Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

[datensicherheit.de, 11.03.2019] Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto Networks berichtet.

Mehrschichtiger Ansatz

Dieser Ansatz beinhaltet den Einsatz mehrerer Technologien wie Endpoint Detection and Response (EDR), User and Entity Behavioral Analytics (UEBA) sowie Network Traffic Analysis (NTA), um die Transparenz in der gesamten Umgebung zu erhöhen. Darüber hinaus verwenden Sicherheitsteams in der Regel Warn- und Protokoll-Aggregationstechnologien wie SIEM-Tools (Security Information Event Management), um Richtlinien festzulegen, Ereignisse zu korrelieren und Probleme zu priorisieren. Schließlich ist es notwendig, die mit den Daten erzeugten Warnmeldungen irgendwie zu verknüpfen, um Bedrohungen schneller zu untersuchen und unschädlich zu machen.

Flut an Warnungen kann manuell nicht mehr bewältigt werden

Die mehrschichtige Prävention gehe jedoch zu Lasten von Zeit und Expertise. Viele Sicherheitsteams sind nicht in der Lage, die oftmals sehr große Anzahl von Warnungen zu verarbeiten. Herkömmliche Sicherheitsinfrastrukturen sind gekennzeichnet durch eine Überflutung mit Ereignismeldungen. Das durchschnittliche SOC (Security Operations Center) kann 174.000 Warnungen pro Woche erhalten. Mit einem personell begrenzten Team kann die Rechnung nicht aufgehen.

Sicherheitsteams können auf mehr als 40 eng fokussierte Tools angewiesen sein, um Angriffe zu untersuchen und zu entschärfen. Daten aus Netzwerk, Endpunkten und Cloud werden manuell erfasst. Untersuchungen werden zunehmend komplex und unüberschaubar. Die Identifizierung und Isolierung von Sicherheitsbedrohungen zieht sich dadurch in die Länge. So dauert es 197 Tage, um einen Sicherheitsvorfall innerhalb eines Netzwerks zu erkennen, und 69 Tage, um darauf zu reagieren. Kein Wunder, dass Vorfälle dieser Art immer wieder in die Schlagzeilen kommen. Die durchschnittlichen Kosten einer Sicherheitsverletzung in den USA lagen 2018 bei geschätzten 7,91 Millionen US-Dollar.

Fachkräftemangel erfordert alternativen Ansatz

Durch die Überlastung entsteht ein Laufradeffekt, der dazu führt, dass die Sicherheitsteams fast ihre gesamte Arbeitszeit damit verbringen, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. Selbst wenn Unternehmen ihre Sicherheitsteams aufstocken wollen, scheitert dies daran, dass das gesamte IT-Umfeld und insbesondere die IT-Sicherheit von chronischem Fachkräftemangel betroffen ist. Bis 2023 soll einer Studie zufolge die Zahl der unbesetzten Stellen auf weltweit 1,8 Millionen steigen.

Daher ist nach Meinung von Palo Alto Networks nun ein besserer Ansatz gefragt, damit kleine, schlagkräftige Teams effizienter und effektiver werden. Es geht darum, die Komplexität und Grenzen von Silo-Tools wie EDR, UEBA und NTA zu umgehen. Gesucht ist eine ganzheitliche, integrierte Lösung, die die bisherigen Silos aufbricht und in der Lage ist, das Sicherheitsteam in allen Phasen zu unterstützen: bei der Erkennung von Anomalien, Alarmverfolgung, Untersuchung von Vorfällen und Bedrohungssuche. Eine solche Lösung sorgt für Sichtbarkeit, ist integrierbar mit anderen Tools, nutzt Analytik in großem Stil und vereinfacht investigative Aufgaben. Dadurch reduziert sich die Zeit für die Erkennung und Reaktion auf Bedrohungen. Sicherheitsteams können durchatmen – und proaktiv statt reaktiv arbeiten.

