{"id":3135,"date":"2025-05-13T04:00:00","date_gmt":"2025-05-13T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3135"},"modified":"2025-05-13T04:00:00","modified_gmt":"2025-05-13T04:00:00","slug":"top-tipps-fur-die-erfolgreiche-nutzung-von-bedrohungsdaten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3135","title":{"rendered":"Top-Tipps f\u00fcr die erfolgreiche Nutzung von Bedrohungsdaten"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Mit STIX und TAXII werden Bedrohungsdaten nicht nur \u00fcbertragen, sondern strategisch nutzbar gemacht.<\/p>\n<p class=\"imageCredit\">Gorodenkoff \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Unternehmen, die der Flut von Sicherheitsverletzungen und Angriffen Einhalt gebieten wollen, schaffen sich in der Regel eine <a href=\"https:\/\/www.computerwoche.de\/article\/2775774\/threat-intelligence-wichtiger-baustein-fuer-die-it-security.html\" target=\"_blank\" rel=\"noopener\">Threat Intelligence Platform<\/a> (TIP) an. Diese kann eine von mehreren Formen annehmen, zum Beispiel die eines verwalteten Cloud-basierten Dienstes oder einer eng gekoppelten Tool-Sammlung. Letztere bietet ein breiteres <a href=\"https:\/\/www.computerwoche.de\/article\/2803348\/was-ist-risk-management.html\" target=\"_blank\" rel=\"noopener\">Risikomanagement<\/a>-Profil, indem sie<\/p>\n<p>Bedrohungen erkennt,<\/p>\n<p>auf Vorf\u00e4lle reagiert und<\/p>\n<p>Schwachstellen managet.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Augen auf bei der Plattform-Wahl<\/strong><\/h2>\n<p>Mehr als ein Dutzend Anbieter offerieren TIPs. Der Schl\u00fcssel zum erfolgreichen Einsatz dieses Tools liegt darin, zu verstehen, was sie k\u00f6nnen und was nicht. Zus\u00e4tzlich m\u00fcssen sie auf die eigene Umgebung und den Grad der Sicherheit abgestimmt werden.<\/p>\n<p>Au\u00dferdem ist es wichtig, dass TIPs in der Lage sind, mit anderen Sicherheitstools und Verteidigungsma\u00dfnahmen vernetzt werden zu k\u00f6nnen.<\/p>\n<p>H\u00e4ufige Fehler, die <a href=\"https:\/\/www.computerwoche.de\/article\/2785596\/das-muss-ein-chief-information-security-officer-koennen.html\" target=\"_blank\" rel=\"noopener\">CISOs<\/a> machen, wenn sie ihre Auswahl treffen, sind unter anderem<\/p>\n<p>auf schlechte Bedrohungsdaten zu vertrauen,<\/p>\n<p>falsche Anforderungen zu sammeln,<\/p>\n<p>ungeeignete Bedrohungsquellen einzusetzen sowie<\/p>\n<p>\u00fcber keine Strategie bei der Auswahl der richtigen Tools zu verf\u00fcgen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Standardisierte \u00dcbertragung mit STIX &amp; TAXII<\/strong><\/h2>\n<p>Um solche Fehler zu vermeiden, m\u00fcssen zun\u00e4chst die tats\u00e4chlichen Bedrohungs-Feeds untersucht werden, die als Quellenmaterial verwendet werden. Zudem gilt es festzustellen, wie viele verschiedene Feeds verarbeitet werden. Das bedeutet, sich nicht auf die Gesamtzahl zu konzentrieren, sondern tiefer in die gesammelten Daten einzutauchen.<\/p>\n<p>Hierbei sollte man verstehen, wie das TIP<\/p>\n<p>die Bedrohungen konsolidiert,<\/p>\n<p>mit Metadaten anreichert und<\/p>\n<p>strukturiert katalogisiert.