Thought Leadership
Cyber Threat Intelligence (CTI) ist ein Feld voller hartnäckiger Halbwahrheiten, die auf den ersten Blick einleuchten, doch unhinterfragt durchaus Schaden anrichten können.
Das mag daran liegen, dass sich CTI in den letzten Jahren vom Nischenthema zum Kernaspekt vieler Sicherheitsstrategien entwickelt hat. Auch die EU hat diese Wichtigkeit erkannt und mit NIS-2 die Implementierung von Risikomanagement-Maßnahmen vorgeschrieben. Das beinhaltet auch den Austausch von „Kompromittierungsindikatoren, gegnerischen Taktiken und bedrohungsspezifischen Informationen“ unter KRITIS-Betreibern.
Doch je mehr über Threat Intelligence gesprochen wird, desto mehr Missverständnisse entstehen. Einige von ihnen sind so weit verbreitet, dass sie sich selbst in erfahrenen Teams hartnäckig halten. Die folgenden zehn Irrtümer über CTI können jedes Unternehmen Zeit, Budget, den guten Ruf und im schlimmsten Fall ihre eigene Sicherheit kosten. Doch sie sind alles andere als alternativlos.
„Threat Intelligence ist ein Feed.“
Aus einer Liste an Informationen entsteht noch keine „Intelligenz“. Ein Feed ist erstmal lediglich eine Liste an Indikatoren: IP-Adressen, Hashwerte, Domains. Intelligence entsteht erst, wenn diese Indikatoren mit dem Kontext der eigenen Organisation verknüpft werden und daraus eine handlungsrelevante Einschätzung wird. Eine Wetterstation meldet: Luftdruck 987 hPa, Temperatur 14 Grad, Windgeschwindigkeit 40 km/h. Intelligence sagt: Ein Sturmtief zieht auf, bereiten Sie sich vor. Wer sein CTI-Programm darauf beschränkt, Indikatoren in ein SIEM einzuspeisen und vierteljährlich eine Rechnung zu bezahlen, hat keine Threat Intelligence, sondern ein Abo. Standards wie STIX 2.1 und TAXII existieren genau deshalb: Sie ermöglichen es, nicht nur Indikatoren zu transportieren, sondern auch den Kontext: Kampagnen, Bedrohungsakteure und deren Beziehungen zueinander. Der Test ist einfach: Einen beliebigen Indikator aus dem Feed nehmen und die Frage stellen: „Was bedeutet das konkret für uns?“ Wenn die Antwort fehlt, fehlt die Intelligence.
„Mehr Daten sind bessere Daten.“
Zehn Feeds übereinanderzulegen, produziert nicht zehnmal mehr Erkenntnis, sondern zehnmal mehr Aufwand. Denn dann wollen zahllose Dubletten dezimiert werden. Die richtige Frage lautet nicht „Wie viel Info haben wir?“, sondern „Wie relevant ist die jeweilige Information?“. Priority Intelligence Requirements (PIRs) dienen hier als Filter, und zwar mit vorab definierten Prioritäten, die festlegen, welche Informationen für die eigene Organisation am wichtigsten sind. Wenn eine Plattform einen Indikator nicht einem definierten PIR zuordnen kann, also keiner relevanten Angriffskampagne, keinem bekannten Bedrohungsakteur, keiner priorisierten Schwachstelle, arbeiten nicht die Daten für den Analysten, sondern der Analyst für die Daten. Die Konsequenz ist ebenso einfach wie unbequem: Wer keine drei PIRs benennen kann, bevor er den nächsten Feed evaluiert, hat die Grundlage für diese Entscheidung noch nicht gelegt.
„Attribution ist das Ziel.“
In Krimis ist nichts zentraler als die Frage „Wer war es?“. Bei Threat Intelligence ist das zwar interessant zu wissen, aber aus Sicherheitsperspektive unzureichend. Dass die Hackergruppe APT-X schuld an einem Angriff war, ist spannend, aber welche Techniken staatlich gesponserte Gruppen gegen die eigene Branche einsetzen und welche davon die eigenen Erkennungssysteme nicht abdecken, das ist wirklich nützlich. Gerichtsfeste Attribution ist Aufgabe von Strafverfolgungsbehörden. Die Aufgabe eines CTI-Teams ist jedoch die operative Zuordnung, um Aktivitäten clustern und Entscheidungen steuern zu können. Wer die beiden verwechselt, endet in Handlungsunfähigkeit oder falscher Sicherheit. Ein erster Schritt: Jede Attribution-Aussage im nächsten Bericht durch eine TTP-Aussage ergänzen, nicht nur „wer“, sondern „wie und womit“.
