Fast alle Sicherheitsverantwortlichen schätzen Cyber Threat Intelligence als wertvoll ein, aber nur jeder Vierte lässt sie tatsächlich in Entscheidungen einfließen. Ein aktueller SANS-Report erklärt, warum CTI-Teams trotz wachsender Anerkennung um echten Einfluss kämpfen.
Anerkennung allein macht Cyber Threat Intelligence noch nicht wirksam. Erst der Einfluss auf tatsächliche Entscheidungen entscheidet über ihren Wert.
(Bild: Gemini / KI-generiert)
Die Disziplin der Cyber Threat Intelligence (CTI) hat den Kampf um ihre Relevanz gewonnen, denn 91 Prozent der Security-Führungskräfte halten CTI für wertvoll oder äußerst wertvoll. Ein Makel jedoch bleibt, denn nur 26 Prozent geben an, dass sie auch ihre Entscheidungen maßgeblich beeinflusst. Diese Kluft zwischen Anerkennung und Handeln ist die wichtigste Erkenntnis des Berichts und verdeutlicht eine neue Herausforderung für Intelligence-Teams: den Wandel vom Informationslieferanten zum Entscheidungsunterstützer.
Das zumindest sind einige der wichtigsten Erkenntnisse des „SANS Cyber Threat Intelligence Surveys 2026“. Zum ersten Mal umfasste die SANS-Umfrage einen eigenen Fragebogen für Führungskräfte, in dem die Antworten von 67 CISOs und CSOs erfasst wurden. Die Ergebnisse zeigen, dass Führungskräfte und Praktiker sich weitgehend über die Bedeutung von CTI einig sind. Sie offenbaren jedoch auch eine Diskrepanz zwischen den erstellten Informationen und den Entscheidungen, die Führungskräfte treffen müssen.
Sicherheitsverantwortliche verlangen nicht nach mehr Berichten. Sie wollen Informationen, die ihnen Aufschluss darüber geben, wo sie Ressourcen bündeln sollten, welche Schwachstellen sofortiges Handeln erfordern und wie Angreifer ihrem Unternehmen gefährlich werden. Informationen, die Bedrohungen beschreiben, ohne sie mit geschäftlichen Entscheidungen zu verknüpfen, werden zunehmend als unvollständig angesehen.
Die Umfrage zeichnet das Bild eines Fachbereichs, der unter Druck steht. Mehr als die Hälfte der Befragten verfügt mittlerweile über eigene CTI-Teams – der höchste Wert, der in der Umfrage jemals verzeichnet wurde. Die meisten Teams sind jedoch nach wie vor klein und bestehen aus weniger als vier Vollzeitmitarbeitern. Viele Organisationen verlassen sich weiterhin auf einen einzigen CTI-Experten oder auf geteilte Zuständigkeiten, die auf mehrere Sicherheitsfunktionen verteilt sind.
Gleichzeitig wird von der CTI erwartet, dass sie ein immer breiteres Spektrum an Aktivitäten unterstützt, darunter Sicherheitsoperationen, Bedrohungssuche, Incident Response, Schwachstellenmanagement, Risikomanagement, Entscheidungsfindung auf Führungsebene und Sicherheitsbewusstsein. Die Folge ist ein wachsendes Missverhältnis zwischen den Erwartungen und den verfügbaren Ressourcen.
Der Bericht argumentiert, dass die CTI schneller eingeführt wurde, als sie finanziert wurde. Viele Teams verbringen ihre Zeit damit, auf unmittelbare operative Anfragen zu reagieren, anstatt strategische Intelligence-Produkte zu erstellen.
Sicherheitsoperationen übernehmen die Führung
Eine der bemerkenswertesten Erkenntnisse ist die Rückkehr der Security Operations als primärer Anwendungsfall von CTI. Security Operations und Network Defence rangieren nun zum ersten Mal seit 2022 vor der Bedrohungssuche, wobei 71 Prozent der Unternehmen Informationen zur Unterstützung ihrer täglichen Verteidigungsmaßnahmen nutzen.
