Thought Leadership
Eine neue SANS-Studie zeigt: Cyber-Threat-Intelligence-Teams kämpfen mit Unterbesetzung, fehlendem Budget und mangelndem Nachweis ihrer Wirksamkeit, obwohl Führungskräfte durchaus wissen, was sie von ihnen wollen.
Das SANS Institute hat seinen Bericht „2026 Cyber Threat Intelligence Survey Insights“ veröffentlicht und die Ergebnisse zeichnen ein ernüchterndes Bild. Obwohl CTI-Programme in den vergangenen Jahren erheblich an Bedeutung gewonnen haben, schaffen es nur wenige, wirklich Einfluss auf Entscheidungen in den Chefetagen zu nehmen.
Wertschätzung ja, Einfluss nein
Das Paradox der Studie zeigt sich in zwei Zahlen: 91 Prozent der befragten CISOs und CSOs halten CTI für wertvoll oder extrem wertvoll für ihre Cybersicherheitsstrategie. Doch nur 26 Prozent geben an, dass CTI ihre Entscheidungen auch signifikant beeinflusst. Der mit Abstand größte Anteil von 42 Prozent sagt, CTI beeinflusse Entscheidungen lediglich mäßig.
Was Führungskräfte wirklich wollen
Die Studie basiert auf Antworten von 401 Cybersicherheitsexperten weltweit, die zwischen November 2025 und Januar 2026 gesammelt wurden. Erstmals enthält sie auch ein dediziertes Modul mit Antworten von 67 CISOs und CSOs und liefert damit Einblicke von beiden Seiten: den Analysten, die Informationen liefern, und den Führungskräften, die damit umgehen müssen.
Die Prioritäten der Sicherheitsverantwortlichen für die nächsten zwölf Monate sind klar: 79 Prozent wünschen sich Informationen über aktiv ausgenutzte Schwachstellen, 77 Prozent fordern konkrete Angreifer-TTPs (Tactics, Techniques, and Procedures). Breite Informationen zu Angriffstendenzen folgen mit 64 Prozent, markenbezogene Bedrohungshinweise mit 62 Prozent. Detaillierte Informationen zu Angreifergruppen (46 %) sowie zur Monetarisierung gestohlener Daten (44 %) sind ebenfalls gefragt. Malware-Details interessieren 39 Prozent.
Kleine Teams, wachsende Aufgabenliste
Hier liegt ein Kernproblem: Die meisten formellen CTI-Teams bestehen weiterhin aus weniger als vier Vollzeitmitarbeitern, während der Umfang der Anforderungen stetig wächst. 44 Prozent der Befragten nennen sowohl fehlende Zeit als auch mangelndes Budget als größte Hindernisse für eine effektive Umsetzung.
Noch gravierender ist das Messproblem: 57 Prozent der Programme verfolgen ihren eigenen Reifegrad nicht systematisch nach, und 49 Prozent sammeln kein strukturiertes Feedback zur Wirksamkeit ihrer Arbeit. Wer nicht belegen kann, was er leistet, hat es schwer, sein Budget zu rechtfertigen.
KI im Einsatz, Compliance als Lücke
Immerhin 45 Prozent der Organisationen setzen inzwischen KI in CTI-Programmen ein, vor allem zur Datenzusammenfassung und Berichterstellung, mit dem Menschen weiterhin als Kontrollinstanz im Loop. Gleichzeitig fehlen in mehr als der Hälfte der Organisationen rechtlich geprüfte Prozesse für den CTI-Austausch, ein strukturelles Risiko angesichts der ab 2026 greifenden Anforderungen aus NIS2 und dem Cyber Resilience Act.
Positiv: Sicherheitsoperationen haben mit 71 Prozent erstmals seit 2022 wieder den Spitzenplatz bei den CTI-Anwendungsfällen zurückerobert und die Bedrohungssuche überholt. Das deutet darauf hin, dass Intelligence zunehmend in den täglichen Verteidigungsablauf eingebettet wird.
