Cyber Threat Intelligence - Irrtümer

Diese zehn CTI-Irrtümer machen Unternehmen angreifbarer, als sie glauben

, Filigran | Autor: Herbert Wieler

Diese zehn CTI-Irrtümer machen Unternehmen angreifbarer, als sie glauben

Cyber Threat Intelligence: Zehn häufige Fehler in CTI-Programmen und wie Unternehmen sie vermeiden

Cyber Threat Intelligence gilt in vielen Unternehmen als Sicherheitsbooster. In der Praxis wird sie jedoch oft auf Feeds, PDFs und IOC-Listen reduziert – und verliert genau dadurch ihren Wert. Der eigentliche Gamechanger entsteht erst, wenn CTI nicht nur Daten sammelt, sondern Entscheidungen verändert: im SOC, im Detection Engineering, beim CISO und im Vorstand.

Oliver Keizers, VP Sales Central EMEA bei Filigran erläutert die Irrtümer.

Cyber Threat Intelligence, kurz CTI, ist längst kein Spezialthema für wenige Analysten mehr. Sie ist zu einem zentralen Baustein moderner Cybersecurity-Strategien geworden.

Oliver Keizers, VP Sales Central EMEA bei Filigran
Oliver Keizers, VP Sales Central EMEA bei Filigran

Mit NIS-2 steigt zusätzlich der regulatorische Druck: Betreiber kritischer Infrastrukturen und viele weitere Organisationen müssen Risikomanagement-Maßnahmen etablieren und bedrohungsrelevante Informationen wie Kompromittierungsindikatoren, Angriffstaktiken und Threat-Actor-Informationen besser austauschen.

Doch je wichtiger CTI wird, desto hartnäckiger halten sich Missverständnisse. Einige klingen plausibel, sind aber gefährlich. Sie kosten Zeit, Budget, Reputation und im schlimmsten Fall Sicherheit. Die folgenden zehn Irrtümer zeigen, warum selbst fortgeschrittene Cyber-Threat-Intelligence-Programme immer wieder in dieselben Fallen tappen – und wie Unternehmen es besser machen können.

Ein Feed macht noch keine Threat Intelligence

Ein Feed ist noch keine Intelligence. Er liefert zunächst nur Daten: IP-Adressen, Hashwerte, Domains oder URLs. Wirkliche Threat Intelligence entsteht erst, wenn diese Indikatoren in den Kontext der eigenen Organisation gesetzt werden.

Der Unterschied ist entscheidend. Eine Wetterstation meldet Luftdruck, Temperatur und Windgeschwindigkeit. Intelligence sagt: Ein Sturm zieht auf, bereiten Sie sich vor. Genauso reicht es nicht, Indikatoren automatisch in ein SIEM einzuspeisen und dafür regelmäßig eine Rechnung zu bezahlen. Das ist kein CTI-Programm, sondern ein Datenabo. Standards wie STIX 2.1 und TAXII wurden genau dafür geschaffen, mehr als reine Indikatoren zu transportieren. Sie helfen dabei, Beziehungen zwischen Kampagnen, Malware, Bedrohungsakteuren, Taktiken und Techniken sichtbar zu machen.

Der einfache Test lautet: Nehmen Sie einen beliebigen Indikator aus Ihrem Feed und fragen Sie: „Was bedeutet das konkret für unser Unternehmen?“ Wenn darauf keine klare Antwort folgt, fehlt nicht der Feed – sondern die Intelligence.

