierung zu erhalten.
Warum ist eCrime Intelligence auf Affiliate-Ebene so wichtig?
Viele Analysen konzentrieren sich auf bekannte Ransomware-Gruppen. Tatsächlich werden Angriffe jedoch häufig von Affiliates durchgeführt, die Werkzeuge und Infrastruktur kampagnenübergreifend wiederverwenden. Threat Intelligence auf Affiliate-Ebene macht diese Zusammenhänge sichtbar und hilft Verteidigern, Angriffsmuster frühzeitig zu erkennen – selbst dann, wenn sich Gruppennamen oder Ransomware-Marken ändern.





