Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Anzeige

Threat Intelligence trifft KI

Sicherheitsverantwortliche stehen unter erheblichem Druck: Die Bedrohungslage wird immer komplexer, während gleichzeitig die Reaktionszeiten aufgrund rechtlicher Vorgaben zunehmend kürzer werden müssen. Wer Threat Intelligence effektiv nutzt, verschafft seinem Security Operations Center (SOC) nicht nur einen entscheidenden Wissensvorsprung, sondern gewinnt auch an Handlungsschnelligkeit und Flexibilität.

Michael KlatteKünstliche IntelligenzThreat-Intelligence
Lesezeit 5 Min.

Von Michael Klatte, ESET Deutschland GmbH

Neue Angriffsmethoden, polymorphe Malware und dynamisch agierende Akteure stellen IT-Abteilungen vor enorme Herausforderungen. In dieser Umgebung reicht es längst nicht mehr aus, auf reaktive Sicherheitsmechanismen zu setzen. Unternehmen benötigen Threat Intelligence (TI), um Bedrohungen frühzeitig zu erkennen, zu analysieren und automatisiert Gegenmaßnahmen einzuleiten – ganz im Sinne des „Prevention First“-Ansatzes von ESET.

Mehr als nur eine (Reputations-)Datenbank

Threat Intelligence bezeichnet die strukturierte Erhebung, Korrelation und Kontextualisierung sicherheitsrelevanter Informationen aus verschiedenen Quellen. Dazu zählen etwa Malware-Analysen, globale TI-Feeds, Indicators of Compromise (IoCs), Datenbanken für bekannte Schwachstellen, Deep-Web-Quellen und forensische Artefakte. Entscheidend ist dabei nicht die Quantität der Daten, sondern ihre qualitative Verwertbarkeit im Sicherheitskontext: Welche Schwachstellen betreffen meine Systeme konkret? Welche Advanced-Persistent-Threat- (APT)-Kampagnen zielen auf meine Branche? Ist eine verdächtige IP-Adresse in Verbindung mit bekannten Command-and-Control-Infrastrukturen bei mir aufgetaucht?

ESET Threat Intelligence adressiert genau diese Fragen, indem es die gesammelten Informationen mithilfe KI-gestützter Analysemethoden bewertet, kontextualisiert und priorisiert. Damit entwickelt sich diese TI-Lösung vom reinen Datenlieferanten zu einem integralen Bestandteil der Sicherheitsarchitektur.

Neue Angriffsmethoden, polymorphe Malware und dynamisch agierende Akteure stellen IT-Abteilungen vor enorme Herausforderungen. In dieser Umgebung reicht es längst nicht mehr aus, auf reaktive Sicherheitsmechanismen zu setzen. Unternehmen benötigen Threat Intelligence (TI), um Bedrohungen frühzeitig zu erkennen, zu analysieren und automatisiert Gegenmaßnahmen einzuleiten – ganz im Sinne des „Prevention First“-Ansatzes von ESET.

Mehr als nur eine (Reputations-)Datenbank

Threat Intelligence bezeichnet die strukturierte Erhebung, Korrelation und Kontextualisierung sicherheitsrelevanter Informationen aus verschiedenen Quellen. Dazu zählen etwa Malware-Analysen, globale TI-Feeds, Indicators of Compromise (IoCs), Datenbanken für bekannte Schwachstellen, Deep-Web-Quellen und forensische Artefakte. Entscheidend ist dabei nicht die Quantität der Daten, sondern ihre qualitative Verwertbarkeit im Sicherheitskontext: Welche Schwachstellen betreffen meine Systeme konkret? Welche Advanced-Persistent-Threat- (APT)-Kampagnen zielen auf meine Branche? Ist eine verdächtige IP-Adresse in Verbindung mit bekannten Command-and-Control-Infrastrukturen bei mir aufgetaucht?