Mehr Daten bedeuten nicht automatisch mehr Sicherheit

Viele Unternehmen glauben, zehn Threat-Intelligence-Feeds seien besser als einer. In Wirklichkeit erzeugen sie oft nicht mehr Erkenntnis, sondern mehr Rauschen. Dubletten, irrelevante Indikatoren und unklare Prioritäten binden Analystenzeit. Die entscheidende Frage lautet daher nicht: „Wie viele Daten haben wir?“ Sondern: „Welche Informationen sind für uns wirklich relevant?“

Hier kommen Priority Intelligence Requirements, kurz PIRs, ins Spiel. Sie definieren vorab, welche Bedrohungen, Angreifergruppen, Schwachstellen oder Branchenrisiken für die eigene Organisation besonders wichtig sind. Kann eine Plattform einen Indikator keinem PIR zuordnen, arbeitet nicht die Datenbasis für den Analysten. Dann arbeitet der Analyst für die Datenbasis. Die unbequeme Konsequenz: Wer keine drei klaren PIRs benennen kann, sollte keinen weiteren Feed evaluieren. Zuerst muss geklärt werden, welche Entscheidungen CTI überhaupt unterstützen soll.

Wer den Angreifer benennt, hat das Problem noch nicht gelöst

In Krimis zählt vor allem die Frage: Wer war es? In der Cyber Threat Intelligence ist diese Frage zwar spannend, aber selten die wichtigste. Ob eine Attacke von APT-X, einer kriminellen Gruppe oder einem staatlich unterstützten Akteur stammt, kann relevant sein. Für die Verteidigung ist jedoch oft wichtiger, wie der Angriff durchgeführt wurde: Welche Taktiken, Techniken und Prozeduren wurden eingesetzt? Welche davon erkennt das eigene Security-Team bereits? Wo bestehen Lücken?

Gerichtsfeste Attribution ist Aufgabe von Strafverfolgungsbehörden. CTI-Teams brauchen vor allem operative Einordnung. Sie müssen Aktivitäten clustern, Risiken bewerten und Entscheidungen ermöglichen. Deshalb sollte jede Attribution im Bericht um eine TTP-Aussage ergänzt werden: nicht nur „wer“, sondern „wie“, „womit“ und „was bedeutet das für uns?“

Geteilte Threat Intelligence schwächt nicht – sie schützt

Viele Organisationen zögern, eigene Erkenntnisse zu teilen. Manche fürchten, dadurch Wettbewerbsvorteile zu verlieren. Andere halten ihre Informationen für unvollständig. Beides ist ein Irrtum. Die Messlatte für Austausch ist nicht Perfektion, sondern Relevanz. Wer einen Angriff beobachtet, der auf die eigene Branche zielt, besitzt bereits wertvolle Informationen – auch wenn die Attribution noch nicht abschließend geklärt ist.

Ein Angreifer, der eine Bank attackiert, kann morgen die nächste Bank angreifen. Threat Intelligence als exklusiven Wettbewerbsvorteil zu behandeln, ist daher so sinnvoll, als würde ein Krankenhaus andere Kliniken nicht über einen kursierenden Erreger informieren. ISACs, STIX/TAXII-Communities und branchenspezifische Austauschgruppen existieren genau aus diesem Grund. Sie schaffen vertrauliche Räume, in denen die Erkenntnisse einer Organisation zum Schutz vieler beitragen können.

Der Einstieg ist häufig einfacher als gedacht. In vielen Branchen gibt es bereits etablierte Austauschformate. Das größte Hindernis ist selten die Technik – sondern die eigene Zurückhaltung.

Das SOC kann mit rohen CTI-Daten nicht automatisch arbeiten

Security Operations Center sind auf Reaktion optimiert. Sie müssen Alarme bewerten, Vorfälle priorisieren und schnell handeln. Sie sind jedoch nicht automatisch darauf ausgelegt, strategische CTI-Berichte zu interpretieren.

Wenn das Intelligence-Team einen langen Bericht erstellt und dem SOC am Ende nur eine PDF-Datei mit Indicators of Compromise übergibt, geht ein großer Teil des analytischen Mehrwerts verloren. CTI muss empfängerorientiert aufbereitet werden. Das SOC braucht verwertbare IOCs und Kontext. Detection Engineering benötigt Hinweise auf Abdeckungslücken. Der CISO braucht Trends und Risikobewertungen. Der Vorstand benötigt klare Entscheidungsgrundlagen.