„Threat Intel teilen schadet unserer Wettbewerbsfähigkeit.“
Beim Teilen von Threat Intelligence gibt es zwei etablierte Irrtümer: Entweder denken Unternehmen, dass sie sich damit konkurrenzunfähig machen, oder sie halten ihre Daten für unzureichend. Die Messlatte ist jedoch nicht Vollständigkeit, sondern Relevanz. Wer einen Angriff beobachtet hat, der auf die eigene Branche zielt, hat bereits etwas zu teilen, unabhängig davon, ob die Attribution gesichert ist. Denn der Hacker, der eine Bank angreift, ist derselbe, der auch die konkurrierende Bank nebenan angreift. Eigene Erkenntnisse über Bedrohungen als Wettbewerbsvorteil zu behandeln, ist, als würde ein Krankenhaus den Kollegen nicht melden, welcher Erreger gerade kursiert, während derselbe Erreger längst das nächste Haus befallen hat. Initiativen wie ISACs, STIX/TAXII-Communities und branchenspezifische Austauschgruppen existieren genau deshalb: damit die Erkenntnis einer Organisation zum Schutz vieler wird, und zwar mit klar definierten Regeln für Vertraulichkeit und Weitergabe. Der Einstieg ist meist niedrigschwelliger als erwartet, denn die meisten Branchen haben bereits einen ISAC, und die Beitrittsbedingungen sind selten das eigentliche Hindernis.
„Unser SOC wird schon wissen, was damit anzufangen ist.“
Security Operations Center sind auf Reaktion optimiert, nicht auf Interpretation. Wenn das Intelligence-Team einen strategischen Bericht erstellt und die einzige Schnittstelle zum SOC eine PDF-Datei mit Indicators of Compromise ist, geht der gesamte analytische Mehrwert verloren. Die Lösung: Intelligence in der Form liefern, die der jeweilige Empfänger braucht: taktische IOCs für das SOC, Abdeckungslücken für das Detection Engineering, Trendanalysen für den CISO und aufbereitete Briefings für den Vorstand. Eine Plattform muss alle Perspektiven enthalten und besagte Formate aus demselben Wissensfundus erzeugen können. Sonst ist sie keine CTI-Plattform, sondern eine Datenbank mit Formatierungsproblemen. Der praktische Test: Wer heute denselben Bericht an alle Empfänger schickt, hat nicht ein Kommunikationsproblem, sondern ein Strukturproblem.
„Strategische Intelligence ist Kosmetik für die Chefetage.“
Vieles, was unter dem Etikett der „Intelligence“ läuft, besteht aus Foliensätzen mit Stockfotos und ist eher kosmetisches Marketing als echte Sicherheitsstrategie. Doch richtig betriebene CTI, die Analyse von Angreifer-Motivation, branchenspezifischen Angriffsmustern und regulatorischen Veränderungen, entscheidet darüber, ob das Sicherheitsbudget im nächsten Jahr überhaupt noch existiert. Vorstände genehmigen keine Erkennungsregeln, sie genehmigen gute Argumente. Wer ausschließlich taktische Intelligence produziert, ist nur einen Schlussstrich des skeptischen CFOs davon entfernt, dieses Fazit zu hören: „Nehmen wir die kostenlosen Feeds, die sehen doch genauso aus.“ Dabei ist strategische Intelligence keine Frage des Budgets, sondern der Disziplin. NIS-2 schreibt Risikomanagement vor. Wer dem Vorstand erklären muss, warum ein bestimmter Bedrohungsakteur für die eigene Branche relevant ist, hat bereits den Auftrag für strategische CTI erhalten. Der nächste strategische Bericht sollte mit einem einzigen Satz beginnen: „Diese Bedrohung kostet uns X, wenn wir nichts tun.“
„MITRE ATT&CK-Abdeckung bedeutet Sicherheit.“
Das ATT&CK-Framework, eine Wissensdatenbank, die Angriffstechniken systematisch katalogisiert, ist ein hervorragendes Werkzeug. Die Heatmap, die daraus entsteht, regelmäßig anzuschauen, bedeutet jedoch nicht, dass man hinter das To-Do „Threat Intelligence“ einen Haken setzen kann. Eine Technik als „abgedeckt“ zu markieren, weil man nun Erkennungsmöglichkeiten für einen Teilaspekt der CTI hat, ist ein Kategorienfehler. ATT&CK ist eine Sprache, um Angreiferverhalten zu beschreiben, keine Checkliste, um sich dagegen zu verteidigen. Ob die vermeintliche Abdeckung hält, zeigt erst die regelmäßige Validierung durch Angriffssimulationen, und die Antwort überrascht meistens.
