Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr

Bedrohungsdaten verstehen und effektiv nutzenDr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.