Threat-Intelligence-Feeds, Indicators of Compromise und automatisierte Detektion entfalten ihren Nutzen nur im Kontext eigener Risiken. Warum standardisierte Intelligence ohne Einbettung zur operativen Belastung wird.
Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar.
Nicht zuletzt durch das breite Angebot globaler Plattformbetreiber neigen viele Organisationen dazu, Technologie und darin enthaltene Elemente ohne angemessene Prüfung hinsichtlich Relevanz für die eigene Organisation lediglich stumpf anzuwenden.
Detektion und Reaktion – für viele Organisationen der Einstieg in die operative Informationssicherheit. Die in Standards und gegebenenfalls relevanten Compliance-Vorgaben geforderte Orientierung an individuellen Risiken wird meist nur auf die Assets der eigenen Organisation angewendet.
Die operative Informationssicherheit wird vielfach an Managed Security Service Provider (MSSP) ausgelagert, darüber hinaus existiert eine sehr unübersichtliche, höchst heterogene Landschaft an Tools und Technologieanbietern. MSSP, Tools und Technologieanbieter stellen ihren Kunden (Konsumenten) in der Regel ein standardisiertes Basisset an Intellectual Property bereit, angefangen bei Threat-Intelligence-Feeds (TI) bis hin zu Detektionsszenarien, alles in höchst unterschiedlicher Güte.
(Un)reflektierte Übernahme von IoCs
Gerade an diesem Punkt zeigt sich ein zentrales Dilemma: Was als wertvolle Unterstützung gedacht ist, verkommt im Alltag vieler Organisationen zu einer reinen Sammlung standardisierter Informationen. Ein besonders anschauliches Beispiel dafür sind Indicators of Compromise (IOCs). Sie bilden oft das Fundament der Detektion, werden aber ebenso häufig unreflektiert übernommen.
Ohne Kontext zur eigenen Bedrohungslage, zur Branche oder zu aktuellen Angriffskampagnen laufen IOCs Gefahr, schnell zu veralten oder Fehlalarme zu produzieren. Damit werden sie von einem potenten Werkzeug zur Belastung für Analysten und Security Operations. Was der Konsument von IOCs zunächst unbedingt verstehen muss, ist, wo sie herkommen und wie sie erzeugt werden. Analog zu echten Fingerabdrücken von echten, menschlichen Tätern, muss in der digitalen Welt zunächst jemand einen Täter erwischt haben (einen Einbruch detektiert). Hat man den Täter beziehungsweise typischerweise die Tätergruppe, werden die Fingerabdrücke genommen.
Die verwendete Schadsoftware wird forensisch analysiert und per HASH eineindeutig einem Täter zugeordnet (attributiert), seine Rückmelde-Infrastruktur, die sogenannte Command & Control Infrastruktur (C2) wird der Akte des Täters hinzugefügt (Domains und IP-Adressen). Zudem wird Kontext erzeugt, das heißt welche Branchen in welcher Region angegriffen werden, wann wurde der Fingerabdruck das erste Mal und das letzte Mal beobachtet (first seen - last seen).
Kontext ist wichtig, da wir nur für uns relevante Intelligence konsumieren sollten (need-to-know versus nice-to-know), um unsere Systeme nicht mit unwichtigen, irrelevanten Information zu fluten und unsere Prozesse nicht unnötig zu verlangsamen. Wenn man alle verfügbaren kostenlosen und kommerziellen IOC Feeds kritiklos in seine Systeme füttert, ist das nicht zielführend.
Ein weiteres Kriterium an Intelligence ist der Faktor „zeitnah“. Nur IOCs, die so aktuell wie möglich sind, schützen unsere Infrastrukturen. Open-Source IOC-Feeds benötigen schon mal 60 Tage oder mehr, von der Erzeugung eines IOCs bis zur Veröffentlichung. Das kann bei fortschrittlichen Angreifern sowohl aus dem E-Crime-Umfeld als auch bei nationalstaatlichen Angreifern wesentlich zu lange sein. Kommerzielle IOC-Feed-Anbieter verarbeiten Schadsoftware automatisiert, teilweise mit KI-Unterstützung und sind in der Lage, IOCs in nahezu Echtzeit ihren Kunden zur Verfügung zu stellen.
Nachgelagerte Bewertung
Es finden in der Regel keine weiteren Recherchen zu Domains und IP-Adressen statt. Das heißt der Konsument bekommt nur das zu sehen, was die Automaten des Anbieters aus der Schadsoftware extrahieren können. Liegen etwa auf einer zur C2-Domain gehörenden IP-Adresse weitere Domains, wären das unter Umständen weitere IOCs, die schützen können. Konsumenten haben in der Regel keine Zeit und keine Ressourcen, jede Domain und IP-Adresse aus IOC-Feeds näher zu betrachten.
