Threat Intelligence (TI) liefert Daten aus verschiedenen Quellen und in verschiedenen Formaten, um Cyberrisiken zu analysieren und zu beurteilen. Es ist auch unverzichtbar, Informationen zur Reputation etwa von Webseiten, Hinweise auf potenziell gefährliche Abläufe oder Analysen von regionalen Risikolagen zu verwerten. Denn diese erhöhen die Cybersicherheit, helfen Alarme angemessen zu bewerten und schneller einschlägige Abwehrmaßnahmen zu starten. Die Frage ist nicht, ob Sicherheitsanbieter Threat Intelligence benötigen, sondern vielmehr, welche Art von Informationen aus welchen Quellen sie heranziehen.
Threat Intelligence sammelt verschiedene Daten und verarbeitet sie je nach Aufgabenstellung. Solche Informationen sind unerlässlich für eine Cyberabwehr auf der Höhe der Zeit.
(Bild: Real - stock.adobe.com)
Was Threat Intelligence en detail letztlich meint, ist aber in der Branche in der Diskussion. So haben verschiedene Anbieter beispielsweise ein unterschiedliches Verständnis von operationaler Threat Intelligence. Um etwas Licht ins Dunkel zu bringen, behandelt dieser Artikel die gängigsten Threat-Intelligence-Typen: Ihre Bezeichnungen, beobachtete Kompromittierungsindikatoren (Indicators of Compromise – IOC), Datenformate und Anwendungsfälle.
Bildergalerie
Nicht immer ist klar, welchen Zusatznutzen TI konkret bietet. Ein guter Indikator, um den potenziellen Mehrwert von TI einzuschätzen ist das Maß, wie stark Daten angereichert sind oder der Umfang der manuellen Analyse, die an den Rohdaten erfolgte. Im Folgenden werden zunächst die drei wichtigsten Arten von TI-Daten vorgestellt:
Reputations-TI
Reputation Threat Intelligence, von einigen Anbietern auch als Tactical TI bezeichnet, bietet in leicht verständlicher Art Informationen zur Reputation von IP-Adressen, URLs, Domänen, Datei-Hashes, Zertifikaten und anderen Artefakten. Ihre Informationen beziehen sich in der Regel auf IoCs, die aus Live-Systemen extrahiert sind. Hier sind für gewöhnlich die Daten so wenig wie möglich angereichert, um das Übermitteln in Echtzeit zu erleichtern und den Sicherheitsteams zu helfen, durch eine schnelle Aktion mit den Angreifern Schritt zu halten. Ohne erläuternden Kontext schnell verständlich, beziehen die IT-Sicherheitsverantwortlichen wichtige Informationen zum Leumund etwa einer IP-Adresse.
Reputations-TI ist besonders nützlich in Machine-Readable-Threat-Intelligence (MRTI)-Szenarien. Eine solche TI, deren Informationen im Gegensatz zu Human Readable Threat Intelligence Maschinen verarbeiten und verwerten können, ist in automatisierten Erkennungssystemen integriert, wie etwa Firewalls oder Cloud Access Security Broker (CASB). Eine MRTI integriert zum Beispiel IP-Black-Listen. Diese schwarzen Listen zu blockender IP-Adressen speisen sich aus den Informationen von Endpoint-Detection-and-Response (EDR)-Produkten, Endpoint-Protection-Plattformen (EPP) sowie aus den Backends, Next Generation Firewalls oder anderen ähnlichen Quellen.
Der Hauptvorteil der in ihrer Information klaren Reputations-TI ist der automatisierte Echtzeitschutz. Die Daten erfordern keine Anreicherung oder ein weiteres Eingreifen von IT-Administratoren. Sie können deshalb in großer Zahl geliefert und bearbeitet werden.
Operative TI
Operative Threat Intelligence betrifft spezifische Risiken und liefert angereicherte und korrelierte Daten über eine Gruppe von Indikatoren, Bedrohungsakteuren, Malware-Familien, CVE-Schwachstellen, Viktimologie, Exploits oder andere Artefakte, die bei komplexen kooperativen Attacken kooperieren. Solche Informationen sind vor allem für Analysten in einem Security Operation Center (SOC) oder für IT-Sicherheitsforscher relevant. Diese benötigen sie für Ermittlungen, Incident Response, eine digitale Forensik oder für ähnliche Aufgaben, die nicht nur auf internen Host-Daten aufbauen können.
