Ressourcen · Leitfaden · CTI · 1 Min. Lesezeit

Was ist Cyber Threat Intelligence (CTI)

Kurz gesagt

Cyber Threat Intelligence (CTI) ist die Disziplin, die Bedrohungsinformationen sammelt, analysiert und kontextualisiert (wer angreift, mit welchen Techniken und welcher Infrastruktur), um Angriffe zu antizipieren und zu stoppen. Sie wird zu maschinenlesbaren IOCs, Profilen von Bedrohungsakteuren und Branchen-Advisories. Den Unterschied macht eigene, aus realen Vorfällen erzeugte Intelligence gegenüber Feeds, die lediglich weiterverkauft werden.

Von der Information zur Antizipation

Cyber Threat Intelligence verwandelt Rohdaten über Bedrohungen in handlungsfähiges Wissen: nicht „da draußen gibt es Malware”, sondern „dieser Akteur, mit diesen Techniken, nimmt Ihren Sektor ins Visier, hier sind die zu blockierenden Indikatoren”. Es ist der Unterschied zwischen Reagieren und Antizipieren.

Die drei Ebenen

CTI gliedert sich in strategisch (für den Vorstand: Trends und Risiko), operativ (für das SOC: Kampagnen und TTPs) und technisch (für die Werkzeuge: IOCs). Gute CTI bedient alle drei, jede für das richtige Publikum.

Eigen, nicht weiterverkauft

Der wahre Wert kommt aus Primärquellen: tatsächlich bearbeitete Vorfälle, direkte Akteursforschung, Monitoring des kriminellen Untergrunds. Genau das ermöglicht Attributionen wie Nebula Broker, später von globalen Anbietern bestätigt.

Vergleich

Die drei Ebenen der CTI

EbeneFür wenBeispiele
StrategischVorstand, CISOTrends, Akteure nach Sektor, Geschäftsrisiko
OperativSOC, Threat HunterAktive Kampagnen, TTPs, C2-Infrastruktur
TechnischSIEM/EDRIOCs: IPs, Domains, Hashes, YARA
Feldbeobachteter Nachweis · eigene Attribution

Fortgale war der Erste, der den italienischen Akteur Nebula Broker attribuierte (2023); Mandiant (Google) bestätigte ihn später als UNC4990. Eigene Intelligence, nicht weiterverkauft.

Zur Recherche →
FAQ

Häufige Fragen.

Was sind IOCs und TTPs?

IOCs (Indicators of Compromise) sind beobachtbare technische Daten: IPs, Domains, Hashes, URLs. TTPs (Tactics, Techniques and Procedures) beschreiben, wie ein Akteur operiert, ausgerichtet an MITRE ATT&CK. IOCs sagen, „wonach man sucht”, TTPs, „wie sich der Gegner bewegt”.

Worin unterscheiden sich eigene CTI und kommerzielle Feeds?

Viele Anbieter verkaufen aus Dritten aggregierte Feeds weiter. Eigene CTI erzeugt Intelligence aus Primärquellen: bearbeitete Vorfälle, Akteursforschung, Deep- und Dark-Web-Monitoring. Sie ist kontextreicher und handlungsfähiger.

Ist CTI nur für große Unternehmen?

Nein. Auch ein mittelständisches Unternehmen profitiert davon, zu wissen, welche Akteure seinen Sektor ins Visier nehmen, und IOCs zu erhalten, die auf den eigenen Stack anwendbar sind. CTI ist sowohl in das SOC/MDR integriert als auch eigenständig verfügbar.

Wie wird CTI in der Verteidigung genutzt?

IOCs speisen automatisch SIEM/EDR/Firewall, um bekannte Bedrohungen zu blockieren; TTPs steuern das Threat Hunting; vertikale Advisories warnen frühzeitig, wenn ein Akteur Kampagnen gegen einen Sektor vorbereitet.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale CTI-Service.

Verwandte Ressourcen: Was ist MDR · Die Rolle der CTI in der Verteidigung

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.