Threat Intelligence: Angreifer verstehen bevor sie angreifen
Threat Intelligence (TI) ist das systematische Sammeln und Analysieren von Informationen über Bedrohungsakteure, Angriffsmethoden und IoCs. Von OSINT bis zu kommerziellen Feeds: wie Unternehmen TI operativ einsetzen.
Inhaltsverzeichnis (7 Abschnitte)
Kurzerklärung: Threat Intelligence (TI) ist die systematische Sammlung, Analyse und Nutzung von Informationen über Cyberbedrohungen: Indicators of Compromise (IOCs), Tactics, Techniques and Procedures (TTPs), Bedrohungsakteure und ihre Motive. Unterschieden wird zwischen Strategic (C-Level), Operational (SOC-Triage) und Tactical Intelligence (technische IOCs). Wichtige Quellen: MISP, OpenCTI, VirusTotal, CISA, BSI, kommerzielle Feeds (Recorded Future, Mandiant, CrowdStrike Falcon Intel).
Threat Intelligence (TI) - auch Cyber Threat Intelligence (CTI) - ist das Sammeln, Analysieren und Verwenden von Informationen über aktuelle und zukünftige Cyber-Bedrohungen. Ziel: Nicht reaktiv auf Angriffe reagieren, sondern proaktiv auf Bedrohungsakteure vorbereitet sein.
Drei einfache Fragen definieren TI:
- Wer greift Unternehmen wie uns an?
- Womit - welche Taktiken, Techniken und Tools?
- Warum - Motivation (finanziell, Spionage, Aktivismus)?
Die Antworten ermöglichen gezielte Schutzmaßnahmen statt generischer Sicherheit.
Die drei TI-Ebenen
Strategische Intelligence
Für CISO und Management: Überblick über Bedrohungslandschaft ohne technische Details.
Fragen die strategische TI beantwortet:
- Welche Branchen werden aktuell von welchen APT-Gruppen attackiert?
- Wie entwickeln sich Ransomware-Trends? (RaaS-Zunahme, doppelte Erpressung)
- Welche geopolitischen Ereignisse erhöhen Cyberrisiken für unser Unternehmen?
Quellen: ENISA Threat Landscape, BSI Lagebericht IT-Sicherheit, Mandiant M-Trends Report, Crowdstrike Global Threat Report.
Operative Intelligence
Für SOC-Manager und Incident Responder: Aktuelle Kampagnen und Angriffsmethoden.
Fragen die operative TI beantwortet:
- Welche Phishing-Kampagne ist gerade aktiv?
- Welche CVE wird gerade aktiv ausgenutzt (Weaponized)?
- Welche C2-Infrastruktur nutzt die Gruppe hinter dem aktuellen Angriff?
Quellen: ISACs (branchenspezifische Sharing-Plattformen), Recorded Future, Mandiant Advantage, FS-ISAC.
Taktische Intelligence
Für Security-Analysten und Threat Hunter: Konkrete Indicators of Compromise (IoCs) und Techniken. Taktische IoCs umfassen IP-Adressen bekannter C2-Server, aktive Phishing-Domains, SHA256-Hashes bekannter Malware-Dateien, YARA-Regeln für Malware-Code-Patterns sowie Snort/Suricata-Rules für Netzwerkverkehr-Patterns.
Indicators of Compromise (IoCs) und Indicators of Attack (IoAs)
IoCs - Was war da?
IoCs sind forensische Artefakte, die auf eine Kompromittierung hinweisen:
- Netzwerk-IoCs: IP-Adressen bekannter C2-Server, Phishing- und Malware-Domains, DNS-Anfragen an bekannte Malware-Domains, User-Agent-Strings bekannter Tools (z. B. Cobalt Strike Beacon).
- Datei-IoCs: SHA256-Hashes bekannter Malware-Dateien, Dateinamen und -pfade (z. B.
C:\Users\Public\svhost.exe), Registry-Keys, die Malware verwendet. - Host-IoCs: Unbekannte Dienste mit seltsamen Namen, geplante Tasks mit obfuszierten PowerShell-Commands, neue lokale Admin-Accounts.
Einschränkung von IoCs: Gute Angreifer wechseln IoCs regelmäßig (IP-Rotation, neue Domains, neu compilierte Malware). IoCs haben eine "Halbwertszeit" von Stunden bis Tagen.
IoAs - Was passiert gerade?
IoAs sind verhaltensbasiert und erkennen Angriffsmuster unabhängig von spezifischen IoCs:
- "PowerShell startet direkt nach Word" deutet auf Macro-Malware hin.