<\/p>\n<p>Dies wird durch standardisierte Protokolle wie TAXII und STIX erleichtert, die eine detaillierte und effektive Daten\u00fcbertragung erm\u00f6glichen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Standards f\u00fcr koordinierte Reaktionen<\/strong><\/h2>\n<p>STIX beschreibt dabei den Inhalt einer Bedrohung, w\u00e4hrend TAXII den \u00dcbertragungsweg definiert. <a href=\"https:\/\/www.csoonline.com\/article\/546270\/cisco-subnet-the-international-security-community-should-embrace-the-stix-and-taxii-standards.html\" target=\"_blank\" rel=\"noopener\">Gemeinsam<\/a> erm\u00f6glichen sie es, Bedrohungen detailliert zu charakterisieren sowie automatisiert und koordiniert auf sie zu reagieren. Die beiden Standards werden von der Organization for the Advancement of Structured Information Standards (<a href=\"https:\/\/de.wikipedia.org\/wiki\/Organization_for_the_Advancement_of_Structured_Information_Standards\" target=\"_blank\" rel=\"noopener\">OASIS<\/a>) gepflegt.<\/p>\n<p>Teil des Anreicherungsprozesses der Daten in TIPs ist es,<\/p>\n<p>doppelte Bedrohungsdaten zu normalisieren sowie<\/p>\n<p>falsch-positive oder irrelevante Informationen herauszufiltern.<\/p>\n<p>Automatische und <a href=\"https:\/\/www.computerwoche.de\/article\/3970948\/ein-bauriese-wird-ki-ready.html\" target=\"_blank\" rel=\"noopener\">KI<\/a>-basierte Filtermethoden k\u00f6nnen hierbei helfen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Komplexit\u00e4t richtig einsch\u00e4tzen<\/strong><\/h2>\n<p>Das ausgefeilteste TIP kann allerdings wirkungslos sein, wenn nur eine kleine Sicherheitsabteilung mit begrenzten F\u00e4higkeiten oder eine relativ einfache Computerumgebung zur Verf\u00fcgung steht.<\/p>\n<p>Laut Experten von Greynoise m\u00fcssen die Bedrohungsdaten daher auf die spezifische IT-Umgebung abgestimmt sein. Das gilt insbesondere hinsichtlich der Vielfalt und Komplexit\u00e4t von Bedrohungen, Clouds und Endger\u00e4ten. Dazu geh\u00f6rt auch, die Infrastruktur ganzheitlich zu betrachten, sowohl physisch als auch virtuell. Um die Bedrohungslage umfassend zu verstehen, sollten zudem interne und externe Einflussfaktoren ber\u00fccksichtigt werden, so unter anderem der Experte <a href=\"https:\/\/cybersecstu.medium.com\/my-book-on-cyber-threat-intel-that-never-quite-made-it-as-a-book-chapter-1-1-faeb57a7e1a1\" target=\"_blank\" rel=\"noopener\">Stuart Peck<\/a>.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Integration in bestehende Sicherheitssysteme<\/strong><\/h2>\n<p>Effektive TIPs sollten laut Experten auch in der Lage sein,<\/p>\n<p>automatisierte Reaktionen und Gegenma\u00dfnahmen zu koordinieren,<\/p>\n<p>Bedrohungen zu stoppen und<\/p>\n<p>Sch\u00e4den zu minimieren.<\/p>\n<p>Ihr Nutzen h\u00e4ngt stark davon ab, wie gut sie in bestehende Sicherheitssysteme wie <a href=\"https:\/\/www.csoonline.com\/article\/3622920\/soar-buyers-guide-11-security-orchestration-automation-and-response-products-and-how-to-choose.html\" target=\"_blank\" rel=\"noopener\">SOAR<\/a>, <a href=\"https:\/\/www.csoonline.com\/article\/3492608\/was-ist-siem.html\" target=\"_blank\" rel=\"noopener\">SIEM<\/a> und <a href=\"https:\/\/www.csoonline.com\/article\/3492511\/extended-detection-and-response-losungendie-11-besten-xdr-tools.html\" target=\"_blank\" rel=\"noopener\">XDR<\/a> integriert sind.<\/p>\n<p>Entscheidend ist, dass Bedrohungsinformationen nicht nur gesammelt, sondern auch priorisiert, in Ma\u00dfnahmen umgesetzt und zeitnah genutzt werden. Dabei ist besonders wichtig, die Zeit zwischen Erkennung und Reaktion zu verk\u00fcrzen und aktuelle Bedrohungen in Echtzeit zu erkennen und zu bek\u00e4mpfen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Erfolgskriterien f\u00fcr TIPs definieren<\/strong><\/h2>\n<p>Visuelle Analysen machen hier Bedrohungsinformationen greifbar und unterst\u00fctzen Analysten dabei, effizient Muster und Zusammenh\u00e4nge zu erkennen. Dynamische Dashboards spielen ebenfalls eine zentrale Rolle, indem sie Echtzeittrends und Anomalien aufzeigen, damit gezielt auf Bedrohungen reagiert werden kann.