Threat Intelligence: Angreifer verstehen bevor sie angreifen
Threat Intelligence (TI) ist das systematische Sammeln und Analysieren von Informationen über Bedrohungsakteure, Angriffsmethoden und IoCs. Von OSINT bis zu kommerziellen Feeds: wie Unternehmen TI operativ einsetzen.
Inhaltsverzeichnis (7 Abschnitte)
Threat Intelligence (TI) - auch Cyber Threat Intelligence (CTI) - ist das Sammeln, Analysieren und Verwenden von Informationen über aktuelle und zukünftige Cyber-Bedrohungen. Ziel: Nicht reaktiv auf Angriffe reagieren, sondern proaktiv auf Bedrohungsakteure vorbereitet sein.
Drei einfache Fragen definieren TI:
- Wer greift Unternehmen wie uns an?
- Womit - welche Taktiken, Techniken und Tools?
- Warum - Motivation (finanziell, Spionage, Aktivismus)?
Die Antworten ermöglichen gezielte Schutzmaßnahmen statt generischer Sicherheit.
Die drei TI-Ebenen
Strategische Intelligence
Für CISO und Management: Überblick über Bedrohungslandschaft ohne technische Details.
Fragen die strategische TI beantwortet:
- Welche Branchen werden aktuell von welchen APT-Gruppen attackiert?
- Wie entwickeln sich Ransomware-Trends? (RaaS-Zunahme, doppelte Erpressung)
- Welche geopolitischen Ereignisse erhöhen Cyberrisiken für unser Unternehmen?
Quellen: ENISA Threat Landscape, BSI Lagebericht IT-Sicherheit, Mandiant M-Trends Report, Crowdstrike Global Threat Report.
Operative Intelligence
Für SOC-Manager und Incident Responder: Aktuelle Kampagnen und Angriffsmethoden.
Fragen die operative TI beantwortet:
- Welche Phishing-Kampagne ist gerade aktiv?
- Welche CVE wird gerade aktiv ausgenutzt (Weaponized)?
- Welche C2-Infrastruktur nutzt die Gruppe hinter dem aktuellen Angriff?
Quellen: ISACs (branchenspezifische Sharing-Plattformen), Recorded Future, Mandiant Advantage, FS-ISAC.
Taktische Intelligence
Für Security-Analysten und Threat Hunter: Konkrete Indicators of Compromise (IoCs) und Techniken.
Taktische IoCs:
IP-Adressen: 185.234.xx.xx (bekannter C2-Server)
Domain-Namen: malware-c2-xyz.net (aktive Phishing-Domain)
File-Hashes: sha256:abc123... (bekannte Malware-Datei)
YARA-Regeln: Pattern im Malware-Code
Snort/Suricata Rules: Netzwerkverkehr-PatternIndicators of Compromise (IoCs) und Indicators of Attack (IoAs)
IoCs - Was war da?
IoCs sind forensische Artefakte die auf Kompromittierung hinweisen:
Netzwerk-IoCs:
→ IP-Adressen bekannter C2-Server
→ Domains (Phishing, Malware-Distribution)
→ DNS-Anfragen an bekannte Malware-Domains
→ User-Agent-Strings bekannter Tools (Cobalt Strike Beacon)
Datei-IoCs:
→ SHA256-Hashes bekannter Malware-Dateien
→ Dateinamen und Pfade (C:\Users\Public\svhost.exe)
→ Registry-Keys die Malware verwendet
Host-IoCs:
→ Unbekannte Dienste mit seltsamen Namen
→ Geplante Tasks mit obfuszierten PowerShell-Commands
→ Neue lokale Admin-AccountsEinschränkung von IoCs: Gute Angreifer wechseln IoCs regelmäßig (IP-Rotation, neue Domains, neu compilierte Malware). IoCs haben eine “Halbwertszeit” von Stunden bis Tagen.
IoAs - Was passiert gerade?