Eine moderne CTI-Plattform sollte diese unterschiedlichen Perspektiven aus demselben Wissensfundus erzeugen können. Andernfalls ist sie keine echte Intelligence-Plattform, sondern eine Datenbank mit Formatierungsproblem. Der Praxistest: Wer denselben CTI-Bericht an alle Zielgruppen verschickt, hat kein Kommunikationsproblem. Er hat ein Strukturproblem.

Strategische Intelligence ist kein Vorstandstheater

Viele sogenannte Intelligence-Berichte für Führungskräfte bestehen aus Folien, Stockfotos und allgemeinen Bedrohungstrends. Das ist keine strategische CTI, sondern Sicherheitsmarketing. Richtig eingesetzt ist strategische Intelligence jedoch entscheidend. Sie verbindet Angreifermotivation, branchenspezifische Angriffsmuster, regulatorische Anforderungen und mögliche Geschäftsauswirkungen.

Vorstände genehmigen keine Detection Rules. Sie genehmigen Budgets, Prioritäten und Risikobehandlungen. Dafür brauchen sie nachvollziehbare Argumente. Wer ausschließlich taktische Intelligence produziert, riskiert eine gefährliche Reaktion aus der Finanzabteilung: „Warum bezahlen wir dafür? Kostenlose Feeds sehen doch ähnlich aus.“ Strategische CTI ist deshalb keine Frage der Unternehmensgröße, sondern der Disziplin. NIS-2 verlangt Risikomanagement. Wer erklären muss, warum eine bestimmte Bedrohung für die eigene Branche relevant ist, hat bereits den Auftrag für strategische Threat Intelligence.

Ein guter strategischer Bericht beginnt nicht mit einer Heatmap. Er beginnt mit dem Satz: „Diese Bedrohung kostet uns X, wenn wir nichts tun.“

Eine grüne MITRE-Heatmap ist noch kein Sicherheitsbeweis

MITRE ATT&CK ist ein starkes Framework. Es hilft, Angreiferverhalten strukturiert zu beschreiben und Techniken systematisch einzuordnen. Doch eine ATT&CK-Heatmap ist kein Sicherheitsnachweis. Eine Technik als „abgedeckt“ zu markieren, weil es irgendwo eine Detection Rule gibt, kann trügerisch sein. ATT&CK ist eine Sprache, keine Garantie. Es beschreibt, was Angreifer tun können. Ob die eigene Organisation diese Techniken tatsächlich erkennt, verhindert oder schnell genug darauf reagiert, zeigt sich erst in der Praxis.

Deshalb braucht CTI regelmäßige Validierung durch Angriffssimulationen, Purple Teaming und kontrollierte Tests. Erst dann wird sichtbar, ob die angenommene Abdeckung wirklich hält. Die Erkenntnis ist oft unbequem. Aber sie ist deutlich wertvoller als eine schön gefärbte Matrix.

KI ersetzt keine CTI-Analysten – sie verstärkt sie

Künstliche Intelligenz und Large Language Models verändern die Arbeit in der Cyber Threat Intelligence deutlich. Sie können Texte zusammenfassen, Informationen extrahieren, Muster erkennen und Analysten bei Routineaufgaben entlasten.

Aber KI ersetzt keine analytische Verantwortung. Ein LLM kann überzeugend klingende, aber falsche Aussagen produzieren. In einem Board-Briefing kann eine halluzinierte Einschätzung zu einer Angreifergruppe größeren Schaden anrichten als gar kein Briefing. KI verändert den Hebel des Analysten, nicht seine Aufgabe. Der CTI-Analyst der Zukunft ist ein Pilot mit besseren Instrumenten – kein Passagier, der glaubt, das Flugzeug fliege von selbst.

Mit Agentic AI wird dieser Hebel größer. Workflows für Anreicherung, Analyse und Priorisierung lassen sich stärker automatisieren. Doch am Ende braucht es weiterhin menschliche Bewertung, Kontextwissen und Verantwortung.

Die Regel bleibt: KI kann CTI beschleunigen. Sie darf CTI aber nicht ungeprüft ersetzen.

