Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Cyber Threat Intelligence Programm aufbauen: Von OSINT bis MISP - Cybersicherheit und digitaler Schutz
Threat Intelligence

Cyber Threat Intelligence Programm aufbauen: Von OSINT bis MISP

Ein CTI-Programm (Cyber Threat Intelligence) sammelt, analysiert und verbreitet Informationen über Bedrohungsakteure und ihre Methoden. Dieser Guide erklärt den Aufbau von strategischer, operativer und taktischer TI, OSINT-Quellen, Threat Intelligence Plattformen (MISP, OpenCTI, ThreatConnect), IOC-Management, STIX/TAXII und die Integration in SIEM und EDR.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
12 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Ein effektives Cyber Threat Intelligence (CTI) Programm ermöglicht Unternehmen, proaktiv statt reaktiv auf Cyberbedrohungen zu reagieren. Es unterteilt sich in strategische, operative und taktische Ebenen, um unterschiedliche Stakeholder - vom Vorstand bis zum SOC-Analysten - mit relevanten Informationen zu versorgen. Beispielsweise liefert die taktische Ebene Indikatoren wie IP-Adressen oder Hashes, deren Halbwertszeit oft nur Tage beträgt, während TTPs (Taktiken, Techniken, Prozeduren) über Monate oder Jahre hinweg relevant bleiben. Kostenlose OSINT-Quellen wie AlienVault OTX oder MalwareBazaar bieten wertvolle IOCs und Analysen. Die Malware Information Sharing Platform (MISP) hat sich als de-facto-Standard für den Aufbau eines CTI-Programms etabliert und ermöglicht das Sammeln, Korrelieren und Teilen von Bedrohungsdaten, inklusive der Integration in SIEM-

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (7 Abschnitte)

“Wer ist unser Gegner, welche Methoden nutzen sie, und welche Assets greifen sie bevorzugt an?” - das sind die Kernfragen von Cyber Threat Intelligence. Ohne CTI verteidigen Unternehmen reaktiv nach dem letzten Vorfall. Mit CTI antizipieren sie Angriffe und priorisieren Abwehrmaßnahmen basierend auf echter Bedrohungslage statt Bauchgefühl.

Die drei CTI-Ebenen

Strategische Threat Intelligence:
  Zielgruppe:  CISO, Vorstand, Risikokomitee
  Fragen:      Wer greift uns an? Warum? Welche Branchen werden angegriffen?
  Format:      Threat Landscape Reports, Executive Briefings, Trend-Analysen
  Quellen:     Vendor Reports (Mandiant M-Trends, CrowdStrike Global Threat Report)
               Branchenverbände, ENISA Threat Landscape
               BKA Cybercrime-Berichte, Verfassungsschutz-Berichte
  Zeitraum:    Quartalsbericht, Jahresreport
  Beispiel:    "APT28 (Fancy Bear) greift verstärkt KMUs im Automotive-Bereich an"

Operative Threat Intelligence:
  Zielgruppe:  SOC-Lead, Incident Responder, Threat Hunter
  Fragen:      Welche Kampagnen sind aktiv? Welche TTPs nutzen aktuelle Angreifer?
               Welche Malware-Familien sind im Umlauf?
  Format:      Campaign Reports, Malware Analysis Reports, TTP-Beschreibungen
  Quellen:     ISAC (Information Sharing and Analysis Centers)
               Vendor Intelligence Feeds (Recorded Future, Intel471)
               FS-ISAC, Auto-ISAC, H-ISAC (Branchenspezifisch!)
  Zeitraum:    Wöchentlich bis täglich
  Beispiel:    "LockBit-Gruppe nutzt CVE-2024-XXXX für Initial Access via RDP"

Taktische Threat Intelligence:
  Zielgruppe:  SOC Tier 1/2, SIEM-Analysten, Security Operations
  Fragen:      Welche IPs/Domains/Hashes sind bekannt bösartig?
  Format:      IOC-Feeds (Indicators of Compromise)
               IP-Blocklisten, Domain-Blacklists, File-Hashes, YARA-Rules
  Quellen:     AbuseIPDB, Shodan, VirusTotal, AlienVault OTX
               MISP Communities, Spamhaus, Emerging Threats
  Zeitraum:    Echtzeit bis stündlich (TTL beachten!)
  Beispiel:    "IP 185.220.x.x = Tor Exit Node; Hash abc123 = Emotet Dropper"

WICHTIG - IOC-Halbwertszeit:
  IP-Adressen: 1-7 Tage (Angreifer wechseln schnell)
  Domains:     7-30 Tage
  File-Hashes: Wochen bis Monate (Malware-Update ändert Hash)
  TTPs:        Monate bis Jahre (APT-Gruppen ändern Vorgehensweise selten!)
  → MITRE ATT&CK-basiertes Tracking länger werthaltig als IOC-Jagd!