XDR statt DER – mehr Produktivität durch Automatisierung

Diesen neuen Ansatz gibt es nach Angaben des Unternehmens bereits: Gegenüber EDR bedeutet XDR eine deutliche Abkehr von der herkömmlichen Vorgehensweise der Erkennung und Reaktion. Das „X“ steht für jede Datenquelle, sei es Netzwerk, Endpunkt oder Cloud. XDR kombiniert Daten aus diesen verschiedenen Quellen mit allgemeinen Bedrohungsinformationen. Dadurch werden unterschiedliche Aspekte zusammengeführt, um ein weitaus umfassenderes Bild eines Angriffs zu liefern. Dank der integrierten Analysefunktionen kann der Angriff schneller erkannt und besser abgewehrt werden. Zudem ist das System in der Lage, bösartigen Traffic zurückzuverfolgen und einen Angriff zu rekonstruieren. Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen.

Weitere Informationen zum Thema:

Palo Alto Networks
Redefine Security Operations with XDR

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

[datensicherheit.de, 20.07.2018] Forscher der „Malware Labs“ der Ben-Gurion-Universität des Negev (BGU) haben nach eigenen Angaben eine neue Methode entwickelt, um unbekannte, bösartige E-Mails zu erkennen – diese arbeitet demnach genauer als die gängigsten Antivirus-Softwareprodukte.

Regelbasierte Methoden stoßen an ihre Grenzen

E-Mails werden von Angreifern häufig verwendet, um Opfern gefährliche Inhalte wie Anhänge oder Links zu bösartigen Websites zu übermitteln.
„Vorhandene E-Mail-Analyse-Lösungen analysieren nur bestimmte E-Mail-Elemente mit regelbasierten Methoden und analysieren keine anderen wichtigen Teile“, erläutert Dr. Nir Nissim, Leiter des „David and Janet Polak Family Malware Lab“ bei „Cyber@BGU“, und Mitglied der Fakultät für Wirtschaftsingenieurwesen. „Darüber hinaus verwenden existierende Antiviren-Engines primär signaturbasierte Erkennungsmethoden und reichen daher nicht aus, um neue, unbekannte schädliche E-Mails zu erkennen“, so Dr. Nissim.

„Email-Sec-360°“ nutzt Methoden des Maschinellen Lernens

Die neue Methode, genannt „Email-Sec-360°“, wurde laut BGU von Aviad Cohen, einem Doktoranden und Forscher am BGU-Malwarelabor, entwickelt. Die zugehörige, in der exklusiven Fachzeitschrift „Expert Systems with Applications“ veröffentlichte Studie basiere auf Methoden des Maschinellen Lernens und nutze 100 allgemeine beschreibende Merkmale, die aus allen E-Mail-Komponenten extrahiert würden, einschließlich Header, Body und Attachments.
Diese Methode erfordere keinen Internetzugang, so dass sie von Einzelpersonen und Organisationen eingesetzt werden könne und eine verbesserte Erkennung von Bedrohungen in Realzeit ermöglicht.

Analyse von Anhängen wie pdf-Dateien und „Microsoft Office“-Dokumenten folgt

Für ihre Experimente hätten die Forscher eine Sammlung von 33.142 E-Mails (12.835 bösartige und 20.307 gutartige) verwendet, die zwischen 2013 und 2016 erstellt worden seien. Sie hätten ihr Erkennungsmodell mit 60 branchenführenden Antiviren-Engines sowie früheren Untersuchungen verglichen und festgestellt, dass ihr System die Software bekannter Anbieter übertreffe.
„In zukünftigen Arbeiten erweitern wir unsere Recherche und integrieren die Analyse von Anhängen wie PDFs und Microsoft Office-Dokumenten in ,Email-Sec-360°‘, da diese häufig von Hackern genutzt werden, um Viren und Malware zu öffnen und zu verbreiten“, sagt Dr. Nissim. Diese Analysemethoden seien bereits am „David und Janet Polak Family Malware Lab“ der BGU entwickelt worden.

