Ressourcen · Leitfaden · CTI · 1 Min. Lesezeit

Warum ein eigener Intelligence-Feed, kein weiterverkaufter

Kurz gesagt

Ein Intelligence-Feed ist nur so gut wie seine Quelle. Generische, weiterverkaufte Feeds aggregieren fremde Indikatoren, oft veraltet und ohne Kontext: Rauschen, das das SIEM verstopft. Ein feldbeobachteter, eigener Feed entsteht aus realen Vorfällen und direkter Akteursrecherche: frische, zugeschriebene IOCs, die für Ihre Branche relevant sind. Der Unterschied ist nicht die Menge der Indikatoren, sondern wie viele davon für Sie wirklich zählen.

Die These

Alle verkaufen «Threat Intelligence». Wenige erzeugen sie. Der Unterschied zwischen einem Feed, der schützt, und einem, der nur Rauschen macht, ist nicht die Zahl der Indikatoren, sondern woher sie kommen: Ein eigener Feed, geboren aus realen Vorfällen, kann Ihnen sagen, wer Sie angreift und warum; ein weiterverkaufter Feed gibt Ihnen eine Liste.

Die Kosten, ihn nicht (oder falsch) zu haben

Ein generischer Feed füllt das SIEM mit isolierten, oft veralteten Indikatoren: Das SOC ertrinkt in False Positives, und die echten Signale gehen verloren. Die Kosten sind nicht nur das Feed-Abonnement, sondern die Zeit der Analysten und die verpassten wichtigen Alarme. «Einen Feed» zu haben ist nicht dasselbe wie Intelligence zu haben.

Was ein feldbeobachteter Feed liefert

Frische, zugeschriebene IOCs (34k+ wöchentlich validiert), an einen Akteur und eine Branche gebunden, erzeugt aus bearbeiteten Vorfällen und direkter Recherche. Es ist der Unterschied, der die Zuschreibung von Nebula Broker ermöglicht hat, später von Mandiant bestätigt: Intelligence, die vorwegnimmt, nicht die beschreibt.

Wann es wirklich zählt (und wann weniger genügt)

Es zählt, wenn Sie ein SOC/SIEM haben, das ihn konsumieren und handeln kann, oder ein MDR, das ihn für Sie anwendet. Wenn Sie noch keine operative Detection haben, kommt zuerst die Außenstelle (ein MDR oder ein SOC), dann speist der Feed sie: Ein Feed ohne jemanden, der ihn nutzt, bleibt eine Datei. Ehrlich gesagt: Ein Kleinstunternehmen ohne SOC hat mehr Nutzen davon, Identität und Backups abzusichern, als einen Feed zu kaufen.

Vergleich

Generischer, weiterverkaufter Feed vs feldbeobachteter, eigener Feed

Generischer, weiterverkaufter FeedEigener Fortgale-Feed
QuelleAggregation DritterReale Vorfälle + direkte Recherche
KontextIsolierter IndikatorAkteur, TTP, anvisierte Branche
AktualitätOft veraltet34k+ IOCs wöchentlich validiert
Wirkung auf das SOCRauschen und False PositivesGezielte Detection, weniger Rauschen
Feldbeobachteter Nachweis · originäre Intelligence

Fortgale war der Erste, der den italienischen Akteur Nebula Broker (BrokerLoader-Malware, 2023) zuschrieb, später von Mandiant (Google) als UNC4990 bestätigt. Die TTPs und IOCs dieses Akteurs flossen in den Feed der Kunden: erzeugte Intelligence, keine gekaufte.

Zur Recherche →
FAQ

Häufige Fragen.

Was riskiere ich mit einem generischen Feed?

Volumen ohne Relevanz: Tausende kontextlose Indikatoren, die False Positives erzeugen, Analysten überlasten und die Signale verdecken, die zählen. Ein Feed, den Sie nicht nachvollziehen können, ist keine Verteidigung, sondern Rauschen.

Was macht einen Feed «eigen»?

Dass die Intelligence von denen erzeugt wird, die sie nutzen: bearbeitete Vorfälle, Akteursrecherche, Deep- und Dark-Web-Monitoring. Fortgale verfolgt 287 Gegnergruppen und offensive Werkzeuge, die für die EU relevant sind.

Lässt sich der Feed in mein SIEM integrieren?

Ja: Die IOCs sind maschinenlesbar und integrieren sich in SIEM/EDR/Firewall. Im Fortgale-Modell ist der Feed bereits in den MDR-Service integriert und wird in Echtzeit auf die Detection angewendet.

Ist er auch für ein mittelständisches Unternehmen nützlich?

Ja. Entscheidend ist zu wissen, welche Akteure Ihre Branche ins Visier nehmen, und Indikatoren zu erhalten, die auf Ihren Stack anwendbar sind, nicht den größten Feed zu haben. Relevanz schlägt Volumen.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale Intelligence-Feed.

Verwandte Ressourcen: Was ist CTI · Die Rolle der CTI in der Verteidigung · CTI für den Vorstand

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.