OSINT-Quellen für CTI

Kostenlose CTI-Quellen:

Threat Intel Feeds (Open Source):
  AlienVault OTX (Open Threat Exchange):
    → otx.alienvault.com - größte freie TI-Community
    → Pulse-System: kuratierte IOC-Sets nach Thema
    → API: curl https://otx.alienvault.com/api/v1/pulses/subscribed -H "X-OTX-API-KEY: <key>"
    → Direkte MISP-Integration möglich

  MISP Default Feeds:
    → CIRCL MISP: feeds.circl.lu (Luxemburger CERT)
    → Botvrij.eu: Curated IOCs
    → MITRE ATT&CK: als MISP Galaxy
    → Konfiguration: Administration → Feeds → "Fetch all feeds"

  Malware-Repositories:
    → MalwareBazaar (abuse.ch): malwarebazaar.abuse.ch/api/
      curl -d 'query=get_recent&selector=100' https://mb.abuse.ch/api/v1/
    → VirusTotal Intelligence (kostenpflichtig, aber Grundversion gratis)
    → Any.Run: Malware-Sandbox mit öffentlichen Reports
    → Hybrid Analysis: hybridanalysis.com (kostenloser Upload + Report)

  Ransomware-spezifisch:
    → Ransomware.live: ransom.wiki - Tracking von Leak-Sites
    → ID Ransomware: id-ransomware.malwarehunterteam.com
    → DarkFeed: kostenpflichtig aber sehr vollständig

  Schwachstellen-Intelligence:
    → CISA KEV (Known Exploited Vulnerabilities):
      curl https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
    → VulDB: German Vulnerability Database
    → EPSS API: api.first.org/data/v1/epss?cve=CVE-2024-XXXX

  Darknet-Monitoring (OSINT):
    → DarkOwl, Flare, Cybersixgill: kostenpflichtig
    → GitHub: "awesome-threat-intelligence" Repos
    → Telegram-Monitoring: viele Gruppen öffentlich (Graykey, etc.)

Brandingschutz (Domain-Monitoring):
  → DNSTwist: python3 -m dnstwist -r firma.de (ähnliche Domains)
  → PhishTank: phishing domains mit Brand-Missbrauch
  → urlscan.io: Scans von Seiten die eure Marke imitieren
  → Certificate Transparency: crt.sh für unbekannte Sub-Domains

MISP - Threat Intelligence Platform

MISP (Malware Information Sharing Platform) - de facto Standard:

Installation (Docker):
  git clone https://github.com/MISP/misp-docker.git
  cd misp-docker
  cp template.env .env  # Konfigurieren: MYSQL_PASSWORD, MISP_URL
  docker-compose up -d
  # MISP erreichbar auf: https://localhost:443
  # Default Login: admin@admin.test / admin → SOFORT ändern!

MISP Grundkonzepte:
  Events:    Container für zusammengehörige IOCs (1 Event = 1 Incident/Campaign)
  Attributes: Konkrete IOCs innerhalb eines Events
    → ip-dst, domain, md5, sha256, url, email-src, filename, ...
  Objects:   Strukturierte Gruppen von Attributes (Network Connection, File, etc.)
  Tags:      TLP (Traffic Light Protocol), PAP, MITRE ATT&CK Techniken
  Galaxies:  Threat Actors (APT28, Lazarus Group), MITRE ATT&CK Tactics/Techniques
  Feeds:     Automatische IOC-Importe von externen Quellen

TLP (Traffic Light Protocol) - Pflicht beim Teilen:
  TLP:RED    Nur für direkte Empfänger - NIE weitergeben
  TLP:AMBER  Eingeschränkte Weitergabe (nur Organisation + Partner)
  TLP:GREEN  Weitergabe innerhalb der Community erlaubt
  TLP:CLEAR  Öffentlich (vormals TLP:WHITE)

MISP-API für SIEM-Integration:
  # Alle Events seit gestern (Python):
  import pymisp
  misp = pymisp.PyMISP('https://misp.intern', 'API_KEY')
  events = misp.search(timestamp='1d', to_ids=True)

