SOC-Teams abonnieren immer mehr Threat Feeds, doch statt Klarheit entsteht Rauschen, denn ohne Kontext lassen sich relevante Signale nicht von harmlosen Meldungen unterscheiden. Erst wenn interne Telemetrie und externe Erkenntnisse aus dem Deep und Dark Web fusionieren, werden aus Datenmengen echte Handlungsgrundlagen für die Bedrohungsabwehr.
SOC-Teams ertrinken in Threat Feeds ohne Kontext. Erst die Fusion interner Telemetrie und externer Dark-Web-Erkenntnisse schafft echte Handlungsfähigkeit.
Moderne Cybersicherheit hat ein paradoxes Problem: Die Menge an Daten zu Bedrohungen ist schier unendlich groß. Was Sicherheitsverantwortlichen zuvor dabei half, Gefahren zu erkennen, stellt sie heute vor eine neue Herausforderung. Die besteht darin, Sicherheitsinformationen intelligent und automatisiert zu verwerten, zu priorisieren und in Verteidigungsstrategien umzuwandeln. Eine intelligente Verteidigungsstrategie muss die Brücke schlagen zwischen Vorgängen innerhalb der eigenen Infrastruktur und dem Wissen darüber, wo und wie Angreifer außerhalb dieser Umgebung bereits Schaden anrichten. Um wirkliche Klarheit zu schaffen, müssen zwei Disziplinen ineinandergreifen: interne und externe Bedrohungsdaten.
Die meisten SOC-Teams abonnieren heute eine Vielzahl von Feeds über Bedrohungsdaten, auch „Thread Feeds“ genannt. Diese Datenströme sind jedoch meist generisch, fragmentiert und erreichen Sicherheitsteams oft nur verzögert. Anstatt das Risiko genau zu benennen, stiften sie zuweilen Verwirrung. Analysten verbringen dann wertvolle Zeit damit, redundante Warnmeldungen zu sortieren und zu deduplizieren, während IT-Teams Schwachstellen (CVEs) nachjagen, die in der Praxis vielleicht nie ausgenutzt werden. So werden sicherheitskritische Entscheidungen auf der Basis von unvollständigen oder unzureichend aufbereiteten Daten getroffen.
Das Ergebnis ist das besagte Paradoxon: Es gibt mehr Signale und Informationen als je zuvor, während die präventive Handlungsfähigkeit schwindet. Die Lösung liegt nicht in einem weiteren Daten-Feed, sondern in der Kontextualisierung. Unternehmen müssen identifizieren können, welche Signale für ihre Sicherheit relevant sind. Doch der Blick muss noch viel mehr geweitet werden, denn es zählt nicht nur, was vor der eigenen Haustür passiert. Auch, welcher Branche man beispielsweise angehört, hat erhebliche Auswirkungen darauf, welche Taktiken Cyberkriminelle einsetzen, wie wahrscheinlich ein Angriff ist und welcher Vektor dafür wahrscheinlich ausgenutzt wird.
Interne Bedrohungsdaten sind in der aktiven Nutzung oft auf Protokolle und Telemetrie der eigenen Umgebung beschränkt. Dann ergibt sich jedoch nur ein Teil des Gesamtbildes, denn ihre volle Wirkung entfaltet interne Threat Intelligence erst, wenn sie durch globale Erkenntnisse „von außen“ angereichert wird.
Moderne Sicherheitsarchitekturen nutzen automatisierte Analyse-Plattformen, um Millionen von Signalen aus offenen Quellen sowie dem Deep- und Dark Web zusammenzutragen. Durch den Einsatz von KI und maschinellem Lernen lassen sich echte Bedrohungsmuster von harmlosem Rauschen trennen. Idealerweise entsteht so effektive Intelligenz von zwei Seiten: Die unternehmenseigene Telemetrie validiert globale Muster und das Wissen um diese Muster härtet dann die eigene Umgebung. Das Resultat ist ein dynamisches Bild akuter Sicherheitsschwachstellen wie CVEs und IoCs (Indicators of Compromise).