ESET Threat Intelligence adressiert genau diese Fragen, indem es die gesammelten Informationen mithilfe KI-gestützter Analysemethoden bewertet, kontextualisiert und priorisiert. Damit entwickelt sich diese TI-Lösung vom reinen Datenlieferanten zu einem integralen Bestandteil der Sicherheitsarchitektur.

Ein Experte überwacht Cyberangriffe mithilfe der ESET-Plattform, die detaillierte Angriffspfade und Sicherheitslösungen visualisiert.
Bild: ESET

Ein Experte überwacht Cyberangriffe mithilfe der ESET-Plattform, die detaillierte Angriffspfade und Sicherheitslösungen visualisiert.

ESET AI Advisor: Kontext verstehen, bevor es kritisch wird

Mit der zunehmenden Datenmenge steigt die Gefahr der Überforderung in SOCs. Der ESET AI Advisor dient hier als System zur Entscheidungsunterstützung, das durch maschinelles Lernen und semantische Analysen Bedrohungen automatisch klassifiziert und kontextualisiert. Anhand bestehender Klassifizierungswerte – wie dem Severity Score aus ESET Inspect – leitet es Handlungsempfehlungen ab. Eine Priorisierung im eigentlichen Sinne erfolgt nicht direkt durch den AI Advisor, sondern basiert auf der Auswertung vorhandener Risikowerte, die durch die Sicherheitsplattform bereitgestellt werden. Die zugrundeliegende Architektur kombiniert Natural Language Processing (NLP), Entity Recognition und modellgestützte Bedrohungsbewertung.

Der AI Advisor verarbeitet unter anderem:

  • Echtzeitdaten aus internen Logfiles, globalen TI-Feeds und Malware-Samples,
  • Kontextinformationen wie Asset-Kritikalität und Schwachstellen-Exposition,
  • bekannte TTPs nach MITRE ATT&CK.

Ein zentrales Element dabei ist die Fähigkeit, große Mengen an Threat-Intelligence-Daten mit kontextsensitiven Metainformationen anzureichern, beispielsweise zur geografischen Verteilung, Branchenrelevanz oder Angriffshistorie. Darüber hinaus lassen sich auch individuelle TI-Fragestellungen adressieren, etwa durch natürliche Fragen wie „Welche bekannten APTs haben in den letzten 7 Tagen Schwachstellen in VPN-Gateways ausgenutzt?“

Datensicherheit „Made in EU“

Die Verarbeitung aller Daten erfolgt vollständig in europäischen Rechenzentren  – zum Beispiel im von ESET betriebenen Datacenter in Frankfurt – und erfüllt damit höchste Datenschutzanforderungen gemäß Datenschutz-Grundverordnung (DSGVO) und der Netz- und Informationssicherheits-Richtlinie (NIS-2). ESET entwickelt seine Sicherheitslösungen ausschließlich innerhalb der EU und speichert keine sicherheitsrelevanten Kundendaten außerhalb europäischer Hoheitsbereiche. Damit unterstreicht das Unternehmen mit „Made in EU“ seinen Anspruch auf digitale Souveränität und bietet eine echte Alternative zu außereuropäischen Anbietern, bei denen Fragen zur Transparenz und Zugriffssicherheit oft offenbleiben.

Die Prozessstruktur eines RansomwareAngriffs, analysiert durch die ESET-Plattform, mit detaillierten Angriffspfaden und Sicherheitsinformationen.
Die Prozessstruktur eines RansomwareAngriffs, analysiert durch die ESET-Plattform, mit detaillierten Angriffspfaden und Sicherheitsinformationen.