Diese Verschiebung spiegelt ein umfassenderes Bestreben wider, Informationen operativ zu nutzen. Anstatt in isolierten Berichten zu verbleiben, fließt CTI zunehmend in Detection-Regeln, Playbooks, Maßnahmen zur Priorisierung von Schwachstellen und Workflows zur Incident Response ein.
Diese Integration stärkt zwar die Abwehrmaßnahmen, birgt aber auch ein Risiko. Informationsteams, die sich ausschließlich auf die operative Unterstützung konzentrieren, haben weniger Zeit, die von Führungskräften benötigten längerfristigen Analysen zu erstellen. CTI wird zunehmend in den täglichen Betrieb integriert, deshalb kann sein strategischer Einfluss nachlassen.
Künstliche Intelligenz (KI) gestaltet auch die CTI-Landschaft neu. Fast die Hälfte der Unternehmen gibt an, KI aktiv in ihren Intelligence-Programmen einzusetzen, während ein weiteres Drittel plant, sie bald einzuführen. Zu den häufigsten Anwendungsbereichen gehören die Datenzusammenfassung, die Erstellung von Berichten, die Informationsextraktion und die Automatisierung von Arbeitsabläufen.
Wichtig ist, dass KI die Analysten nicht ersetzt. Stattdessen nutzen Unternehmen sie, um sich wiederholende Aufgaben zu eliminieren und den Analysten den Rücken freizuhalten. Sie konzentrieren sich auf höherwertige Tätigkeiten wie Kontextanalysen, die Einbindung von Stakeholdern und die Entscheidungsunterstützung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Umfrage zeigt, dass erfolgreiche Programme einen „Human-in-the-Loop“-Ansatz verfolgen, bei dem KI zur Beschleunigung von Arbeitsabläufen eingesetzt wird, während die Analysten weiterhin für Schlussfolgerungen und Empfehlungen verantwortlich sind. Dieses Modell scheint den Teams zu helfen, trotz begrenzten Personalzuwachses mit steigenden Arbeitsbelastungen fertig zu werden.
Governance und Messung bleiben Schwachstellen
Die Umfrage identifiziert zudem die Governance als ein zunehmendes Problem. Mehr als die Hälfte der Befragten gibt an, dass ihre Prozesse zum Informationsaustausch nicht offiziell von Rechtsberatern geprüft wurden, obwohl neue Vorschriften wie NIS2 und der Cyber Resilience Act zusätzliche Melde- und Compliance-Verpflichtungen mit sich bringen.
Gleichzeitig haben viele Organisationen Schwierigkeiten, die Wirksamkeit von CTI zu messen. Fast die Hälfte sammelt kein systematisches Feedback zu Intelligence-Produkten, und 43 Prozent verfolgen den Reifegrad ihrer CTI-Programme nicht nach. Ohne Kennzahlen wird es schwierig, den Nutzen nachzuweisen, Finanzmittel zu sichern oder eine Programmerweiterung zu rechtfertigen.
CTI hat sich rasch weiterentwickelt, nun steht sie aber vor einer neuen Realität. Sie kämpft nicht mehr um Legitimität. Sie kämpft um Einfluss. Organisationen, die in der nächsten Phase der Bedrohungsanalyse erfolgreich sein werden, werden sich weniger darauf konzentrieren, mehr Berichte zu erstellen, sondern vielmehr darauf, Informationen zu liefern, die konkrete Entscheidungen unterstützen. Das bedeutet, Informationen mit relevanten Bedrohungen zu verknüpfen, messbare Ergebnisse zu erzielen, die Governance zu stärken und Produkte auf die Prioritäten der Führungskräfte abzustimmen.
Fazit
Die Zukunft von CTI wird nicht davon bestimmt, wie viele Informationen die Teams sammeln. Sie wird davon bestimmt, ob diese Informationen Entscheidungsvorteile bieten und das weitere Vorgehen der Organisationen beeinflussen.
Über den Autor: Andreas Sfakianakis ist Instructor beim SANS Institute.