IoAs sind verhaltensbasiert und erkennen Angriffsmuster unabhängig von spezifischen IoCs:
"PowerShell startet direkt nach Word" → Macro-Malware-Muster
"LSASS wird von unbekanntem Prozess accessed" → Credential Dumping
"Legitimer Admin-Tool (PsExec) startet zur falschen Zeit" → Lateral Movement
"SMB-Traffic zu Domain Controller ohne vorherigen Login" → Pass-the-HashIoAs sind wertvoller als IoCs - SIEM-Regeln die IoAs erkennen bleiben wirksam auch gegen neue Malware-Varianten.
MITRE ATT&CK: Das TI-Framework
MITRE ATT&CK ist die globale Wissensdatenbank von Angreifertaktiken und -techniken - basierend auf realen Vorfällen:
14 Taktiken (Was der Angreifer erreichen will):
TA0001: Initial Access (Wie kommt er rein?)
TA0002: Execution (Wie führt er Code aus?)
TA0003: Persistence (Wie bleibt er?)
TA0004: Privilege Escalation (Wie bekommt er mehr Rechte?)
TA0005: Defense Evasion (Wie umgeht er Security?)
TA0006: Credential Access (Wie stiehlt er Zugangsdaten?)
TA0007: Discovery (Was findet er im Netz?)
TA0008: Lateral Movement (Wie breitet er sich aus?)
TA0009: Collection (Was sammelt er?)
TA0010: Exfiltration (Wie schleust er Daten aus?)
TA0011: Command and Control (Wie steuert er?)
TA0040: Impact (Was ist der finale Schaden?)
...
200+ Techniken mit Sub-Techniken:
T1078: Valid Accounts (nutzt gestohlene Credentials)
T1053.005: Scheduled Task/Job (Persistenz via geplante Tasks)
T1003.001: LSASS Memory Dumping (Credential-Dump)Praktische Nutzung: SIEM-Regeln gegen ATT&CK-Techniken statt einzelne IoCs → Robustere Detection.
TI-Quellen: Kostenlos bis Enterprise
Kostenlose Quellen
OSINT / Open Source:
- VirusTotal: File-Hashes, Domains, IPs gegen 70+ AV-Scanner
- AlienVault OTX (Open Threat Exchange): Community-basierte IoC-Feeds
- Abuse.ch: Malware-Tracker, Ransomware-Tracker, Feodo-Tracker
- Shodan.io: Exponierte Systeme und Dienste
- CIRCL.lu MISP: Open Source TI-Plattform
- BSI CERT-Bund: Deutsche Warnungen und Advisories
- CVE/NVD: Schwachstellendatenbank NIST
Government/ISAC:
- CERT-Bund (BSI): Deutsche Cyber-Warnungen
- MS-ISAC: Kommunale Behörden (USA)
- FS-ISAC: Finanzsektor
- Health-ISAC: Gesundheitswesen
Kommerzielle TI-Plattformen
| Anbieter | Stärke | Preisniveau |
|---|---|---|
| Recorded Future | Umfangreichste Daten, automatische Priorisierung | $$$ |
| Mandiant Advantage | Incident-basierte Intelligence | $$$ |
| CrowdStrike Falcon X | EDR-Integration, schnelle Attributierung | $$$ |
| Flashpoint | Darknet-Monitoring, IAB-Tracking | $$$ |
| KELA | Europäischer Fokus, Deutsch | $$ |
| Flare | SMB-freundlich, Stealer-Log-Monitoring | $$ |
TI operativ einsetzen: Use Cases
SIEM-Integration: IoC-Matching
# Automatisches IoC-Matching im SIEM
# Täglich aktualisierte Blocklist in Firewall:
# Aus TI-Feed (STIX 2.1 Format) extrahieren:
import requests
ti_feed = requests.get("https://ti-provider.com/api/v1/iocs?type=ip")
malicious_ips = [ioc["value"] for ioc in ti_feed.json()["results"]]
# In Firewall-Blocklist übertragen (pfSense API Beispiel):
for ip in malicious_ips:
pfsense_api.add_to_blocklist(ip)Vulnerability Prioritization