Um diese Informationen zu erstellen und zu validieren, bedarf es anspruchsvollerer Tools. IoCs sind kriminellen Akteuren zuzuordnen. Operative TI verarbeitet zudem Artefakte in einer Laborumgebung. Nur zum Teil lassen sich die für den Informationsgewinn notwendigen Aufgaben insbesondere mit Hilfe von Deep-Learning-Modellen automatisieren. Unverzichtbar ist, dass Menschen die Rohdaten bewerten und analysieren.
Strategische TIK
Strategische Threat Intelligence liefert in der Regel hochwertige PDF-Berichte mit manuell oder halbmanuell erstellten Eingaben von Datenwissenschaftlern. Die Berichte analysieren Trends in der Cybersicherheit und fokussieren einzelne Branchen, Regionen oder Ereignisse. Ihre Informationen sollen helfen, IT-Sicherheitsbudgets nach den notwendigen Gefahrenschwerpunkten zu priorisieren. Managed Security Service Provider (MSSPs), Anbieter von Sicherheitsdiensten, Rüstungsunternehmen, Staaten oder Unternehmen, die wichtige personenrelevante Daten verarbeiten, benötigen Informationen auf diesem Level, um ihre Abwehr an der konkreten Bedrohungslandschaft auszurichten.
Strategische TI kann wiederkehrende Analysen umfassen, wie das Verhalten von cyberkriminellen Akteuren oder den Einsatz von Malware-Familien im Laufe der Zeit. Andererseits lassen sich Ereignisse oder neue Trends untersuchen. Große Unternehmen oder Staaten geben einzelne Berichte zu ihrer Sicherheitslage in Auftrag – oft mit sehr hohem Aufwand und entsprechenden Kosten. Verlässliche Daten zur strategischen Threat Intelligence basieren auf reputationsbezogener und operativer TI.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Quellen der Threat Intelligence
Bezugsquellen für TI-Daten sind entweder Cybersicherheitsanbieter, Threat-Intelligence-Plattformen von Drittanbietern oder eine SOAR/SIEM-Plattform. Bei einem Bezug der Daten von einem einzelnen Cybersicherheitsanbieter hängt die Art der bereitgestellten Informationen von der Lizenzvereinbarung mit dem Anbieter und von dessen Produktpalette ab.
Eine Threat-Intelligence-Plattform basiert für gewöhnlich auf einem großen Marktplatz, auf dem reputationsbezogene, operative und strategische Daten von mehreren Anbietern im Angebot sind. Sie leitet diese Informationen über ein einheitliches Datenmodell automatisiert oder manuell an die Kunden weiter. Dies erfolgt in regelmäßigen Abständen, in der Regel alle sechs Stunden, zumindest aber einmal pro Tag.
Unternehmen können Feeds und Abfragen direkt von ihrer Security-Orchestration-Automation-and-Response(SOAR)- oder Security-Infrastructure-Event-Management (SIEM)-Plattform lizenzieren. Die meisten SOARs können Daten zur Bedrohungsaufklärung aus internen Quellen sammeln und orchestrieren. Für mehr Sicherheit dank besserer Informationsgrundlage integrieren viele SOAR- und SIEM-Anbieter externe TI-Feeds in ihr Angebot.
Verschiedene Threat Intelligence-Formate und Protokolle
TI ist ein neues und schnell wachsendes Angebot. Daher fehlen einheitliche Standards, um die Informationen zu verarbeiten. Die Anbieter nutzen viele verschiedene Formate für Feeds und API-Antworten, vor allem STIX und MISP:
STIX (Structured Threat Information Expression) ist eine Sprache und ein Format zum seriellen Austausch von TI-Daten. Weit verbreitet, beschreibt sie mehrere Standards zur Struktur von Informationen über Gefahren, Akteure oder TTPs.
MISP (Malware Information Sharing Platform) ist ein Open-Source-Projekt und betreibt eine Plattform für den standardisierten Austausch von TI-Daten. Die einfache JSON-Struktur erleichtert den Austausch von Cyber-Threat-(CTI) Intelligenz auf der MISP-Plattform oder mit anderen Orten.
Beide Formate haben aber ihre Grenzen, und der Grad ihrer Anwendbarkeit kann sich je nach TI unterscheiden. Deshalb entwickeln viele Sicherheitsanbieter ihr proprieätes Datenformat für den Austausch von Informationen.
