Threat-Intelligence als Frühwarnsystem : Einsatz, Herausforderungen und Lücken bei Unternehmen in Deutschland

Überdies kommt TI in E-Mail-Servern (52%) zum Einsatz, die eine wichtige Rolle beim Schutz vor Phishing-Angriffen und schädlicher Software spielen: E-Mails sind nach wie vor eines der häufigsten Einfallstore für Cyberangriffe, weshalb ihre Absicherung besonders wichtig ist. Interessanterweise wird bei 34% der Unternehmen auch der Schutz von Endpoints durch Threat-Intelligence berücksichtigt. Diese Geräte – etwa Laptops, Smartphones und Desktops – stellen häufig das schwächste Glied in der Sicherheitskette dar, weshalb ihr Schutz zunehmend in den Fokus rückt.

Des Weiteren werden Intrusion-Prevention-Systeme (IPS), die dazu dienen, Angriffe in Echtzeit zu erkennen und zu blockieren, von 29% der Unternehmen mit Threat-Intelligence angereichert. Schließlich greifen 15% der Unternehmen auch auf Security-Informationand-Event-Management-(SIEM)-Lösungen zurück, die eine zentrale Sammlung und Auswertung von Sicherheitsereignissen ermöglichen, um in einem Überblick schnell potenzielle Bedrohungen zu identifizieren.

Das skeptische Drittel

Obwohl also insgesamt eine große Berücksichtigung und ein verbreitetes Bewusstsein – über den reinen zusätzlichen Schutz hinaus – von Threat-Intelligence und Data-Feeds für nachhaltige Cybersicherheit zu beobachten sind, bestehen bei manchen Unternehmen bezüglich des Themas noch Zurückhaltung und Vorbehalte: Ein Fünftel der Unternehmen (21%) plant die Einführung von TI erst im Laufe des Jahres 2025 – weitere 11% wollen ihre vorhandene Threat-Intelligence sogar wieder abschaffen.

Zudem scheinen die Vorteile von TI noch nicht bei allen angekommen zu sein: So sind 52% nicht gänzlich von den Abwehrfähigkeiten von Threat-Intelligence bei Cyberangriffen überzeugt. Das könnte auch damit zusammenhängen, dass Threat-Intelligence nicht gleich Threat-Intelligence ist: Um die Bedrohungslandschaft umfassend abzubilden und die eigene Infrastruktur flexibel und robust auf aktuelle Sicherheitsszenarien vorzubereiten, benötigen Unternehmen einen vielschichtigen Ansatz aus umfassenden und hochwertigen Data-Feed-Quellen.

Die Mischung macht‘s

Während über die Hälfte (51%) der befragten Unternehmen bei TI auf eine Kombination verschiedener Dienste und Anbieter setzt, vertrauen 18% auf nur eine einzige Quelle – möglicherweise aus Kosten- oder Komplexitätsgründen. Zusätzlich verlassen sich 14% auch auf kostenlose TI-Dienste, im Unterschied zum größeren Anteil (42%), der professionelle Bezahllösungen von privaten Dienstleistern einsetzt. Auffallend ist: Vor allem mittelgroße Unternehmen mit 250 bis 499 Mitarbeitern verlassen sich derzeit auf unbezahlte TI-Lösungen (21%).

Kernaspekte für die Auswahl von Threat-Intelligence für Unternehmen

Unternehmen müssen aus einer Vielzahl von Anbietern und Diensten für TI wählen. Zwar gibt es keine allgemein gültigen Regeln, dafür jedoch einige Kernaspekte, die es zu berücksichtigen lohnt:

• Leistungsfähige TI ermöglicht eine schnelle Erkennung und Bewertung von Bedrohungen, die Sicherheitsteams bei deren Analyse und Priorisierung unterstützt und entlastet.
• Die Bedrohungsdaten sollten regelmäßig aktualisiert werden und genau auf die individuellen Sicherheitsbedürfnisse des jeweiligen Unternehmens abgestimmt sein.
• Die gewählte TI sollte die richtigen Kontexte für eine gezielte Sondierung und Vorfalluntersuchung liefern und auf bestehende Sicherheitskontrollen und -prozesse abgestimmt sein.
• Zudem sollten genau die Informationen bereitgestellt werden – etwa IP-Adressen und mit schädlichen Daten verbundene Webseiten und Domains –, die auch wirklich für das eigene Unternehmen und seine spezifischen Erfordernisse relevant sind.

