Threat Intelligence

Threat Intelligence ist das, was ein Sicherheitsteam, das Angriffe antizipiert, von einem unterscheidet, das nur hinterher aufräumt. Jeder Gegner hinterlässt Spuren: die Werkzeuge, die er baut, die Techniken, die er wiederverwendet, die Infrastruktur, die er mietet, und die Ziele, die er verfolgt. Threat Intelligence ist die Disziplin, diese Spuren zu sammeln, sie zu analysieren und sie in Kontext zu verwandeln, der echte Entscheidungen leitet, von der nächsten zu schreibenden Erkennung bis dahin, wo das Unternehmen sein Sicherheitsbudget ausgeben sollte. Ohne sie reagieren Verteidiger blind auf jeden Alarm, der ausgelöst wird; mit ihr wissen sie, welche Bedrohungen für sie wirklich zählen.

Daten sind keine Intelligence

Eine Liste schädlicher IP-Adressen ist ein Datum. Ein Feed mit Datei-Hashes ist ein Datum. Nichts davon wird zu Intelligence, bis jemand es im Hinblick auf eine Frage analysiert, die einem bestimmten Publikum wichtig ist. Diese Analyse ist die Arbeit eines Threat-Intelligence-Analysten, der aus vielen Quellen sammelt, das Rauschen entfernt, Kontext ergänzt und etwas erzeugt, auf das ein Verteidiger reagieren kann.

Am sinnvollsten lässt sich diese Arbeit nach Ebenen ordnen:

Diese Ebenen sind unterschiedliche Produkte für unterschiedliche Leser. Eine Führungskraft braucht keinen Datei-Hash, und ein Analyst, der eine Erkennungsregel schreibt, braucht keine Risikozusammenfassung auf Vorstandsebene. Die Ebenen zu verwechseln ist einer der häufigsten Gründe, warum Intelligence-Programme keinen Mehrwert liefern.

Die gemeinsame Sprache: MITRE ATT&CK

Taktische Intelligence wird weit wirkungsvoller, wenn alle das Verhalten des Gegners auf dieselbe Weise beschreiben. Genau das leistet MITRE ATT&CK, eine Wissensdatenbank realer Taktiken und Techniken. Statt vager Notizen wie "der Angreifer hat Zugangsdaten gestohlen" ordnen Teams das Verhalten präzisen Techniken zu (zum Beispiel OS Credential Dumping, T1003), wodurch Intelligence über Berichte, Werkzeuge und Teams hinweg vergleichbar wird.

Quellen sammeln

→anreichern

Analysieren und ATT&CK zuordnen

→erzeugen

Fertige Intelligence

→handeln

Erkennen und jagen

Eine bemerkenswerte Entwicklung ist, dass Technologieanbieter inzwischen direkt zu diesem Bild beitragen. Anthropic hat etwa einen LLM ATT&CK Navigator veröffentlicht, der abbildete, wie seine Modelle von Angreifern missbraucht wurden, und diese Intelligence floss in die breitere Aufzeichnung der Branche ein, einschließlich des Verizon DBIR. Unsere Analyse dazu, wie Angreifer KI als Waffe einsetzen, zeigt, was das in der Praxis für Verteidiger bedeutet.

Vom Wissen zum Handeln

Intelligence zählt nur, wenn sie verändert, was ein Team tut. In einem Security Operations Center verfeinert taktische Intelligence die Erkennungen und priorisiert Alarme. Sie treibt auch das Threat Hunting an: Statt Systeme zufällig zu durchsuchen, nutzen Jäger Intelligence über bekannte TTPs, um dort zu schauen, wo Angreifer tatsächlich agieren. Auf strategischer Ebene prägt dasselbe Wissen, wo die Führung investiert, welche Kontrollen zuerst gebaut werden und welche Risiken akzeptiert werden.

Threat Intelligence ist die Brücke zwischen deinen Gegner kennen und auf ihn vorbereitet sein. Gut gesammelt und einer gemeinsamen Sprache zugeordnet, lässt sie Verteidiger zuerst handeln statt zuletzt.