Outside-In: Die Absichten feindseliger Akteure kennen
Die externe Perspektive zeigt auf, was Angreifer jenseits des eigenen Perimeters planen. Hier wird die Absicht hinter den Angriffen sichtbar: von Aktivitäten in Dark-Web-Foren über Brand Phishing bis hin zu Phishing-Kits.
Angreifer agieren heute hochgradig organisiert, betreiben „Phishing-Fabriken“ und automatisieren die Imitation bekannter Domänen wie Amazon, DHL, Microsoft oder PayPal. Besonders kritisch ist der Handel mit gestohlenen Zugangsdaten: Im Jahr 2025 nahmen Datenlecks um 160 Prozent im Vergleich zum Vorjahr zu. 22 Prozent dieser Sicherheitsverletzungen waren auf gestohlene Logins zurückzuführen. Effektive externe Intelligence muss diese Leaks erkennen und Alarm schlagen, bevor es zur Übernahme von Konten kommt. Obendrein sollte man mit einem hybriden Ansatz aus KI-gestützten Crawlern und Sicherheitsexperten das Deep- und Dark Web in geschlossenen Communities nach Informationen durchforsten, um zusätzliche Erkenntnisse zu gewinnen, die nicht im „Surface Web“ verfügbar sind.
Die Kür: Wenn interne und externe Bedrohungsdaten fusionieren
Der wahre Wert der Bedrohungsanalyse entsteht an dem Punkt, an dem externe Erkenntnisse mit der internen Datenlage verschmelzen. Ohne diesen Kontext führt interne Signalverarbeitung zu blinder Priorisierung, während übermäßige externe Signale lediglich Rauschen erzeugen.
Erst die Korrelation aktueller cyberkrimineller Aktivitäten mit den tatsächlich exponierten Schwachstellen im Netzwerk schafft Handlungsfähigkeit. Ein Beispiel: Kursiert ein geleaktes Passwort in einem Dark-Web-Forum ist das zwar besorgniserregend. Wenn dieses Konto jedoch Zugriff auf eine falsch konfigurierte Cloud-Ressource hat, wird die Situation noch kritischer und muss anders gewichtet werden. Ebenso ist eine Phishing-Domäne gefährlich, aber wenn das E-Mail-Gateway keine entsprechenden Schutzmechanismen aufweist, wird die Abwehr zur dringenden Priorität. Sobald absolute Klarheit über die Brisanz der Sicherheitssituation herrscht, können Rauschen vermindert und Prioritäten schneller gesetzt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn interne Telemetrie und externe Signale intelligent zusammengebracht werden, gewinnen Unternehmen eine fundierte Entscheidungsgrundlage, um Bedrohungen zu erkennen und zu adressieren. Reale, akute Risiken sind dann die Grundlage für die Priorisierung statt bloßer Vermutungen. Diese integrierte Sichtweise unterstützt nicht nur SOC-Analysten bei einer schnelleren Triage, sondern hilft auch CISOs, Risiken in verständlicher, geschäftsrelevanter Sprache an das Management zu kommunizieren.
Interne Informationen enthüllen, welche Türen offenstehen und ausnutzbar sind und externe Informationen zeigen auf, was gezielt als Waffe von Cyberkriminellen eingesetzt wird. In der Kombination liegt die notwendige Klarheit, um präventiv zu agieren und die Cyber-Resilienz nachhaltig zu stärken.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/8b/9a8b353585fa67b837b3eeeb55e84623/0130918083v1.jpeg "SOC-Teams ertrinken in Threat Feeds ohne Kontext. Erst die Fusion interner Telemetrie und externer Dark-Web-Erkenntnisse schafft echte Handlungsfähigkeit. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/ac/d2ac7a368cf24720d9e457dc79052abf/0131125091v1.jpeg "Die Schwachstelle EUVD-2026-10744 / CVE-2026-3854 ermöglicht es Angreifern Remote Code auf GitHub-Backends auszuführen, wodurch auf GitHub Enterprise Server eine vollständige Kompromittierung mit Zugriff auf alle Repositories und interne Secrets möglich ist. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/b9/9ab94376743167f94fe355d80b776665/0131155123v2.jpeg "In Deutschland wie auch in Frankreich stehen zwei Minderjährige unabhängig voneinander unter Verdacht, Cyberangriffe begangen zu haben. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/fe/ed/feedfc10020865481a0d10cd7b3ef6c4/0130885606v1.jpeg "Prof. Dr. Dr. h.c. Johannes Buchmann ist Mitbegründer des Forschungsgebiets der Post-Quantum-Kryptographie und hier einer der führenden Experten. Er beurteilt die Ergebnisse der Standardisierungsverfahren positiv: \"Die internationale Standardisierung für solche Algorithmen hat in den vergangenen Jahren große Fortschritte gemacht\".