- "LSASS wird von unbekanntem Prozess accessed" ist ein Credential-Dumping-Muster.
- "Legitimes Admin-Tool (PsExec) startet zur falschen Zeit" weist auf Lateral Movement hin.
- "SMB-Traffic zum Domain Controller ohne vorherigen Login" deutet auf Pass-the-Hash hin.
IoAs sind wertvoller als IoCs - SIEM-Regeln, die IoAs erkennen, bleiben wirksam auch gegen neue Malware-Varianten.
MITRE ATT&CK: Das TI-Framework
MITRE ATT&CK ist die globale Wissensdatenbank von Angreifertaktiken und -techniken - basierend auf realen Vorfällen. Das Framework umfasst 14 Taktiken (was der Angreifer erreichen will) und über 200 Techniken mit Sub-Techniken.
| Taktik-ID | Taktik | Beschreibung |
|---|---|---|
| TA0001 | Initial Access | Wie kommt der Angreifer rein? |
| TA0002 | Execution | Wie führt er Code aus? |
| TA0003 | Persistence | Wie bleibt er? |
| TA0004 | Privilege Escalation | Wie bekommt er mehr Rechte? |
| TA0005 | Defense Evasion | Wie umgeht er Security? |
| TA0006 | Credential Access | Wie stiehlt er Zugangsdaten? |
| TA0007 | Discovery | Was findet er im Netz? |
| TA0008 | Lateral Movement | Wie breitet er sich aus? |
| TA0009 | Collection | Was sammelt er? |
| TA0010 | Exfiltration | Wie schleust er Daten aus? |
| TA0011 | Command and Control | Wie steuert er? |
| TA0040 | Impact | Was ist der finale Schaden? |
Beispiele für häufig genutzte Techniken: T1078 (Valid Accounts - gestohlene Credentials), T1053.005 (Scheduled Task - Persistenz via geplante Tasks), T1003.001 (LSASS Memory Dumping - Credential-Dump).
Praktische Nutzung: SIEM-Regeln gegen ATT&CK-Techniken statt einzelne IoCs → robustere Detection.
TI-Quellen: Kostenlos bis Enterprise
Kostenlose Quellen
OSINT / Open Source:
- VirusTotal: File-Hashes, Domains, IPs gegen 70+ AV-Scanner
- AlienVault OTX (Open Threat Exchange): Community-basierte IoC-Feeds
- Abuse.ch: Malware-Tracker, Ransomware-Tracker, Feodo-Tracker
- Shodan.io: Exponierte Systeme und Dienste
- CIRCL.lu MISP: Open Source TI-Plattform
- BSI CERT-Bund: Deutsche Warnungen und Advisories
- CVE/NVD: Schwachstellendatenbank NIST
Government/ISAC:
- CERT-Bund (BSI): Deutsche Cyber-Warnungen
- MS-ISAC: Kommunale Behörden (USA)
- FS-ISAC: Finanzsektor
- Health-ISAC: Gesundheitswesen
Kommerzielle TI-Plattformen
| Anbieter | Stärke | Preisniveau |
|---|---|---|
| Recorded Future | Umfangreichste Daten, automatische Priorisierung | $$$ |
| Mandiant Advantage | Incident-basierte Intelligence | $$$ |
| CrowdStrike Falcon X | EDR-Integration, schnelle Attributierung | $$$ |
| Flashpoint | Darknet-Monitoring, IAB-Tracking | $$$ |
| KELA | Europäischer Fokus, Deutsch | $$ |
| Flare | SMB-freundlich, Stealer-Log-Monitoring | $$ |
TI operativ einsetzen: Use Cases
SIEM-Integration: IoC-Matching
# Automatisches IoC-Matching im SIEM
# Täglich aktualisierte Blocklist in Firewall:
# Aus TI-Feed (STIX 2.1 Format) extrahieren:
import requests
ti_feed = requests.get("https://ti-provider.com/api/v1/iocs?type=ip")
malicious_ips = [ioc["value"] for ioc in ti_feed.json()["results"]]
# In Firewall-Blocklist übertragen (pfSense API Beispiel):
for ip in malicious_ips:
pfsense_api.add_to_blocklist(ip)Vulnerability Prioritization
TI hilft zu entscheiden, welche CVEs sofort gepatcht werden müssen. Ohne TI wird ein CVSS-9.8-Fund als "muss diese Woche gepatcht werden" eingestuft. Mit TI kann dieselbe CVE als "wird AKTIV von LockBit-Affiliates ausgenutzt, bereits in drei deutschen Unternehmen in dieser Woche" bewertet werden - woraus sofortiger Handlungsbedarf (heute, nicht diese Woche) folgt.
