CTI
SANS Studie zeigt: Cyber Threat Intelligence ist anerkannt aber noch nicht entscheidungsprägend
Nur 26 Prozent der CISOs sehen Cyber Threat Intelligence dort, wo sie wirken müsste
Cyber Threat Intelligence soll Unternehmen schneller, präziser und strategischer gegen Angriffe wappnen – doch genau an der entscheidenden Stelle hakt es. Eine neue SANS-Studie zeigt: CTI wird zwar anerkannt, kommt aber noch zu selten dort an, wo Budgets, Risikoentscheidungen und Prioritäten entstehen. Für Sicherheitschefs ist das ein Gamechanger, weil aus technischen Bedrohungsdaten künftig belastbare Entscheidungsgrundlagen für Vorstand, SOC und Risikomanagement werden müssen.
Das SANS Institute hat mit den „2026 Cyber Threat Intelligence Survey Insights“ einen neuen Bericht zur Rolle von Cyber Threat Intelligence in Unternehmen veröffentlicht. Die Untersuchung zeigt eine deutliche Lücke zwischen dem wahrgenommenen Wert von CTI und dem tatsächlichen Einfluss auf Managemententscheidungen. Besonders brisant: Lediglich 26 Prozent der befragten CISOs und CSOs bewerten CTI offenbar so, dass sie im strategischen Entscheidungsprozess bereits den Stellenwert erreicht, den viele Security-Teams seit Jahren anstreben.
Der Bericht wurde von Rebekah Brown und Andreas Sfakianakis, beide Instructors beim SANS Institute, verfasst. Grundlage sind Antworten von 401 qualifizierten Cybersicherheitsexperten weltweit, die zwischen November 2025 und Januar 2026 erhoben wurden. Erstmals enthält die SANS-CTI-Umfrage zudem ein eigenes Modul für Sicherheitsverantwortliche: 67 CISOs und CSOs gaben Auskunft darüber, wie sie Cyber Threat Intelligence nutzen, priorisieren und in Entscheidungen einfließen lassen.
CTI ist anerkannt – aber noch nicht entscheidungsprägend genug
Die zentrale Erkenntnis der Studie: Cyber Threat Intelligence hat sich in vielen Organisationen etabliert, aber der Sprung von operativer Analyse zu strategischem Einfluss ist noch nicht geschafft. CTI-Teams liefern zwar wichtige Informationen über Angreifer, Schwachstellen und Angriffsmuster. Doch häufig fehlt die Übersetzung in geschäftsrelevante Konsequenzen: Welche Risiken sind akut? Welche Investitionen sind notwendig? Welche Bedrohungen haben Priorität für Vorstand, CISO und Security Operations?
„In diesem Jahr verfügen wir über direkte Daten von beiden Seiten. CTI-Programme haben Jahre damit verbracht, ihren Wert unter Beweis zu stellen. Die Daten für 2026 zeigen, dass die nächste Herausforderung darin besteht, diese Anerkennung in Entscheidungen, Budgets und Maßnahmen umzusetzen“, erklärt Rebekah Brown, Senior Researcher beim SANS Institute und Mitautorin des Berichts.
Was CISOs von Cyber Threat Intelligence erwarten
Die Antworten der Sicherheitsverantwortlichen zeigen klar, welche Informationen für die nächsten zwölf Monate besonders relevant sind. Ganz oben stehen Hinweise auf Schwachstellen, die bereits aktiv von Angreifern ausgenutzt oder gezielt ins Visier genommen werden. 79 Prozent der Führungskräfte nennen diesen Bereich als Priorität. Fast ebenso wichtig sind konkrete Informationen zu Taktiken, Techniken und Vorgehensweisen von Angreifern: 77 Prozent der Befragten wollen bessere Einblicke in TTPs.
Auffällig ist dagegen die vergleichsweise niedrige Priorisierung geschäftsorientierter CTI-Berichte. Nur 41 Prozent nennen diese als relevante Berichtskategorie. Der SANS-Bericht deutet das nicht als fehlendes Interesse an Business-Kontext, sondern als Produktionslücke: Viele CTI-Programme liefern weiterhin vor allem technische Informationen, während entscheidungsorientierte Risikoübersetzungen seltener entstehen.