Daher empfiehlt sich die nähere Untersuchung von Infrastruktur nur, wenn Konsumenten Reports und Analysen von IT-Sicherheits-Anbietern lesen und diese als relevant eingestuft haben. Beispielsweise wenn der Konsument ein Energieversorger ist und „Dragos“-Angriffe beschreibt, die man zum russischen Nexus attribuiert hat. Dann kann Passiv-DNS genutzt werden, um zu prüfen, ob weitere relevante IOCs herausgearbeitet werden können. Es hilft auch zu schauen, ob andere Anbieter von TI zum selben Täter Berichte oder Blogs veröffentlicht haben und die IOCs aus allen Reports gegen die eigene Infrastruktur prüfen (Threat Hunting).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein anderer wesentlicher Aspekt ist der Marktanteil des IOC-Herstellers in Regionen und Branchen. Wenn man davon ausgeht, dass die qualitativ besten IOC-Feeds von Herstellern erzeugt werden, die diese aus der Endpoint-Telemetrie extrahieren, dann hat selbst der zurzeit größte EDR-Hersteller einen Anteil um die 20 Prozent in Deutschland und global. Sehr stark vereinfacht bedeutet das für den IOC-Konsumenten, dass hier 80 Prozent Sichtbarkeit fehlen und er anderer Hersteller zusätzlich onboarden sollte.
Threat-Hunting
Wichtig ist auch, sich immer wieder ins Gedächtnis zu rufen, warum wir IOCs überhaupt konsumieren; Wir konsumieren IOCs sozusagen als zweite Meinung zusätzlich zu SIEM, XDR, EDR oder um etwa Blocklisten auf Firewalls dynamisch zu erzeugen. Denn wir sollten uns bewusst sein, dass keine Sicherheitstechnologie der Welt während ihrer Laufzeit durchgehend hundertprozentigen Schutz leisten wird.
Das heißt aus der Sicht eines IT-Sicherheits-„Philosophen“ resultieren daraus zwei Konsequenzen: Wir müssen daher davon ausgehen, dass wir möglicherweise schon einen Einbrecher in unserem IT-Netz haben. Daraus folgt wiederum, dass wir uns auf die Jagd nach potentiellen Einbrechern innerhalb unserer Infrastruktur begeben müssen (Threat Hunting).
Die andere Konsequenz ist, dass wir davon ausgehen, dass der Einbrecher uns unsere Daten schon gestohlen hat und wir uns auf die Suche nach unseren Daten außerhalb unserer Infrastruktur machen müssen, um Schäden – wie Reputation, Unternehmenswert, Strafen durch Aufsichtsbehörden – zu minimieren.
Um IOC-Feeds also konsumieren und zielgerichtet, bezogen auf die eigene Organisation, anwenden zu können, ist es essentiell wichtig, die darin enthaltenen Informationen zu verstehen und eine Zuordnung auf unterschiedlichste Assets gewährleisten zu können. Der „schulbuchmäßige Ansatz“ sieht also vor, die Integration von IOC-Feeds frühzeitig zu berücksichtigen und das risikoorientiert und individuell bezogen.
Jörg Schauff, NSIDE ATTACK LOGIC, hat über 20 Jahre Erfahrung mit Threat Intelligence sowohl in der Spionageabwehr als auch im privaten Sektor.
Markus Thiel, Orange Cyberdefense, unterstützt Organisationen in der operativen Informationssicherheit - insbesondere bei der Operationalisierung regulativer Compliance.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/d2/e9d2b519698bb7dc52d21d1735ff6b6e/0128637037v2.jpeg "Europa droht laut Google 2026 eine deutliche Zunahme staatlich gesteuerter Cyberangriffe, bei denen KI-gestützte Deepfakes, Vishing und eingeschleuste falsche IT-Fachkräfte gezielt Unternehmen ausspähen, erpressen und sabotieren. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/44/b444e312fe3afc078a5dccb184098b0f/0128881472v2.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/58/f15806f70c97abf54bdc583a063b3f3f/0128109853v1.jpeg "Das Cloud Cost Insight Dashboard bietet Einblicke in die Nutzung von Azure Virtual Desktop. Dies kann bei der Optimierung der Cloud-Ausgaben helfen. (Bild: Parallels)")
:quality(80)/p7i.vogel.de/wcms/c6/dc/c6dc484c002d4c89d06f11173e753926/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/6e/e6/6ee646db17c9fde60a314f5a304829f4/0128889483v1.jpeg "Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen. (Bild: © Woodapple - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/f0/da/f0da38d80ee59186b3568fff81976c18/0127189701v1.jpeg "Unit 42 verfolgt die Aktivitäten von Phantom Taurus seit fast drei Jahren und liefert nun neue Einblicke in die Arbeitsweise der Gruppe. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/20/c520d821ae4fde4ea79c62f16645e417/0122725183v1.jpeg "Egal, welche Größe und egal, welche Branche: Auch deutsche Unternehmen sind vor Cyberkriminellen nicht sicher. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/e5/11e5e7050c56016b1749b1ce3e139754/0128648571v2.jpeg "Es gibt auch Lichtblicke während des Sturms: Während Orange Cyberdefense zwar eine Zunahme der professionalisierten Cyberkriminalität beobachtet, werden strikte Vorgaben wie NIS 2 und der Cyber Resilience Act die Resilienz von Unternehmen erhöhen. (Bild: RISHAD - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/4d/d14d69b8deadb79ac2385dd33a4b9244/0116003354.jpeg "Ein wichtiger Teil des Development-Workflows sind Sicherheitstests. (© Witthaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/58/8258f77602765b44d67c3a2130f4aefd/0127117122v1.jpeg "DNS-Datenanalysen belegen, dass Vane Viper in etwa 50 Prozent der Kundennetzwerke von Infoblox sichtbar ist. (Bild: © Gold - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")