Threat Hunting
TI-Erkenntnisse über eine Angreifergruppe motivieren gezieltes Threat Hunting. Ein TI-Report über APT28 (Fancy Bear), der aktuell deutsche Verteidigungsunternehmen via Spear-Phishing mit .lnk-Dateien angreift, die PowerShell-Loader enthalten, führt zu konkreten Hunt-Hypothesen: Gibt es unbekannte .lnk-Dateien in Downloads-Ordnern? Gibt es anomale PowerShell-Prozesse, die von WINWORD.EXE gestartet wurden?
# SIEM-Query: PowerShell gestartet von Word
index=windows EventCode=4688
ParentImage="C:\\Program Files\\Microsoft Office\\...\\WINWORD.EXE"
Image="C:\\Windows\\System32\\powershell.exe"TI-Sharing: STIX/TAXII
STIX 2.1 (Structured Threat Information eXpression): Standard-Format für TI-Austausch.
TAXII (Trusted Automated Exchange of Intelligence Information): Protokoll für automatisierten TI-Austausch.
Unternehmen können über ISACs und MISP-Instanzen TI teilen - anonymisiert, strukturiert und maschinell verarbeitbar. BSI und CERT-Bund haben Sharing-Plattformen für deutsche Unternehmen.
Reifegrad: Wie nutzen Sie TI?
| Level | Merkmal |
|---|---|
| 0 | Kein TI-Einsatz, reaktiv auf Angriffe |
| 1 | Kostenlose IoC-Feeds in SIEM (IP/Domain-Blocking) |
| 2 | Branchenspezifische ISAC-Mitgliedschaft, ATT&CK-basierte SIEM-Regeln |
| 3 | Kommerzielle TI-Plattform, Threat Hunting, Vulnerability Prioritization |
| 4 | Proaktive TI-Produktion, TI-Sharing mit Partnern, eigene Attributierung |
Für die meisten deutschen KMU ist Level 1-2 realistisch und ausreichend. Level 3 für Unternehmen mit eigenem SOC.
Cyber Threat Hunting ist die proaktive Suche nach Bedrohungsakteuren die bereits in einem Netzwerk aktiv sind, aber noch nicht von automatisierten Systemen erkannt wurden. Im Gegensatz zu Incident Response (reagiert auf Alerts) geht Threat Hunting von der Hypothese aus: "Wir könnten bereits kompromittiert sein - lass uns aktiv suchen." Erfahrene Angreifer können Monate im Netzwerk verweilen bevor sie entdeckt werden.
KPIs für Threat Hunting: □ Hunts pro Monat: Ziel ≥ 4 (mind. 1/Woche) □ True Positive Rate: % Hunts die echte Threats fanden □ MTTD-Reduktion: wie viel früher werden Threats erkannt? □ New Detection Rules: wie viele neue Rules aus Hunts entstanden? □ Dwell Time: hat sich die durchschnittliche Dwell Time reduziert?
Phase 1 (Recon) → Minimale Info-Exposure, OSINT-Monitoring Phase 2 (Weapon) → Threat Intelligence Feeds (bekannte Malware-Hashes) Phase 3 (Delivery) → E-Mail-Filterung, Anti-Phishing, Security Awareness Phase 4 (Exploit) → Patch Management, EDR, WAF Phase 5 (Install) → Application Whitelisting, Privilege Management Phase 6 (C2) → DNS-Filtering, Firewall Egress Rules, NTA Phase 7 (Action) → Datenverschlüsselung, DLP, Netzwerksegmentierung
## Die drei TI-Ebenen
## Indicators of Compromise (IoCs) und Indicators of Attack (IoAs)Quellen & Referenzen
- [1] MITRE ATT&CK Framework - MITRE Corporation
- [2] STIX 2.1 Standard - OASIS
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
11 Publikationen
- Understanding Regional Filter Lists: Efficacy and Impact (2025)
- Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem (2025)
- A Platform for Physiological and Behavioral Security (2025)
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers (2024)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- People, Processes, Technology - The Cybersecurity Triad (2023)
- Social Media Scraper im Einsatz (2021)
- Digital Risk Management (DRM) (2020)
- New Work - Die Herausforderungen eines modernen ISMS (2024)