Welche Data-Feeds aktuell am häufigsten eingesetzt werden

So gibt es etwa Data-Feeds, welche die Aktivitäten und Methoden von Advanced-Persistent-Threat-(APT)- Gruppen abbilden und besonders für KRITIS- und große Unternehmen geeignet sind – sowie für Organisationen, die sensible personenbezogene Daten mit internationaler Relevanz verarbeiten. Crimeware-Feeds konzentrieren sich hingegen auf finanziellen Betrug und rufen Einzelheiten zu neuen Varianten und ihren Verbreitungsarten ab.

Beide zusammen werden von 45% der Unternehmen in Deutschland eingesetzt und damit am dritthäufigsten nach den allgemeinen Kategorien der IP-Reputationsdaten (55%) und URL-Feeds (54%).

Data-Feeds zu neu entdeckten Schwachstellen in Industriesystemen sind wiederum für Unternehmen aus dem verarbeitenden Gewerbe besonders relevant. Zudem nutzen 33% der Unternehmen in Deutschland Hashes, die durch Abgleich versteckte Bedrohungen und schädliche Dateien entdecken können. 28% setzen Regeln des Open-Source-Network-IDS Suricata ein, um verdächtigen Netzwerkverkehr zu überwachen, und 24% Yara-Regeln zur Erkennung schädlicher Muster (vgl. [3]).

Herausforderungen

All diesen komplexen Aufgaben können kostenlose TI-Dienste oft nicht genügen – zumal sie meist nur eine begrenzte regionale Reichweite aufweisen. Dabei kennen Cyberangriffe bekanntlich keine Grenzen und viele haben ihren Ursprung in anderen Ländern als dort, wo sie tatsächlich auftreten.

Qualitativ hochwertige Threat-Intelligence erfasst globale Bedrohungsszenarien und kann scheinbar unzusammenhängende Aktivitäten kohärenten Kampagnen zuordnen. Ein weiterer Indikator ist die Erfolgsbilanz des TI-Anbieters bei der Untersuchung komplexer Bedrohungen in den relevanten Branchen und Regionen.

Letztlich muss eine moderne TI-Lösung mehr bieten als eine reine Datenquelle: Sie sollte eine proaktive, anpassungsfähige und nahtlose Sicherheitsstrategie ermöglichen, die Unternehmen dabei unterstützt, Bedrohungen frühzeitig zu erkennen, Sicherheitslücken zu schließen und sich effektiv vor Angriffen zu schützen.

Bedeutet Threat-Intelligence immer Kosten und Komplexität?

Unternehmen sehen TI-Sicherheit häufig als finanzielle Belastung: 49% der Unternehmen denken bei Threat-Intelligence in erster Linie an Kosten und Budget. Ähnlich viele (47%) geben offen zu: „TI ist mir zu teuer!“

Auch 40% der Unternehmen, die noch keine Threat-Intelligence oder Data-Feeds nutzen, begründen dies mit zu hohen Kosten oder fehlendem Budget – einige jedoch auch mit dem hierfür benötigten Fachwissen (28%) oder fehlender Zeit für die Implementierung (25%).

Weitere verbreitete Herausforderungen, die im Zusammenhang mit TI angeführt wurden, sind die Komplexität der Sicherheitsmaßnahmen (39%), mangelnde interne Ressourcen (36%) und zu viele unterschiedliche Tools (33%), die zu Ineffizienz und Unübersichtlichkeit führen.

Für IT-Entscheider führt kein Weg an TI vorbei

Stellt man IT-Entscheider andererseits vor das hypothetische Szenario, Sicherheitsmaßnahmen ungeachtet zeitlicher oder finanzieller Ressourcen umsetzen zu können, stünde die Integration von TI und Data-Feeds mit 81% ganz oben auf ihrer Prioritätenliste.

Ein weiterer Fokus von IT-Entscheidern läge dann darin, die internen Sicherheitsstrukturen und -prozesse ihres Unternehmens zu stärken. So würden acht von zehn (79%) eine zentrale Plattform zur Verwaltung ihrer Sicherheitstools implementieren – etwa zum einfachen Zugriff auf TI-Informationen. 75 % würden ein internes Security-Operations-Center (SOC) betreiben und 70 % regelmäßige Sicherheitsstrategiebesprechungen durchführen, wenn sie unbegrenztes Geld und Zeit hätten.

Mehrschichtiger Ansatz notwendig

Eine Sicherheitsstrategie ist nur so stark wie ihr schwächstes Glied – deshalb sollten Unternehmen neben TI andere Schutzmaßnahmen nicht vernachlässigen.