Analyse-Website in der Diskussion

Die Entwickler im „Malware Lab“ dächten zudem darüber nach, ein Online-System zu entwickeln, das das Sicherheitsrisiko einer E-Mail-Nachricht bewertet. Es würde auf fortschrittlichen Methoden des Maschinellen Lernens basieren und es Benutzern weltweit ermöglichen, verdächtige E-Mail-Nachrichten einzureichen und sofort einen Punktwert für böswillige Inhalte sowie eine Empfehlung zum Umgang mit dieser E-Mail zu erhalten.
Darüber hinaus würde das System dazu beitragen, gutartige und bösartige E-Mails zu Forschungszwecken zu sammeln, was aus Datenschutzgründen für die Forscher in diesem Bereich derzeit eine sehr schwierige Aufgabe sei.

Weitere Informationen zum Thema:

MalwareLab At the Cyber Security Research Center
The Malware-Lab

datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren

[datensicherheit.de, 28.05.2013] Das für Millionen von Menschen nervige Problem der unerwünschten E-Mail-Werbung (Spam) verschärft sich offenbar in diesem Jahr, hat eco – Verband der deutschen Internetwirtschaft festgestellt. Der Verband stützt sich dabei auf eine aktuelle Umfrage unter 245 IT-Experten, nach der sich die Spam-Erkennung gegenüber dem Vorjahr derzeit wieder verschlechtert .

„Nachdem vor einem Jahr 62 Prozent der damals befragten Fachleute mit der Erkennung von Spam weitestgehend zufrieden waren, vertreten derzeit nur noch 54 Prozent die Auffassung, dass belästigende Werbung gut genug automatisch erkannt und wegsortiert wird“, erklärt Dr. Kurt Brand, Leiter der eco-Kompetenzgruppe Sicherheit und Geschäftsführer der auf IT-Sicherheitsfragen spezialisierten Pallas GmbH. 46 Prozent der aktuell Befragten mahnen Verbesserungsbedarf bei der Erkennung von „E-Müll“ an.

Nach Analyse des eco-Verbands hat zwar das Gesamtvolumen an unerwünschten E-Mails in Deutschland während der vergangenen Jahre merklich abgenommen. Jedoch haben die Werbeversender in der gleichen Zeit eine deutlich höhere Professionalität entwickelt, sodass ihre Aussendungen vermehrt ungehindert durch die Spam-Filter hindurch schlüpfen, erläutert Sicherheitsexperte Dr. Kurt Brand die Zusammenhänge.

Insgesamt bleibt die allgemeine Bedrohungslage in Bezug auf Gefahren aus dem Internet weiterhin angespannt, teilt der eco-Verband mit. 92 Prozent der aktuell befragten Experten erwarten im Laufe dieses Jahr sogar noch eine Zunahme der Gefährdungslage. Sie geben sich damit ängstlicher als 2012 (90 Prozent) beziehungsweise 2011 (85 Prozent). „Der Datenschutz, das IT-Sicherheitstraining für die Beschäftigten und die Notfallplanung für den Angriff aus dem Internet stellen die wichtigsten organisatorischen IT-Sicherheitsthemen in der deutschen Wirtschaft dar“, sagt Dr. Kurt Brand.

eco  ist seit über 15 Jahren der Verband der Internetwirtschaft in Deutschland und vertritt deren Interessen gegenüber der Politik und in internationalen Gremien. Mit mehr als 600 Mitglieds-unternehmen gestaltet eco das Internet: Der Verband entwickelt Märkte, fördert Technologien und formt Rahmenbedingungen. In seinem Kompetenznetzwerk befasst sich eco mit Infrastrukturfragen, rechtlich-regulativen Aufgabenstellungen, innovativen Anwendungen und der Nutzung von Inhalten.