<\/p>\n<p>Entscheidend ist zudem, klare Erfolgskriterien f\u00fcr ein TIP festzulegen, etwa in Bezug auf die Erkennungsrate und die Verringerung von Folgevorf\u00e4llen.<\/p>\n<p>All diese Elemente sind wichtig, um Bedrohungsdaten in Sicherheitsabl\u00e4ufe einzubinden. Der Experte <a href=\"https:\/\/www.recordedfuture.com\/threat-intelligence-101\/tools-and-technologies\" target=\"_blank\" rel=\"noopener\">Esteban Borges<\/a> schrieb 2024, dass diese Daten in eine von drei grundlegenden Kategorien eingeteilt werden k\u00f6nnen:<\/p>\n<p><strong>Strategisch<\/strong>: Eine Vogelperspektive auf die gesamte Cybersecurity-Landschaft, um generelle Bedrohungslagen und Trends zu erkennen.<\/p>\n<p><strong>Taktisch<\/strong>: \u00a0Detaillierte Informationen zu Angriffstaktiken und \u2013mechanismen, um effektive Verteidigungsstrategien zu formulieren.<\/p>\n<p><strong>Operativ<\/strong>: Analysen in Echtzeit oder nahezu in Echtzeit, um unmittelbare Angriffe zu erkennen und zu vereiteln, bevor sie starten.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Ganzheitlichkeit und Kontext<\/strong><\/h2>\n<p>Zudem ist es notwendig, alle relevanten Sicherheitsaspekte nicht isoliert, sondern ganzheitlich zu betrachten. Ein zentrales Problem hierbei kann die mangelnde Koordination zwischen Teams sein \u2013 etwa, wenn Bedrohungsmeldungen nicht weiterverfolgt werden.<\/p>\n<p>Effektive Reaktionen erfordern sowohl Nachverfolgung durch das Threat-Team als auch aktives Handeln durch die mit der L\u00f6sung des Problems betrauten Gruppen. TIPs k\u00f6nnen dabei helfen, Bedrohungen in den richtigen Kontext zu setzen. Hierbei k\u00f6nnen sie zum Beispiel Muster aufzeigen, die aus scheinbar einzelnen Vorf\u00e4llen auf gezielte, gro\u00dffl\u00e4chige Angriffe hinweisen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>KI-unterst\u00fctzte Tools richtig verstehen<\/strong><\/h2>\n<p>Obwohl KI-gest\u00fctzte Automatisierung in TIPs zwar weit verbreitet ist, muss sie <a href=\"https:\/\/www.dutchosintguy.com\/post\/the-slow-collapse-of-critical-thinking-in-osint-due-to-ai\" target=\"_blank\" rel=\"noopener\">kritisch betrachtet<\/a> werden, da KI-Tools nicht immer zuverl\u00e4ssig aus Bedrohungsdaten lernen. Analysten sollten deren Ergebnisse stets kritisch hinterfragen und mit realen Quellen abgleichen, um kritisches Denken zu bewahren und Fehlentscheidungen zu vermeiden.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Mit STIX und TAXII werden Bedrohungsdaten nicht nur \u00fcbertragen, sondern strategisch nutzbar gemacht. Gorodenkoff \u2013 shutterstock.com Unternehmen, die der Flut von Sicherheitsverletzungen und Angriffen Einhalt gebieten wollen, schaffen sich in der Regel eine Threat Intelligence Platform (TIP) an. Diese kann eine von mehreren Formen annehmen, zum Beispiel die eines verwalteten Cloud-basierten Dienstes oder einer eng [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3136,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3135","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3135"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3135"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3135\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3136"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}