  # IOC-Export als CSV:
  curl -H "Authorization: API_KEY" \
    "https://misp.intern/attributes/restSearch/csv?type=ip-dst&timestamp=1d"

  # Direkter SIEM-Export (Splunk-Format):
  curl -H "Authorization: API_KEY" \
    "https://misp.intern/feeds/previewIndex/FEED_ID"

Sentinel-Integration:
  → "Microsoft Sentinel" Data Connector: nativ verfügbar
  → MISP → Sentinel Threat Intelligence Blade → KQL Matching
  → Automatische Alert-Anreicherung mit MISP-Kontext

Splunk-Integration:
  → MISP42 Splunk App (Splunkbase kostenlos)
  → Lookup-Tabellen aus MISP-Feeds
  → Correlation Search: "src_ip IN (misp_lookup ip-dst)"

OpenCTI - Alternative zu MISP

OpenCTI (OpenCTI Platform) - strukturierter, relationaler Ansatz:

Vorteile vs. MISP:
  → Graphdatenbank: Beziehungen zwischen Entitäten visualisierbar
  → STIX 2.1 nativ (MISP hat STIX-Export aber kein natives Format)
  → Bessere UI für Analyst Workflow (Diamond Model, Kill Chain Mapping)
  → Connector-Ökosystem: MITRE ATT&CK, MISP, VirusTotal, Shodan...

Installation (Docker Compose):
  git clone https://github.com/OpenCTI-Platform/docker.git opencti-docker
  cd opencti-docker
  cp .env.sample .env  # Konfigurieren
  docker-compose up -d
  # Port: 8080

Connectors aktivieren (config/connectors.yml):
  MITRE ATT&CK Connector:
    OPENCTI_URL: http://opencti:8080
    OPENCTI_TOKEN: <admin-token>
    CONNECTOR_ID: <uuid>
    MITRE_REMOVE_STATEMENT_MARKINGS: false
    MITRE_INTERVAL: 7  # Tage zwischen Updates

  VirusTotal Enrichment:
    VIRUSTOTAL_TOKEN: <vt-api-key>
    VIRUSTOTAL_MAX_TLP: TLP:AMBER

Use Case: Tracking einer APT-Gruppe:
  1. Entity erstellen: "APT28" (Threat Actor)
  2. Intrusion Sets verknüpfen: "Fancy Bear", "Sofacy"
  3. TTPs: ATT&CK Techniken (T1566 Phishing, T1059 Command Line)
  4. Malware: Zebrocy, X-Agent (verknüpfte Malware-Familien)
  5. Campaigns: aktuell aktive Kampagnen mit IOCs
  6. Targets: betroffene Branchen/Länder
  → Ergebnis: vollständiges Bild der Gruppe für Analyst

STIX/TAXII - Austauschstandards

STIX 2.1 (Structured Threat Information Expression):

STIX-Objekte (Domain Objects):
  Attack Pattern:     MITRE ATT&CK Technik
  Campaign:           Angriffskampagne (z.B. "Operation X")
  Course of Action:   Gegenmaßnahme/Empfehlung
  Identity:           Organisation, Individuum
  Indicator:          IOC-Muster (STIX Pattern)
  Intrusion Set:      Gruppe von Angriffen (APT-Gruppe)
  Malware:            Malware-Familie
  Threat Actor:       Angreifer-Gruppe
  Tool:               Legitimes Tool missbraucht (Cobalt Strike)
  Vulnerability:      CVE-Referenz

STIX Indicator Pattern (IOC in STIX):
  {
    "type": "indicator",
    "spec_version": "2.1",
    "id": "indicator--...",
    "name": "Malicious IP 185.220.x.x",
    "pattern": "[ipv4-addr:value = '185.220.x.x']",
    "pattern_type": "stix",
    "valid_from": "2026-01-01T00:00:00Z",
    "labels": ["malicious-activity"],
    "confidence": 90
  }

TAXII 2.1 (Trusted Automated eXchange of Intelligence):
  → Transportprotokoll für STIX-Daten
  → Collections: logische Gruppen von STIX-Objekten
  → API Discovery: GET /taxii2/
  → Collections abrufen: GET /api1/collections/

TAXII-Client (Python):
  from taxii2client.v21 import Server

  server = Server('https://cti-taxii.mitre.org/taxii/',
                  user='guest', password='guest')
  api_root = server.api_roots[0]
  collection = api_root.collections[0]
  # MITRE ATT&CK abrufen:
  bundle = collection.get_objects()

