Threat Intelligence: Angreifer verstehen bevor sie angreifen
Threat Intelligence (TI) ist das systematische Sammeln und Analysieren von Informationen über Bedrohungsakteure, Angriffsmethoden und IoCs. Von OSINT bis zu kommerziellen Feeds: wie Unternehmen TI operativ einsetzen.
Inhaltsverzeichnis (7 Abschnitte)
Threat Intelligence (TI) - auch Cyber Threat Intelligence (CTI) - ist das Sammeln, Analysieren und Verwenden von Informationen über aktuelle und zukünftige Cyber-Bedrohungen. Ziel: Nicht reaktiv auf Angriffe reagieren, sondern proaktiv auf Bedrohungsakteure vorbereitet sein.
Drei einfache Fragen definieren TI:
- Wer greift Unternehmen wie uns an?
- Womit - welche Taktiken, Techniken und Tools?
- Warum - Motivation (finanziell, Spionage, Aktivismus)?
Die Antworten ermöglichen gezielte Schutzmaßnahmen statt generischer Sicherheit.
Die drei TI-Ebenen
Strategische Intelligence
Für CISO und Management: Überblick über Bedrohungslandschaft ohne technische Details.
Fragen die strategische TI beantwortet:
- Welche Branchen werden aktuell von welchen APT-Gruppen attackiert?
- Wie entwickeln sich Ransomware-Trends? (RaaS-Zunahme, doppelte Erpressung)
- Welche geopolitischen Ereignisse erhöhen Cyberrisiken für unser Unternehmen?
Quellen: ENISA Threat Landscape, BSI Lagebericht IT-Sicherheit, Mandiant M-Trends Report, Crowdstrike Global Threat Report.
Operative Intelligence
Für SOC-Manager und Incident Responder: Aktuelle Kampagnen und Angriffsmethoden.
Fragen die operative TI beantwortet:
- Welche Phishing-Kampagne ist gerade aktiv?
- Welche CVE wird gerade aktiv ausgenutzt (Weaponized)?
- Welche C2-Infrastruktur nutzt die Gruppe hinter dem aktuellen Angriff?
Quellen: ISACs (branchenspezifische Sharing-Plattformen), Recorded Future, Mandiant Advantage, FS-ISAC.
Taktische Intelligence
Für Security-Analysten und Threat Hunter: Konkrete Indicators of Compromise (IoCs) und Techniken. Taktische IoCs umfassen IP-Adressen bekannter C2-Server, aktive Phishing-Domains, SHA256-Hashes bekannter Malware-Dateien, YARA-Regeln für Malware-Code-Patterns sowie Snort/Suricata-Rules für Netzwerkverkehr-Patterns.
Indicators of Compromise (IoCs) und Indicators of Attack (IoAs)
IoCs - Was war da?
IoCs sind forensische Artefakte, die auf eine Kompromittierung hinweisen:
- Netzwerk-IoCs: IP-Adressen bekannter C2-Server, Phishing- und Malware-Domains, DNS-Anfragen an bekannte Malware-Domains, User-Agent-Strings bekannter Tools (z. B. Cobalt Strike Beacon).
- Datei-IoCs: SHA256-Hashes bekannter Malware-Dateien, Dateinamen und -pfade (z. B.
C:\Users\Public\svhost.exe), Registry-Keys, die Malware verwendet. - Host-IoCs: Unbekannte Dienste mit seltsamen Namen, geplante Tasks mit obfuszierten PowerShell-Commands, neue lokale Admin-Accounts.
Einschränkung von IoCs: Gute Angreifer wechseln IoCs regelmäßig (IP-Rotation, neue Domains, neu compilierte Malware). IoCs haben eine "Halbwertszeit" von Stunden bis Tagen.
IoAs - Was passiert gerade?
IoAs sind verhaltensbasiert und erkennen Angriffsmuster unabhängig von spezifischen IoCs:
- "PowerShell startet direkt nach Word" deutet auf Macro-Malware hin.
- "LSASS wird von unbekanntem Prozess accessed" ist ein Credential-Dumping-Muster.
- "Legitimes Admin-Tool (PsExec) startet zur falschen Zeit" weist auf Lateral Movement hin.
- "SMB-Traffic zum Domain Controller ohne vorherigen Login" deutet auf Pass-the-Hash hin.
IoAs sind wertvoller als IoCs - SIEM-Regeln, die IoAs erkennen, bleiben wirksam auch gegen neue Malware-Varianten.
MITRE ATT&CK: Das TI-Framework
MITRE ATT&CK ist die globale Wissensdatenbank von Angreifertaktiken und -techniken - basierend auf realen Vorfällen. Das Framework umfasst 14 Taktiken (was der Angreifer erreichen will) und über 200 Techniken mit Sub-Techniken.
| Taktik-ID | Taktik | Beschreibung |
|---|---|---|
| TA0001 | Initial Access | Wie kommt der Angreifer rein? |
| TA0002 | Execution | Wie führt er Code aus? |
| TA0003 | Persistence | Wie bleibt er? |
| TA0004 | Privilege Escalation | Wie bekommt er mehr Rechte? |
| TA0005 | Defense Evasion | Wie umgeht er Security? |
| TA0006 | Credential Access | Wie stiehlt er Zugangsdaten? |
| TA0007 | Discovery | Was findet er im Netz? |
| TA0008 | Lateral Movement | Wie breitet er sich aus? |
| TA0009 | Collection | Was sammelt er? |
| TA0010 | Exfiltration | Wie schleust er Daten aus? |
| TA0011 | Command and Control | Wie steuert er? |
| TA0040 | Impact | Was ist der finale Schaden? |
Beispiele für häufig genutzte Techniken: T1078 (Valid Accounts - gestohlene Credentials), T1053.005 (Scheduled Task - Persistenz via geplante Tasks), T1003.001 (LSASS Memory Dumping - Credential-Dump).
