Threat Intelligence (Bedrohungsinformationen) bezeichnet das systematische Sammeln, Analysieren und Auswerten von Daten zu aktuellen und potenziellen Cyberbedrohungen. Ziel ist es, fundierte Entscheidungen zur Verteidigung gegen Angriffe treffen zu können – präventiv und reaktiv.
Was ist Threat Intelligence?
Threat Intelligence liefert kontextbezogene Informationen über Angreifer, Angriffsmethoden (TTPs), Schwachstellen, Indicators of Compromise (IoCs) und Bedrohungskampagnen. Diese Informationen stammen aus internen Quellen (z. B. SIEM, EDR) und externen Feeds (z. B. CERTs, Open Source, kommerzielle Anbieter).
Formen von Threat Intelligence
-
Strategisch: Hochwertige Analysen zu Akteuren, Trends, Risiken (für CISOs & Management)
-
Taktisch: Details zu Angriffsvektoren, genutzten Tools und Techniken (für SOC & Blue Teams)
-
Operativ: Konkrete Indicators of Compromise (IPs, Hashes, URLs etc.) zur Erkennung
Nutzen von Threat Intelligence
-
Früherkennung und Vermeidung gezielter Angriffe
-
Anpassung von Sicherheitsrichtlinien und -technologien
-
Unterstützung bei Incident Response und Forensik
-
Verbesserung von SIEM-/XDR-Systemen durch Anreicherung mit Kontextdaten
Vergleich: Threat Intelligence vs. klassische Bedrohungserkennung
| Merkmal | Threat Intelligence | Klassische Erkennung (z. B. AV, IDS) |
|---|---|---|
| Datenbasis | Externe & interne Quellen, manuelle & automatisierte Auswertung | Nur lokale Ereignisse oder Signaturen |
| Kontext | Hoch (Akteure, Motivation, Angriffsmuster) | Gering (nur technische Events) |
| Prävention möglich | Ja, durch strategische Maßnahmen | Meist reaktiv |
| Dynamik | Laufend aktualisiert, anpassbar | Statisch, oft verzögert |
Threat Intelligence ist ein Schlüsselfaktor für moderne Cybersicherheit. Sie ermöglicht es Unternehmen, nicht nur auf Angriffe zu reagieren, sondern ihnen proaktiv zuvorzukommen – mit fundierten Informationen und aktuellem Bedrohungswissen.