Automatisierung als Schlüssel zur Skalierbarkeit

Ein zentrales Ziel moderner TI-Plattformen ist die Automatisierung der Reaktion auf erkannte Bedrohungen. In Verbindung mit Security-Orchestration-Automation-and-Response-(SOAR)-Systemen lassen sich zahlreiche Prozesse automatisieren:

  • IoC-Verarbeitung: Neue Indikatoren können automatisch zur Blockierung in Firewalls oder WebProxies eingesetzt werden.
  • Asset-Matching: Bei Erkennung einer kritischen Schwachstelle wird automatisch geprüft, welche Assets betroffen sind. Ist das der Fall, wird ein Ticket erstellt oder eine Eskalation ausgelöst.
  • Netzwerksegmentierung: Erkennt das System Lateral Movement oder eine potenzielle Kompromittierung, kann es automatisch VLAN-Grenzen ziehen oder Quarantäne-Regeln aktivieren.

ESET bietet hier mit ESET PROTECT MDR eine erweiterbare Plattform. Die Kombination aus ESET Inspect (XDR) und MDR-Diensten erlaubt es, Bedrohungsinformationen automatisch in Reaktionspläne zu überführen, beispielsweise durch Isolierung betroffener Hosts, Auslösung forensischer Analysen oder automatischer Eskalation an das Expertenteam. Diese Form der Automatisierung entlastet nicht nur SOC-Mitarbeiter, sondern reduziert Reaktionszeiten drastisch und verringert das Risiko menschlicher Fehlinterpretation.

Praxisbeispiel

Im Jahr 2023 registrierte ESET eine Serie gezielter Ransomware-Angriff e auf mittelständische Unternehmen in Europa. Ausgangspunkt war jeweils ein kompromittierter Remote-Zugriffspunkt über VPN-Dienste mit dokumentierten Schwachstellen. Die Threat-Intelligence-Plattform identifizierte entsprechende IOC-Korrelationen in frühen Phasen der Attacke, etwa durch die Wiederverwendung bekannter Infrastruktur (C2-Domains, Shell-Skripte). Noch bevor ein Payload ausgeführt wurde, konnten betroffene Unternehmen dank automatischer TI-Integration in ihre SIEMs Gegenmaßnahmen einleiten.

ESETs globale Analyseinfrastruktur ermöglichte es, diese Kampagne mit vorhergehenden Angriffen derselben Bedrohungsakteure in Verbindung zu bringen und Kunden mit Frühwarnungen zu versorgen. Dazu zählen kontextualisierte Handlungsempfehlungen, die auf ihre jeweilige Branchenlage zugeschnitten sind.

Damit Unternehmen von Threat-Intelligence profitieren, sollten sie folgende Best Practices berücksichtigen:

  • Integration in den SOC-Alltag: TI sollte nicht als Zusatzfunktion, sondern als Grundpfeiler in SIEM-, EDR- und SOAR-Prozesse eingebunden sein.
  • Kontextualisierung vor Aktionismus: Nur wer IoCs im Kontext der eigenen IT-Landschaft versteht, kann effizient reagieren. Automatische Priorisierung nach Asset-Kritikalität und Angriffswahrscheinlichkeit ist entscheidend.
  • Schulungen für Analysten: Ein effektiver Einsatz erfordert Kenntnisse zu TI-Taxonomien, Feed-Standards, Machine-Learning-Grundlagen und Limits KI-gestützter Bewertung.

Fazit

Die Digitalisierung des Angriffsraums erfordert eine gleichwertige Digitalisierung der Verteidigung. Threat-Intelligence entfaltet ihr volles Potenzial erst durch die Kombination mit KI-basierter Kontextanalyse und automatisierter Reaktion. ESET Threat-Intelligence bietet hier eine skalierbare Lösung, die sich in bestehende Infrastrukturen integrieren lässt und sowohl menschliche Analysten als auch automatische Schutzsysteme mit handlungsrelevanten Erkenntnissen versorgt. Die Zukunft gehört nicht jenen mit den meisten Daten, sondern jenen mit der treffsichersten Interpretation und Umsetzung. Am besten gelingt dies in einem europäischen Sicherheitsökosystem ohne versteckte Hintertüren und mit einem klaren „Prevention First“-Selbstverständnis.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.