TI-Feeds oder TI-APIs
Alle Arten von Daten - Reputationsdaten, operative Daten, strategische Daten - stehen entweder im Feed- oder im API-Format bereit.
TI-Feeds sind Datenströme mit Gefahreninformationen, die normalerweise für MRTI-Szenarien bereitgestellt werden. Sie liefern Informationen zu bösartigen IPs, C&C-Servern, URLs oder Domänen, welche die Angreifer verwenden.
Die Integration von Threat Intelligence-Feeds führt zu einer erheblichen Verbesserung der Abwehrmechanismen. Next Generation Firewalls und Intrusion Prevention Systeme profitieren von erweiterten Funktionen, die durch hochwertige Threat Intelligence-Feeds bereitgestellt werden. Diese zeichnen sich durch einen hohen Datendurchsatz und zuverlässige Informationen aus.
TI-APIs sind Dienste, mit denen Partner große Datensätze als Teil einer Vorfallanalyse oder einer anderen Art von IT-Sicherheitsforschung abfragen können. TI-API-Daten nutzen vor allem Anwender, die Informationen manuell analysieren wollen.
Pflichtlektüre für IT-Sicherheitsverantwortliche
Letztlich sammelt also Threat Ingelligence verschiedene Daten und verarbeitet sie je nach Aufgabenstellung. Solche Informationen sind unerlässlich für eine Cyberabwehr auf der Höhe der Zeit, die immer neue Angriffe durch Mensch oder Maschine über oft bekannte Kanäle oder mit verwandten Angriffsmustern erkennen und vor ihnen warnen kann.
Über den Autor: Theodor Porutiu ist Technical Architect bei Bitdefender.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/c6/fbc66db9d7f25dca8098c71c51d9e15d/0129168715v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/a3/e0a37c3f1eb7ed833284a8146fa11873/0129154893v1.jpeg "KI-gestützte Businesskommunikation und ein neues Partnerprogramm sind die Grundlage der Strategie Nfon Next 2027. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/53/4d530c341109cbb9fba633d62a24960d/0129077672v1.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7e/82/7e82911990aa981984a34793dea74b80/0129172986v1.jpeg "Das vollständig hardwarebasierte Instashow-VS25-System von Benq ist für hybride Meetings in mittleren bis großen Konferenzräumen ausgelegt. (Bild: Benq)")
:quality(80)/p7i.vogel.de/wcms/d2/95/d295240267387650be249f8e53e72c88/0129150842v2.jpeg "Lösungen für Speicherengpässe: SSDs per NVMe-oF anbinden (links) oder auf günstige HDDs zurückgreifen (rechts). (Bild: Nano Banana / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/a8/d9a8554af2d9b58387de87df1c0a327d/0129138501v2.jpeg "SOS Software Service und NinjaOne arbeiten in der DACH-Region künftig zusammen: (v. l.) Cynthia Hermann (SOS Software Service), Marcel Neubauer (NinjaOne), Sebastian Rose (NinjaOne), Ken Rosko, Luisa Bröhl (SOS Software Service), Miro Milos, Oguszhan Karaagac (NinjaOne) und Valentin Wolf (SOS Software Service) (Bild: SOS Software Service)")
:quality(80)/p7i.vogel.de/wcms/96/51/9651ea7d68ae9196d77ab14d5642f163/0129056092v1.jpeg "Das Starter-Set des MSI Roamii BE Pro besteht aus zwei Geräten, von denen einer als Wi-Fi-7-Router und das zweite als Wi-Fi-7-Mesh-Knoten dient. Zum Lieferumfang gehört auch Zubehör für die Wandmontage. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:quality(80)/p7i.vogel.de/wcms/44/82/44821eb0db52fd58c2c2de43af5d6985/0119685408v2.jpeg "Übersicht von Informationen in einer operativen Threat Intelligence(Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/c8/cd/c8cd5a9ecfa225ae4c49cae70e894da6/0119685409v2.jpeg "Cybersicherheitsanbieter eröffnen den Zugang zu den größten und detailliertesten Datensätzen in Echtzeit.(Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ee/46/ee46e84370b4d06bf7fb80c4d22ee301/0119685410v2.jpeg "Feeds, die auf dem Marktplatz von Anomali lizenziert sind.(Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/01/7c/017cc5dc5e5f33e408482ceadf7d7212/0124398583v1.jpeg "0124398583v1 (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/d0/cad0316df1c007865fbbbff7da6707b3/0123857205v1.jpeg "0123857205v1 (Bild: Kaspersky)")