Fehler und unüberlegtes Handeln zählen einer weiteren Kaspersky-Studie [4] zufolge zu den häufigsten Ursachen für Sicherheitsvorfälle. Unternehmen müssen daher regelmäßig mit Security-Awareness-Trainings in die Wachsamkeit und das Sicherheitsbewusstsein ihrer Mitarbeiter* investieren. Für einen proaktiven Cyberschutz in Zeiten des Fachkräftemangels empfiehlt es sich zudem, auf die externe Expertise von Managed Security-Services (MSS) zurückzugreifen. Nicht zuletzt braucht es im Fall der Fälle eine möglichst kurze mittlere Erkennungszeit (Mean Time To Detect, MTTD). Cloudnative Sicherheitslösungen und automatisierte Reaktionsprozesse können diese reduzieren.

In der Realität setzen rund die Hälfte der Unternehmen auf Security-Audits (54 %), Firewall-Patching (52 %) und dedizierte Sicherheitslösungen für Unternehmen wie EDR, MDR oder XDR (48 %). 44 % greifen auf zusätzliche technische Lösungen wie Anti-Spam-Software zurück.

Nur 19 % der Unternehmen nutzen hingegen Zero-Trust, obwohl dieser Ansatz maßgeblich dazu beitragen kann, Sicherheitsvorfälle durch Mitarbeiterfehler zu minimieren. Dies sehen IT-Entscheider ähnlich, die zu 53 % auf ein Zero-Trust-Modell umstellen würden, hätten sie unbegrenzte Zeit und Budget.

Fazit

In der heutigen dynamischen Bedrohungslandschaft ist es essenziell, über neue und unbekannte Gefahren für das eigene Unternehmen Bescheid zu wissen. Threat-Intelligence wird von einigen Unternehmen zwar als Kostenfaktor wahrgenommen, der von manchen dann auch mit kostenlosen Lösungen substituiert wird. Häufig unbeachtet bleiben dabei jedoch die erheblich umfangreicheren Kosten – finanzieller, wirtschaftlicher und auch Image-technischer Natur –, die ein erfolgreicher Cyberangriff und dessen Folgen (z. B. Datenverluste oder Betriebsunterbrechungen) verursachen können. So belaufen sich die Folgekosten aus den im vergangenen Jahr durchschnittlich 13 verzeichneten Sicherheitsvorfällen in Unternehmen in Deutschland auf rund 1,06 Millionen US-Dollar [5]. Gerade bei kleineren Unternehmen steht im schlimmsten Fall sogar die Existenz der gesamten Organisation auf dem Spiel.

Deshalb ist es entscheidend, frühzeitig und umfassend in die eigene Cyberresilienz zu investieren. TI-Dienste ermöglichen auch kleinen und mittleren Unternehmen (KMU) eine realistisch umsetzbare und essenzielle Investition in eine nachhaltige Sicherheit und geschäftliche Zukunft. Begleitet von Security-Awareness-Schulungen, Managed Security-Services (MSS) und automatisierten Reaktionsmechanismen im Rahmen einer mehrschichtigen Sicherheitsstrategie können Unternehmen Gefahren identifizieren und bereits an der Peripherie abwehren. Damit kommt weniger auf die Endpunkte zu und das gesamte Schutzlevel des Unternehmens steigt deutlich.

Waldemar Bergstreiser ist General Manager DACH bei Kaspersky

Literatur

_{[1] Kaspersky, Unternehmen in Deutschland verhindern Cyberangriff e durch Th reat-Intelligence/DataFeeds, Executive Summary/Whitepaper, Februar 2025, https://kas.pr/ti-data-feeds-whitepaper (Werbeeinwilligung erforderlich)}

_{[2] Kaspersky, Rückblick 2024: Kaspersky entdeckte 467 000 neue schädliche Dateien – täglich, Pressemitteilung, Dezember 2024, www.kaspersky.de/about/press-releases/ruckblick-2024-kaspersky-entdeckte467000-neue-schadliche-dateien-taglich-g}

_{[3] Ralph Dombach, Pattern Matching mit YARA, 2019# 3, S. 63, www.kes-informationssicherheit.de/print/titelthema-malware-trends-und-abwehr-2019/pattern-matching-mit-yara/ (+)}

_{[4] Kaspersky, Human Factor 360° report 2023, Redefi ning the Human Factor in Cybersecurity, Blogpost, November 2023, www.kaspersky.com/blog/human-factor360-report-2023/}

_{[5] Kasperky, IT Security Economics, Zum Umgang mit Komplexität in Zeiten von Künstlicher Intelligenz, Digitalisierung und Cloud, Blogpost, Dezember 2024, www.kaspersky.de/blog/it-security-economics-2024/}