Was ist Cyber Threat Intelligence (CTI)
Cyber Threat Intelligence (CTI) ist die Disziplin, die Bedrohungsinformationen sammelt, analysiert und kontextualisiert (wer angreift, mit welchen Techniken und welcher Infrastruktur), um Angriffe zu antizipieren und zu stoppen. Sie wird zu maschinenlesbaren IOCs, Profilen von Bedrohungsakteuren und Branchen-Advisories. Den Unterschied macht eigene, aus realen Vorfällen erzeugte Intelligence gegenüber Feeds, die lediglich weiterverkauft werden.
Von der Information zur Antizipation
Cyber Threat Intelligence verwandelt Rohdaten über Bedrohungen in handlungsfähiges Wissen: nicht „da draußen gibt es Malware”, sondern „dieser Akteur, mit diesen Techniken, nimmt Ihren Sektor ins Visier, hier sind die zu blockierenden Indikatoren”. Es ist der Unterschied zwischen Reagieren und Antizipieren.
Die drei Ebenen
CTI gliedert sich in strategisch (für den Vorstand: Trends und Risiko), operativ (für das SOC: Kampagnen und TTPs) und technisch (für die Werkzeuge: IOCs). Gute CTI bedient alle drei, jede für das richtige Publikum.
Eigen, nicht weiterverkauft
Der wahre Wert kommt aus Primärquellen: tatsächlich bearbeitete Vorfälle, direkte Akteursforschung, Monitoring des kriminellen Untergrunds. Genau das ermöglicht Attributionen wie Nebula Broker, später von globalen Anbietern bestätigt.
Die drei Ebenen der CTI
| Ebene | Für wen | Beispiele |
|---|---|---|
| Strategisch | Vorstand, CISO | Trends, Akteure nach Sektor, Geschäftsrisiko |
| Operativ | SOC, Threat Hunter | Aktive Kampagnen, TTPs, C2-Infrastruktur |
| Technisch | SIEM/EDR | IOCs: IPs, Domains, Hashes, YARA |
Fortgale war der Erste, der den italienischen Akteur Nebula Broker attribuierte (2023); Mandiant (Google) bestätigte ihn später als UNC4990. Eigene Intelligence, nicht weiterverkauft.
Zur Recherche →Häufige Fragen.
Was sind IOCs und TTPs?
IOCs (Indicators of Compromise) sind beobachtbare technische Daten: IPs, Domains, Hashes, URLs. TTPs (Tactics, Techniques and Procedures) beschreiben, wie ein Akteur operiert, ausgerichtet an MITRE ATT&CK. IOCs sagen, „wonach man sucht”, TTPs, „wie sich der Gegner bewegt”.
Worin unterscheiden sich eigene CTI und kommerzielle Feeds?
Viele Anbieter verkaufen aus Dritten aggregierte Feeds weiter. Eigene CTI erzeugt Intelligence aus Primärquellen: bearbeitete Vorfälle, Akteursforschung, Deep- und Dark-Web-Monitoring. Sie ist kontextreicher und handlungsfähiger.
Ist CTI nur für große Unternehmen?
Nein. Auch ein mittelständisches Unternehmen profitiert davon, zu wissen, welche Akteure seinen Sektor ins Visier nehmen, und IOCs zu erhalten, die auf den eigenen Stack anwendbar sind. CTI ist sowohl in das SOC/MDR integriert als auch eigenständig verfügbar.
Wie wird CTI in der Verteidigung genutzt?
IOCs speisen automatisch SIEM/EDR/Firewall, um bekannte Bedrohungen zu blockieren; TTPs steuern das Threat Hunting; vertikale Advisories warnen frühzeitig, wenn ein Akteur Kampagnen gegen einen Sektor vorbereitet.
Von der Theorie zum realen Einsatz.
Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale CTI-Service.
Verwandte Ressourcen: Was ist MDR · Die Rolle der CTI in der Verteidigung
Ein technisches Gespräch, kein Funnel.
Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.