(Bild: Katrin Binner Fotografie)")
:quality(80)/p7i.vogel.de/wcms/bc/fa/bcfaf6adcdd5b28506bb72252feecb5d/0130916006v2.jpeg "Schon ein begründeter Verdacht löst die NIS-2-Meldefrist aus. Wer zwischen Verdacht und Kenntnis zögert, riskiert persönliche Haftung der Geschäftsführung. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/1f/ea1feecf27224ae2f929666e7f1a7314/0129964794v1.jpeg "Die Cohesity Data Cloud bietet neben den Möglichkeiten für Backup und Restore auch Funktionen für modernes Datenmanagement und Cyber-Resilienz. (Bild: © Thanadon88 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fe/7ffee70dd4a831c2b2756d73c9e8e40c/0122470970v1.jpeg "Der Mai 2026 zeichnet sich durch hohes Patch-Volumen bei zugleich niedrigem Exploit-Druck aus. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/86/298680c8efc8d28b11e52f5eccd33719/0131154208v2.jpeg "Instructure untersucht einen Cybersecurity-Vorfall, bei dem ein Angreifer Zugriff auf Daten von Nutzern der Lernplattform Canvas erlangt hat. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/ab/88/ab8878adf6bf649c6d327154c55a483c/0130917727v2.jpeg "Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen. (Bild: © Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/75/4275abee7e37757723bc4b9017d2af88/0131265177v2.jpeg "Die G7-Richtlinie SBOM for AI soll alle Phasen des KI‑Lebenszyklus und die gesamte KI‑Lieferkette abgedecken – von Datenherkunft über Infrastruktur bis zu Leistung und Sicherheit. So werden Abhängigkeiten, Risiken und Verantwortlichkeiten transparent. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/17/f617f17696b551419e6222949a02e962/0130882091v1.jpeg "Täuschend echte Phishing-Mails oder Deepfakes zielen gezielt auf den Menschen als Schwachstelle. Dem können praxisnah geschulte Mitarbeiter effektiv entgegentreten. (Bild: Sharp)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345v3.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/20/d8/20d8ba08489c2a58966df2394db7bfdb/0127423854v1.jpeg "Systematische Attribution: Das Framework macht aus verstreuten Indizien ein klares Angreiferprofil. Ein Meilenstein für die moderne Bedrohungsanalyse. (Bild: © Kritsadee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/9e/139e3c7e4ec5fbda542039fb5633df54/0122647743v2.jpeg "Das weit verbreitete Common Vulnerability Scoring System liefert Informationen über die Schwere einer Sicherheitslücke. Doch die Informationen sagen meist nichts über die tatsächliche Ausnutzung durch Cyberakteure aus. (Bild: Egor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/88/4f8800a8000d2b2ef74bc1381c0a90f6/0110251928v1.jpeg "Bei OSINT steht Open Source für offene Datenquellen, die auch von Nachrichtendiensten ausgwertet werden. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/1f/631fc9b40f41fef85d8c1360a2a52495/0123873525v2.jpeg "Cyberkriminelle nutzen öffentlich zugängliche Informationen für Angriffe – Unternehmen sollten ebenfalls auf Open Source Intelligence setzen! (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/1f/62/1f629e76be21e46ce1520cbf517ba8ae/0124610273v1.jpeg "Obrela veröffentlicht eine Liste mit zehn Auswahlkriterien für MDR-Services. (Bild: Midjourney / KI-generiert)")