Eine CTI-Plattform ist mehr als ein IOC-Speicher

Eine moderne Threat-Intelligence-Plattform ist mehr als ein Ablageort für Indikatoren. Sie sollte ein Graph sein. Ihr Wert entsteht durch Beziehungen: Ein Indikator verweist auf eine Malware-Familie. Diese steht mit einer Angreifergruppe in Verbindung. Die Gruppe ist Teil einer Kampagne. Die Kampagne zielt auf eine bestimmte Branche oder Region.

Erst entlang dieser Verbindungen entstehen Fragen, die vorher niemand gestellt hat. Genau dort beginnt der Mehrwert von CTI. Wer eine Plattform nur als IOC-Liste nutzt, bekommt bestenfalls eine bessere Firewall-Blockliste. Schlimmstenfalls entsteht ein teurer Datenfriedhof. Der Schnelltest: Öffnen Sie einen beliebigen Indikator in Ihrer Plattform und prüfen Sie, wie viele Beziehungen sichtbar werden. Wenn dort nichts steht, haben Sie keinen Graphen. Sie haben eine Liste.

Ein CTI-Team allein macht noch kein reifes CTI-Programm

Der Reifegrad eines CTI-Programms misst sich nicht an der Existenz eines Teams. Er misst sich daran, ob Intelligence zu besseren Entscheidungen führt. Ein kleines Team mit klaren PIRs, wirksamen Feedback-Loops und der Disziplin, nutzlose Berichte abzuschaffen, kann reifer sein als ein großes Team, das jedes Quartal zahlreiche PDFs ohne messbaren Effekt produziert.

Dazu kommt ein strukturelles Risiko: CTI-Analysten gehören zu den gefragtesten und zugleich am stärksten belasteten Fachkräften in der Cybersecurity. Sie bewerten Bedrohungslagen, verfolgen Kampagnen, analysieren Angreiferverhalten und produzieren Inhalte für verschiedene Zielgruppen.

Wenn ein CTI-Programm seinen Erfolg nur an Teamgröße, Berichtszahl oder Feed-Volumen misst, verschleißt es möglicherweise seine wichtigste Ressource: die Expertise der Analysten. Der schonungslose Test lautet: Welche drei Entscheidungen haben sich in den letzten 90 Tagen durch CTI konkret verändert? Wenn die Liste leer bleibt, liegt das Problem nicht beim Team. Es liegt am fehlenden Feedback-Loop.

Fazit: Gute CTI verändert Entscheidungen, nicht nur Dashboards

Wer sich bei mehreren dieser Irrtümer wiedererkennt, ist nicht allein. Viele Cyber-Threat-Intelligence-Programme starten mit den richtigen Absichten und landen trotzdem bei zu vielen Feeds, zu vielen Reports und zu wenig Wirkung.

Der Ausweg beginnt mit klaren Anforderungen. Priority Intelligence Requirements definieren, welche Bedrohungen wirklich relevant sind. Investitionen sollten in Beziehungen, Kontext und Graphen fließen – nicht nur in weitere Datenquellen.

Jede Annahme über die eigene Sicherheitsabdeckung muss regelmäßig validiert werden. Angriffssimulationen zeigen, ob Detection und Response in der Praxis funktionieren. Und schließlich sollte der Erfolg von CTI nicht an der Anzahl geschriebener Berichte gemessen werden. Entscheidend ist, ob Threat Intelligence Entscheidungen verändert: schneller, fundierter und messbar sicherheitsrelevant.

Keiner dieser Irrtümer ist unumkehrbar. Die wachsende Community rund um OpenCTI zeigt, dass Sicherheitsteams ihre Threat Intelligence strukturierter, kollaborativer und wirkungsvoller aufbauen können. Wer die zehn Punkte systematisch angeht, kann das Potenzial von Cyber Threat Intelligence deutlich besser ausschöpfen – und aus Daten endlich echte Sicherheitsentscheidungen machen.