Praktische Nutzung: SIEM-Regeln gegen ATT&CK-Techniken statt einzelne IoCs → robustere Detection.
TI-Quellen: Kostenlos bis Enterprise
Kostenlose Quellen
OSINT / Open Source:
- VirusTotal: File-Hashes, Domains, IPs gegen 70+ AV-Scanner
- AlienVault OTX (Open Threat Exchange): Community-basierte IoC-Feeds
- Abuse.ch: Malware-Tracker, Ransomware-Tracker, Feodo-Tracker
- Shodan.io: Exponierte Systeme und Dienste
- CIRCL.lu MISP: Open Source TI-Plattform
- BSI CERT-Bund: Deutsche Warnungen und Advisories
- CVE/NVD: Schwachstellendatenbank NIST
Government/ISAC:
- CERT-Bund (BSI): Deutsche Cyber-Warnungen
- MS-ISAC: Kommunale Behörden (USA)
- FS-ISAC: Finanzsektor
- Health-ISAC: Gesundheitswesen
Kommerzielle TI-Plattformen
| Anbieter | Stärke | Preisniveau |
|---|---|---|
| Recorded Future | Umfangreichste Daten, automatische Priorisierung | $$$ |
| Mandiant Advantage | Incident-basierte Intelligence | $$$ |
| CrowdStrike Falcon X | EDR-Integration, schnelle Attributierung | $$$ |
| Flashpoint | Darknet-Monitoring, IAB-Tracking | $$$ |
| KELA | Europäischer Fokus, Deutsch | $$ |
| Flare | SMB-freundlich, Stealer-Log-Monitoring | $$ |
TI operativ einsetzen: Use Cases
SIEM-Integration: IoC-Matching
# Automatisches IoC-Matching im SIEM
# Täglich aktualisierte Blocklist in Firewall:
# Aus TI-Feed (STIX 2.1 Format) extrahieren:
import requests
ti_feed = requests.get("https://ti-provider.com/api/v1/iocs?type=ip")
malicious_ips = [ioc["value"] for ioc in ti_feed.json()["results"]]
# In Firewall-Blocklist übertragen (pfSense API Beispiel):
for ip in malicious_ips:
pfsense_api.add_to_blocklist(ip)Vulnerability Prioritization
TI hilft zu entscheiden, welche CVEs sofort gepatcht werden müssen. Ohne TI wird ein CVSS-9.8-Fund als "muss diese Woche gepatcht werden" eingestuft. Mit TI kann dieselbe CVE als "wird AKTIV von LockBit-Affiliates ausgenutzt, bereits in drei deutschen Unternehmen in dieser Woche" bewertet werden - woraus sofortiger Handlungsbedarf (heute, nicht diese Woche) folgt.
Threat Hunting
TI-Erkenntnisse über eine Angreifergruppe motivieren gezieltes Threat Hunting. Ein TI-Report über APT28 (Fancy Bear), der aktuell deutsche Verteidigungsunternehmen via Spear-Phishing mit .lnk-Dateien angreift, die PowerShell-Loader enthalten, führt zu konkreten Hunt-Hypothesen: Gibt es unbekannte .lnk-Dateien in Downloads-Ordnern? Gibt es anomale PowerShell-Prozesse, die von WINWORD.EXE gestartet wurden?
# SIEM-Query: PowerShell gestartet von Word
index=windows EventCode=4688
ParentImage="C:\\Program Files\\Microsoft Office\\...\\WINWORD.EXE"
Image="C:\\Windows\\System32\\powershell.exe"TI-Sharing: STIX/TAXII
STIX 2.1 (Structured Threat Information eXpression): Standard-Format für TI-Austausch.
TAXII (Trusted Automated Exchange of Intelligence Information): Protokoll für automatisierten TI-Austausch.
Unternehmen können über ISACs und MISP-Instanzen TI teilen - anonymisiert, strukturiert und maschinell verarbeitbar. BSI und CERT-Bund haben Sharing-Plattformen für deutsche Unternehmen.
Reifegrad: Wie nutzen Sie TI?
| Level | Merkmal |
|---|---|
| 0 | Kein TI-Einsatz, reaktiv auf Angriffe |
| 1 | Kostenlose IoC-Feeds in SIEM (IP/Domain-Blocking) |
| 2 | Branchenspezifische ISAC-Mitgliedschaft, ATT&CK-basierte SIEM-Regeln |
| 3 | Kommerzielle TI-Plattform, Threat Hunting, Vulnerability Prioritization |
| 4 | Proaktive TI-Produktion, TI-Sharing mit Partnern, eigene Attributierung |
Für die meisten deutschen KMU ist Level 1-2 realistisch und ausreichend. Level 3 für Unternehmen mit eigenem SOC.
Quellen & Referenzen
- [1] MITRE ATT&CK Framework - MITRE Corporation
- [2] STIX 2.1 Standard - OASIS
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
11 Publikationen
- Understanding Regional Filter Lists: Efficacy and Impact (2025)
- Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem (2025)
- A Platform for Physiological and Behavioral Security (2025)
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers (2024)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- People, Processes, Technology - The Cybersecurity Triad (2023)
- Social Media Scraper im Einsatz (2021)
- Digital Risk Management (DRM) (2020)
- New Work - Die Herausforderungen eines modernen ISMS (2024)