Kleine CTI-Teams sollen immer mehr leisten
Ein weiteres Problem liegt in der Ressourcenausstattung. Viele formelle CTI-Teams bestehen weiterhin aus weniger als vier Vollzeitmitarbeitern. Gleichzeitig wächst die Liste der Aufgaben: Unterstützung für Security Operations, Schwachstellenmanagement, Threat Hunting, Incident Response, Risikomanagement, Vorstandskommunikation und zunehmend auch KI-gestützte Analyseprozesse. Jeweils 44 Prozent der Befragten nennen fehlende Zeit für neue Prozesse und mangelnde Finanzmittel als wichtigste Hindernisse für eine wirksame CTI-Implementierung. Hinzu kommt ein Messproblem: 57 Prozent der CTI-Programme verfolgen ihren Reifegrad nicht systematisch über die Zeit. 49 Prozent sammeln kein strukturiertes Feedback zur Wirksamkeit ihrer Arbeit. Ohne solche Kennzahlen wird es schwer, den Nutzen von CTI gegenüber Management und Budgetverantwortlichen zu belegen.
KI hält Einzug in CTI – aber der Mensch bleibt Kontrollinstanz
Auch Künstliche Intelligenz spielt in Cyber Threat Intelligence eine wachsende Rolle. Laut Bericht setzen 45 Prozent der Organisationen bereits KI in CTI-Programmen ein. Am häufigsten wird sie für Zusammenfassungen, Datenaufbereitung und Berichtserstellung genutzt. Dennoch dominiert weiterhin ein Human-in-the-Loop-Modell: Analysten bleiben für Bewertung, Kontextualisierung und Freigabe entscheidend.
Das ist besonders relevant, weil CTI-Teams mit immer größeren Datenmengen umgehen müssen. KI kann helfen, Signale schneller zu verdichten und repetitive Aufgaben zu beschleunigen. Sie ersetzt aber nicht die fachliche Einschätzung, ob eine Bedrohung tatsächlich relevant, priorisiert oder handlungsleitend ist.
Rechtlich geprüfte Austauschprozesse fehlen vielerorts
Der Bericht macht zudem auf ein strukturelles Risiko aufmerksam: Mehr als die Hälfte der Organisationen, 55 Prozent, verfügt nicht über rechtlich geprüfte Prozesse für den Austausch von Cyber Threat Intelligence. Das ist mit Blick auf neue regulatorische Anforderungen problematisch. NIS2 und der Cyber Resilience Act erhöhen ab 2026 den Druck auf Unternehmen, Sicherheitsinformationen belastbar, nachvollziehbar und regelkonform zu verarbeiten und weiterzugeben.
SANS bewertet diesen Mangel nicht als bloßes Verwaltungsproblem, sondern als strategische Schwachstelle. Wenn Organisationen Bedrohungsinformationen nicht sicher, rechtssicher und effizient teilen können, verlieren sie im Ernstfall Zeit – und möglicherweise auch Vertrauen bei Partnern, Kunden und Behörden. Security Operations rücken wieder in den Mittelpunkt
Bei den CTI-Anwendungsfällen liegen Security Operations mit 71 Prozent erneut an der Spitze. Damit verdrängen sie Threat Hunting vom ersten Platz. Der Befund zeigt, dass Threat Intelligence wieder stärker in tägliche Verteidigungsabläufe eingebettet wird: in Alarmbewertung, Detection Engineering, Incident Response und Priorisierung von Schwachstellen.
Für Unternehmen ist das eine gute Nachricht – aber nur, wenn CTI nicht im SOC stecken bleibt. Der eigentliche Mehrwert entsteht, wenn operative Erkenntnisse zugleich in strategische Entscheidungen übersetzt werden: Welche Angreifergruppen sind relevant? Welche Assets sind besonders gefährdet? Welche Investitionen reduzieren das Risiko messbar?
Einordnung: CTI muss zur Entscheidungssprache werden
Die SANS-Umfrage 2026 zeigt damit weniger ein Akzeptanzproblem als ein Übersetzungsproblem. Cyber Threat Intelligence ist in der Sicherheitsorganisation angekommen, aber noch nicht flächendeckend im Management. Damit CTI mehr Einfluss gewinnt, müssen Programme ihren Nutzen belegen, Feedback systematisch erfassen und Bedrohungsdaten stärker in Risiko-, Budget- und Geschäftsentscheidungen übersetzen.
Für CISOs bedeutet das: Wer CTI strategisch nutzen will, sollte nicht nur nach mehr Daten fragen, sondern nach besseren Entscheidungen. Für Analysten bedeutet es: Der Wert ihrer Arbeit steigt, wenn sie technische Bedrohungsinformationen in klare Prioritäten, konkrete Handlungsoptionen und messbare Risikoreduktion übersetzen.
Der zugehörige Webcast ist bei SANS Institute verfügbar.
