SANS Institute publiziert Umfrage: CTI von CISOs überwiegend unterschätzt

Die Erhebung im CTI-Kontext wurde zwischen November 2025 und Januar 2026 durchgeführt, wobei ein spezielles Modul die Antworten von 67 CISOs bzw. CSOs erfasst hat

[datensicherheit.de, 31.05.2026] Ein aktueller Bericht vom SANS Institute deckt demnach die Kluft zwischen Anerkennung und Einfluss auf – die SANS-CTI-Umfrage 2026 beleuchtet erstmals beide Seiten, also sowohl die Analysten, welche Informationen bereitstellen, und die Führungskräfte, welche dann darauf reagieren. Der nun vorliegende Report „2026 Cyber Threat Intelligence (CTI) Survey Insights“ wurde von Rebekah Brown und Andreas Sfakianakis, beide „Instructors“ beim SANS Institute, verfasst. Basis der Erkenntnisse seien Antworten von 401 qualifizierten Cybersicherheitsexperten weltweit. „Sie wurden zwischen November 2025 und Januar 2026 gesammelt, wobei ein spezielles Modul die Antworten von 67 CISOs und CSOs erfasst hat.“ Diese Umfrage wurde laut Brown von den Sponsoren Broadcom, ESET, Flare, Intel 471, SOCRadar, ThreatConnect (jetzt Teil von Dataminr) und Wiz unterstützt.

Foto: SANS Institute

Rebekah Brown: Sicherheitsoperationen haben den Spitzenplatz bei den CTI-Anwendungsfällen zurückerobert, den sie zuletzt 2022 innehatten, und damit die Bedrohungssuche überholt

Einblick in CTI-Wahrnehmung der anderen Seite

Das CISO-Modul soll Fachleuten und Sicherheitsverantwortlichen einen direkten Einblick darin bieten, wie die andere Seite CTI wahrnimmt, und Führungskräften einen Einblick ermöglichen, wie Kollegen Informationen priorisieren und nutzen.

• Fachleuten biete es einen ungefilterten Einblick in die Antworten dieser Führungskräfte auf die Frage, auf welche Informationen sie sich stützen und was dazu beitragen würde, dass CTI bei ihren Entscheidungen eine zentralere Rolle spielt.

„In diesem Jahr verfügen wir über direkte Daten von beiden Seiten. CTI-Programme haben Jahre damit verbracht, ihren Wert unter Beweis zu stellen. Die Daten für 2026 zeigen, dass die nächste Herausforderung darin besteht, diese Anerkennung in Entscheidungen, Budgets und Maßnahmen umzusetzen“, erläutert Brown.

CTI-Teams bestehen nach wie vor aus weniger als vier Vollzeitmitarbeitern

Die Umfragedaten gäben genau Aufschluss darüber, was Führungskräfte wollen. Die obersten Prioritäten von Sicherheitsverantwortlichen für die nächsten zwölf Monate seien Informationen über Schwachstellen, die aktiv von Angreifern ins Visier genommen werden (79%), sowie spezifische TTPs (Tactics, Techniques, and Procedures) von Angreifern (77%).

• Geschäftsorientierte Informationen rangierten mit 41 Prozent an letzter Stelle unter den Berichtstypen – eine Zahl, welche der Bericht eher auf eine Produktionslücke als auf mangelnde Nachfrage zurückführe.

Die Umsetzung werde durch die Ressourcenausstattung von CTI-Programmen erschwert. „Die meisten formellen CTI-Teams bestehen nach wie vor aus weniger als vier Vollzeitmitarbeitern, obwohl die Liste der Anwendungsfälle, die sie unterstützen sollen, immer länger wird“, berichtet Brown.

Zeit- und Geldmangel größte Hindernisse für effektive CTI-Implementierung

Zeitmangel für die Implementierung neuer Prozesse und fehlende Finanzmittel seien die größten Hindernisse für eine effektive CTI-Implementierung; jeweils 44 Prozent der Befragten hätten diese Gründe genannt. 57 Prozent der Programme verfolgten den Reifegrad im Zeitverlauf nicht nach, und 49 Prozent sammelten kein systematisches Feedback zur Wirksamkeit. „Programme, die keine Verbesserungen nachweisen können, können ihre Budgets nicht mit Daten rechtfertigen.“

• Das strukturelle Bild gehe über die Personalstärke hinaus. 45 Prozent der Organisationen setzten heute Künstliche Intelligenz (KI) in CTI-Programmen ein – vor allem zur Datenzusammenfassung und Berichterstellung, wobei das „Human-in-the-Loop“-Modell weiterhin vorherrsche.

Mehr als die Hälfte (55%) der Organisationen verfügten nicht über rechtlich geprüfte CTI-Austauschprozesse, obwohl NIS-2 und der „Cyber Resilience Act“ ab 2026 neue Verpflichtungen auferlegten. „Der Bericht charakterisiert diesen Mangel als strukturelles Risiko und nicht als administratives Versäumnis. Sicherheitsoperationen (71%) haben den Spitzenplatz bei den CTI-Anwendungsfällen zurückerobert, den sie zuletzt 2022 innehatten, und damit die Bedrohungssuche überholt – ein Zeichen dafür, dass Informationen in die täglichen Verteidigungsabläufe eingebettet werden“, so Brown abschließend.

Weitere Informationen zum Thema:

SANS
About SANS Institute: Launched in 1989 as a cooperative for information security thought leadership, SANS (SysAdmin, Audit, Network, Security) Institute is the largest and most trusted provider of cybersecurity training, certifications, programs, and resources in the world. Our ongoing mission is to empower current and future cybersecurity practitioners with practical skills and knowledge that make the digital world safer, and to support the global cybersecurity community at every stage of their journey.

SANS
2026 SANS Cyber Threat Intelligence (CTI) Survey Insights

SANS
Rebekah Brown – Certified Instructor CandidateSenior Researcher at Citizen Lab

SANS
Andreas Sfakianakis – Certified InstructorCyber Threat Intelligence Expert at SAP

SANS, 21.05.2026
2026 SANS CTI Survey Insights: From Indicators to Insights: How CTI Empowers Both Practitioners and Decision-Maker

SANS, 15.05.2026
2026 SANS Cyber Threat Intelligence (CTI) Survey Insights

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzenDr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence / Mimecast veröffentlicht den neuesten Bericht des Gremiums