„KI wird die Analyse für uns übernehmen.“
Large Language Models leisten Bemerkenswertes bei Zusammenfassungen, Extraktion und Mustererkennung. Sie sind jedoch auch in der Lage, mit großem Selbstbewusstsein falsch zu antworten, ohne es zu merken. Ein LLM, das im Board-Briefing das Angriffsprofil einer APT-Gruppe halluziniert, ist schlimmer als gar kein Briefing. KI verändert nur den Hebel des Analysten, nicht seine Aufgabe. Der CTI-Analyst des Jahres 2026 ist ein Pilot mit besseren Instrumenten, kein Passagier, der glaubt zu fliegen. Das ändert sich mit dem Aufkommen von Agentic AI: nicht als Ersatz für den Analysten, sondern als strukturierter Workflow, der Anreicherung, Analyse und Priorisierung koordiniert – mit dem Analysten als Entscheidungsinstanz am Ende der Kette. Der Hebel wird größer. Die Verantwortung bleibt dieselbe.
„Die Plattform ist nur ein Speicher für IOCs.“
Eine moderne Threat-Intelligence-Plattform ist ein Graph. Ihr Zweck ist es, einen Indikator mit beispielsweise einer Malware-Familie zu verknüpfen, der wiederum mit einer Angreifergruppe verbunden ist und mit einer Kampagne zusammenhängt, die am Ende eine bestimmte Branche angreift. Wer entlang dieser Verbindungen navigiert, findet Fragen, die man vorher nicht zu stellen wusste. Die Plattform als IOC-Liste zu behandeln, sorgt jedoch bestenfalls dafür, dass man eine bessere Firewall-Blockliste hat. Schlimmstenfalls wird daraus ein Datenfriedhof, für den die Finanzabteilung Geld bezahlt. Der Schnelltest: Einen beliebigen Indikator in der eigenen Plattform aufrufen und zählen, wie viele Beziehungen er hat. Wer bei null landet, hat keinen Graphen, sondern eine Liste.
„Der Reifegrad ist erreicht, weil wir ein CTI-Team haben.“
Nicht an der Existenz einer einzigen Funktion, sondern an der nachweisbaren Verkürzung des Weges zwischen produzierter Intelligence und veränderter Entscheidung misst sich der Reifegrad. Ein Zweierteam mit klaren PIRs und der Disziplin, Berichte abzuschaffen, die niemand liest, ist reifer als ein fünfzehnköpfiges Team, das pro Quartal vierzig PDFs ohne nachweisbare Wirkung produziert. Hinzu kommt ein strukturelles Problem, das selten offen angesprochen wird: CTI-Analysten gehören zum gefragtesten und gleichzeitig am stärksten belasteten Personal in der Sicherheitsbranche. Wer täglich Bedrohungslagen bewertet, Kampagnen verfolgt und gleichzeitig Berichte für vier verschiedene Zielgruppen produziert, brennt aus. Meist passiert das still und wird erst sichtbar, wenn die Stelle neu ausgeschrieben werden muss. Ein CTI-Programm, das seinen Reifegrad an Teamgröße misst, übersieht, dass es gleichzeitig seine eigene Wissensbasis verschleißt. Der schonungslose Test: Drei Entscheidungen der letzten 90 Tage benennen, die sich aufgrund der CTI geändert haben. Ist die Liste zu kurz, liegt das Problem nicht beim Team, sondern beim Feedback-Loop und möglicherweise daran, dass das Team längst damit beschäftigt ist, den laufenden Betrieb aufrechtzuerhalten, statt Intelligence zu produzieren.
Fazit
Wer sich bei mehreren dieser Punkte ertappt fühlt, ist in guter Gesellschaft. Entscheidend ist jedoch, die Irrtümer zu erkennen, die gerade stillschweigend Ressourcen kosten, und sie systematisch abzustellen. Dabei helfen einige Leitplanken:
- Jedes CTI-Programm sollte mit klaren Anforderungen beginnen, nicht mit Feeds. Denn Priority Intelligence Requirements bestimmen, was überhaupt relevant ist, und alles andere leitet sich daraus ab.
- Die Investitionen sollten in den Graphen fließen, nicht in einen Feed, weil Indikatoren ohne Beziehungen zueinander kaum mehr sind als Rauschen mit Zeitstempel.
- Jede Annahme über die eigene Abdeckung verdient zudem eine Validierung durch Angriffssimulationen, weil sich erst dort zeigt, ob sie in der Praxis hält.
- Und schließlich sollte der Erfolg eines CTI-Programms an veränderten Entscheidungen gemessen werden, nicht an der Anzahl geschriebener Berichte, denn das ist letztlich die einzige Kennzahl, die zählt.
Keiner dieser Irrtümer ist unumkehrbar. Das zeigt nicht zuletzt die wachsende Community rund um die Open-Source-Plattform OpenCTI, die Sicherheitsteams dazu befähigt, die genannten Muster zu erkennen und abzustellen. Wer die kritische Selbstbetrachtung wagt und diese zehn Punkte systematisch angeht, kann die Wirkung seines CTI-Programms innerhalb kürzester Zeit spürbar verändern und das Potenzial von Threat Intelligence im Sinne der Unternehmenssicherheit nachweislich ausschöpfen.