CTI-Integration in Security Operations

Praktische Integration ins SIEM:

Microsoft Sentinel Threat Intelligence:
  → Data Connector "Threat Intelligence Platform" → MISP/TAXII
  → Threat Intelligence Blade: alle IOCs visualisiert
  → Analytics Rule:
    ThreatIntelligenceIndicator
    | where Action != "alert"
    | where ExpirationDateTime > now()
    | join kind=inner (
        CommonSecurityLog
        | where TimeGenerated > ago(1d)
    ) on $left.NetworkIP == $right.DestinationIP
    | project TimeGenerated, SourceIP, DestinationIP, ThreatType, ConfidenceScore

Splunk Threat Intelligence Framework:
  # threat_intel Lookup-Table pflegen:
  | inputlookup threat_ip.csv
  | outputlookup threat_ip.csv

  # Correlation Search:
  index=network sourcetype=firewall
  | lookup threat_ip ip AS dest_ip OUTPUT threat_key
  | where isnotnull(threat_key)
  | stats count by src_ip, dest_ip, threat_key

EDR-Integration (CrowdStrike Falcon):
  → Custom IOC Management: API upload
  curl -X POST "https://api.crowdstrike.com/iocs/entities/indicators/v1" \
    -H "Authorization: Bearer <token>" \
    -d '{"indicators": [{"type": "ipv4", "value": "185.220.x.x",
         "action": "prevent", "severity": "high", "platforms": ["windows"]}]}'

  → Automatisch blockiert + Alert bei Match

Intelligence Requirements (PIRs):
  KEINE CTI ohne Anforderungen! Vorher definieren:
  PIR 1: "Welche Ransomware-Gruppen greifen Healthcare in DACH an?"
  PIR 2: "Gibt es aktive Phishing-Kampagnen die unsere Marke missbrauchen?"
  PIR 3: "Werden unsere IPs/Domains auf Blocklisten geführt?"
  PIR 4: "Welche CVEs werden aktiv für Initial Access genutzt?"
  → Jeder Report, jeder Feed → muss einem PIR zugeordnet sein!

CTI-Team und Reifegradmodell

CTI Maturity Model (TI-Maturity):

Level 0 - Nicht vorhanden:
  → Kein systematisches CTI, reagiert nur auf Vorfälle
  → Einstieg: CISA KEV abonnieren, MISP installieren

Level 1 - Reaktiv (IOC-basiert):
  → IOC-Feeds in SIEM integriert
  → Alerting bei bekannten bösartigen IPs/Domains
  → Schwäche: Alert Fatigue (viele False Positives bei alten IOCs!)
  → Tool: MISP mit OTX + CIRCL Feeds

Level 2 - Operativ (TTP-basiert):
  → MITRE ATT&CK Mapping aktiver Angriffstechniken
  → Threat Hunting basierend auf CTI-Hypothesen
  → Sharing: ISAC-Mitgliedschaft
  → Tool: OpenCTI + MISP + Sentinel

Level 3 - Strategisch (Attribution):
  → Bedrohungsakteur-Tracking (welche APTs greifen uns an?)
  → Custom Intelligence: eigene Forscher analysieren Samples
  → Closed-Source Feeds (Recorded Future, Intel471, Mandiant)
  → Sharing: aktiver Beitrag zu ISACs

Level 4 - Prädiktiv:
  → Angriffe antizipieren bevor sie passieren
  → Engagement mit nationalen CERTs (BSI, ENISA)
  → Geheimdienstlich-adjacent: nur für kritische Infrastrukturen

ROI von CTI:
  → 70% der Sicherheitsteams berichten: CTI reduziert Incident Response Zeit
  → Gartner: "Security teams with mature TI programs spend 50% less time on false positives"
  → Konkret: 1 verhinderte Ransomware-Attacke rechtfertigt 3 Jahre CTI-Investition

Cyber Threat Intelligence ist kein Luxus - in einer Bedrohungslandschaft mit hunderten aktiver Ransomware-Gruppen und staatlichen Akteuren ist CTI die Basis für priorisierte Sicherheitsarbeit. AWARE7 unterstützt beim Aufbau von CTI-Programmen: von der MISP-Installation über Feed-Integration bis zur strategischen Intelligence-Produktion.

CTI-Beratung anfragen | SOC und SIEM Leistungen

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung