SANS Cyber Threat Intelligence Survey 2026 Cyber Threat Intelligence hat ein Investitionsproblem

Ein Gastbeitrag von Andreas Sfakianakis 4 min Lesedauer

Anbieter zum Thema

Fast alle Sicherheitsverantwortlichen schätzen Cyber Threat Intelligence als wertvoll ein, aber nur jeder Vierte lässt sie tatsächlich in Ent­schei­dung­en einfließen. Ein aktueller SANS-Report erklärt, warum CTI-Teams trotz wachsender Anerkennung um echten Einfluss kämpfen.

Anerkennung allein macht Cyber Threat Intelligence noch nicht wirksam. Erst der Einfluss auf tatsächliche Entscheidungen entscheidet über ihren Wert.(Bild:  Gemini / KI-generiert)
Anerkennung allein macht Cyber Threat Intelligence noch nicht wirksam. Erst der Einfluss auf tatsächliche Entscheidungen entscheidet über ihren Wert.
(Bild: Gemini / KI-generiert)

Die Disziplin der Cyber Threat Intelligence (CTI) hat den Kampf um ihre Relevanz gewonnen, denn 91 Prozent der Security-Führungskräfte halten CTI für wertvoll oder äußerst wertvoll. Ein Makel jedoch bleibt, denn nur 26 Prozent geben an, dass sie auch ihre Entscheidungen maßgeblich beeinflusst. Diese Kluft zwischen Anerkennung und Handeln ist die wichtigste Erkenntnis des Berichts und verdeutlicht eine neue Herausforderung für Intelligence-Teams: den Wandel vom Informationslieferanten zum Entscheidungsunterstützer.

Das zumindest sind einige der wichtigsten Erkenntnisse des „SANS Cyber Threat Intelligence Surveys 2026“. Zum ersten Mal umfasste die SANS-Umfrage einen eigenen Fragebogen für Führungskräfte, in dem die Antworten von 67 CISOs und CSOs erfasst wurden. Die Ergebnisse zeigen, dass Führungskräfte und Praktiker sich weitgehend über die Bedeutung von CTI einig sind. Sie offenbaren jedoch auch eine Diskrepanz zwischen den erstellten Informationen und den Entscheidungen, die Führungskräfte treffen müssen.

Sicherheitsverantwortliche verlangen nicht nach mehr Berichten. Sie wollen Informationen, die ihnen Aufschluss darüber geben, wo sie Ressourcen bündeln sollten, welche Schwachstellen sofortiges Handeln erfordern und wie Angreifer ihrem Unternehmen gefährlich werden. Informationen, die Bedrohungen beschreiben, ohne sie mit geschäftlichen Entscheidungen zu verknüpfen, werden zunehmend als unvollständig angesehen.

Kleine Teams stehen vor wachsenden Erwartungen

Die Umfrage zeichnet das Bild eines Fachbereichs, der unter Druck steht. Mehr als die Hälfte der Befragten verfügt mittlerweile über eigene CTI-Teams – der höchste Wert, der in der Umfrage jemals verzeichnet wurde. Die meisten Teams sind jedoch nach wie vor klein und bestehen aus weniger als vier Vollzeitmitarbeitern. Viele Organisationen verlassen sich weiterhin auf einen einzigen CTI-Experten oder auf geteilte Zuständigkeiten, die auf mehrere Sicherheitsfunktionen verteilt sind.

Gleichzeitig wird von der CTI erwartet, dass sie ein immer breiteres Spektrum an Aktivitäten unterstützt, darunter Sicherheitsoperationen, Bedrohungssuche, Incident Response, Schwachstellenmanagement, Risikomanagement, Entscheidungsfindung auf Führungsebene und Sicherheitsbewusstsein. Die Folge ist ein wachsendes Missverhältnis zwischen den Erwartungen und den verfügbaren Ressourcen.

Der Bericht argumentiert, dass die CTI schneller eingeführt wurde, als sie finanziert wurde. Viele Teams verbringen ihre Zeit damit, auf unmittelbare operative Anfragen zu reagieren, anstatt strategische Intelligence-Produkte zu erstellen.

Sicherheitsoperationen übernehmen die Führung

Eine der bemerkenswertesten Erkenntnisse ist die Rückkehr der Security Operations als primärer Anwendungsfall von CTI. Security Operations und Network Defence rangieren nun zum ersten Mal seit 2022 vor der Bedrohungssuche, wobei 71 Prozent der Unternehmen Informationen zur Unterstützung ihrer täglichen Verteidigungsmaßnahmen nutzen.

Diese Verschiebung spiegelt ein umfassenderes Bestreben wider, Informationen operativ zu nutzen. Anstatt in isolierten Berichten zu verbleiben, fließt CTI zunehmend in Detection-Regeln, Playbooks, Maßnahmen zur Priorisierung von Schwachstellen und Workflows zur Incident Response ein.

Diese Integration stärkt zwar die Abwehrmaßnahmen, birgt aber auch ein Risiko. Informationsteams, die sich ausschließlich auf die operative Unterstützung konzentrieren, haben weniger Zeit, die von Führungskräften benötigten längerfristigen Analysen zu erstellen. CTI wird zunehmend in den täglichen Betrieb integriert, deshalb kann sein strategischer Einfluss nachlassen.

KI hält Einzug in den Produktivbetrieb

Künstliche Intelligenz (KI) gestaltet auch die CTI-Landschaft neu. Fast die Hälfte der Unternehmen gibt an, KI aktiv in ihren Intelligence-Programmen einzusetzen, während ein weiteres Drittel plant, sie bald einzuführen. Zu den häufigsten Anwendungsbereichen gehören die Datenzusammenfassung, die Erstellung von Berichten, die Informationsextraktion und die Automatisierung von Arbeitsabläufen.

Wichtig ist, dass KI die Analysten nicht ersetzt. Stattdessen nutzen Unternehmen sie, um sich wiederholende Aufgaben zu eliminieren und den Analysten den Rücken freizuhalten. Sie konzentrieren sich auf höherwertige Tätigkeiten wie Kontextanalysen, die Einbindung von Stakeholdern und die Entscheidungsunterstützung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Die Umfrage zeigt, dass erfolgreiche Programme einen „Human-in-the-Loop“-Ansatz verfolgen, bei dem KI zur Beschleunigung von Arbeitsabläufen eingesetzt wird, während die Analysten weiterhin für Schlussfolgerungen und Empfehlungen verantwortlich sind. Dieses Modell scheint den Teams zu helfen, trotz begrenzten Personalzuwachses mit steigenden Arbeitsbelastungen fertig zu werden.

Governance und Messung bleiben Schwachstellen

Die Umfrage identifiziert zudem die Governance als ein zunehmendes Problem. Mehr als die Hälfte der Befragten gibt an, dass ihre Prozesse zum Informationsaustausch nicht offiziell von Rechtsberatern geprüft wurden, obwohl neue Vorschriften wie NIS2 und der Cyber Resilience Act zusätzliche Melde- und Compliance-Verpflichtungen mit sich bringen.

Gleichzeitig haben viele Organisationen Schwierigkeiten, die Wirksamkeit von CTI zu messen. Fast die Hälfte sammelt kein systematisches Feedback zu Intelligence-Produkten, und 43 Prozent verfolgen den Reifegrad ihrer CTI-Programme nicht nach. Ohne Kennzahlen wird es schwierig, den Nutzen nachzuweisen, Finanzmittel zu sichern oder eine Programmerweiterung zu rechtfertigen.

Die nächste Entwicklungsstufe von CTI

CTI hat sich rasch weiterentwickelt, nun steht sie aber vor einer neuen Realität. Sie kämpft nicht mehr um Legitimität. Sie kämpft um Einfluss. Organisationen, die in der nächsten Phase der Bedrohungsanalyse erfolgreich sein werden, werden sich weniger darauf konzentrieren, mehr Berichte zu erstellen, sondern vielmehr darauf, Informationen zu liefern, die konkrete Entscheidungen unterstützen. Das bedeutet, Informationen mit relevanten Bedrohungen zu verknüpfen, messbare Ergebnisse zu erzielen, die Governance zu stärken und Produkte auf die Prioritäten der Führungskräfte abzustimmen.

Fazit

Die Zukunft von CTI wird nicht davon bestimmt, wie viele Informationen die Teams sammeln. Sie wird davon bestimmt, ob diese Informationen Entscheidungsvorteile bieten und das weitere Vorgehen der Organisationen beeinflussen.

Über den Autor: Andreas Sfakianakis ist Instructor beim SANS Institute.

(ID:50895047)