TI hilft zu entscheiden welche CVEs sofort gepatcht werden müssen:
CVE-2024-12345: CVSS 9.8 (kritisch)
Ohne TI: "Kritisch → muss diese Woche gepatcht werden"
Mit TI: "CVE-2024-12345 wird AKTIV von LockBit-Affiliates ausgenutzt,
bereits in 3 deutschen Unternehmen in dieser Woche"
→ SOFORTIGER Patch (heute, nicht diese Woche)Threat Hunting
TI-Erkenntnisse über Angreifergruppe motivieren gezieltes Threat Hunting:
TI-Report: "APT28 (Fancy Bear, Russland) greift aktuell deutsche
Verteidigungsunternehmen an via spear-phishing mit
.lnk-Dateien die PowerShell-Loader enthalten"
Threat Hunt Hypothese:
→ Gibt es unbekannte .lnk-Dateien in Downloads-Ordnern?
→ Gibt es anomale PowerShell-Prozesse die von WINWORD.EXE gestartet wurden?
SIEM-Query:
index=windows EventCode=4688
ParentImage="C:\\Program Files\\Microsoft Office\\...\\WINWORD.EXE"
Image="C:\\Windows\\System32\\powershell.exe"TI-Sharing: STIX/TAXII
STIX 2.1 (Structured Threat Information eXpression): Standard-Format für TI-Austausch.
TAXII (Trusted Automated Exchange of Intelligence Information): Protokoll für automatisierten TI-Austausch.
Unternehmen können über ISACs und MISP-Instanzen TI teilen - anonymisiert, strukturiert und maschinell verarbeitbar. BSI und CERT-Bund haben Sharing-Plattformen für deutsche Unternehmen.
Reifegrad: Wie nutzen Sie TI?
| Level | Merkmal |
|---|---|
| 0 | Kein TI-Einsatz, reaktiv auf Angriffe |
| 1 | Kostenlose IoC-Feeds in SIEM (IP/Domain-Blocking) |
| 2 | Branchenspezifische ISAC-Mitgliedschaft, ATT&CK-basierte SIEM-Regeln |
| 3 | Kommerzielle TI-Plattform, Threat Hunting, Vulnerability Prioritization |
| 4 | Proaktive TI-Produktion, TI-Sharing mit Partnern, eigene Attributierung |
Für die meisten deutschen KMU ist Level 1-2 realistisch und ausreichend. Level 3 für Unternehmen mit eigenem SOC.
Quellen & Referenzen
- [1] MITRE ATT&CK Framework - MITRE Corporation
- [2] ENISA Threat Landscape 2024 - ENISA
- [3] STIX 2.1 Standard - OASIS
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
17 Publikationen
- Understanding the Privacy Implications of Browser Extensions (2025)
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Security Awareness Trainings - A Scientometric Analysis (2024)
- Understanding Dark Patterns in Chatbots (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Analyzing Cybersecurity Risk with a Phishing Simulation Website (2024)
- The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting (2023)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- Building a Cybersecurity Awareness Program for SMEs (2022)
- Rethinking Cookie Banners: How to Comply with the GDPR and Still not Annoy Users (2022)
- An Empirical Analysis on the Use and Reporting of National Security Letters (2022)
- Comparing Approaches for Secure Communication in E-Mail-Based Business Processes (2022)
- Phish and Chips: Experiences from an Automated Phishing System (2022)
- Digital Risk Management (DRM) (2020)
- Social Media Scraper im Einsatz (2021)
- People, Processes, Technology — The Cybersecurity Triad (2023)
- New Work — Die Herausforderungen eines modernen ISMS (2024)
