{"id":3412,"date":"2025-06-03T04:00:00","date_gmt":"2025-06-03T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3412"},"modified":"2025-06-03T04:00:00","modified_gmt":"2025-06-03T04:00:00","slug":"threat-intelligence-plattformen-ein-kaufratgeber","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3412","title":{"rendered":"Threat-Intelligence-Plattformen \u2013 ein Kaufratgeber"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Threat-Intelligence-Plattformen erleichtern es, Bedrohungen zu durchdringen und wirksame Abwehrma\u00dfnahmen zu ergreifen.\n

specnaz | shutterstock.com<\/p>\n<\/div>\n

Der erste Schritt zu einem soliden Enterprise-Security-Programm besteht darin, eine geeignete Threat-Intelligence-Plattform<\/a> (TIP) auszuw\u00e4hlen. Fehlt eine solche Plattform, haben die meisten Security-Teams keine M\u00f6glichkeit, Tool-Komponenten miteinander zu integrieren und angemessene Taktiken und Prozesse zu entwickeln, um Netzwerke, Server, Applikationen und Endpunkte abzusichern. Aktuelle Bedrohungstrends machen TIPs unverzichtbar: So erm\u00f6glicht etwa KI-basierte Malware (unter anderem<\/a>) schnellere Exploits, die weniger Spuren hinterlassen. Hinzu kommt ein steigender Professionalisierungs- und Koordinierungsgrad unter Cyberkriminellen<\/a>. <\/p>\n

Unternehmen k\u00f6nnen es sich schlicht nicht mehr leisten, reaktiv mit Bedrohungen umzugehen. So hat die CISA (das US-Pendant zum BSI) bereits vor einiger Zeit festgestellt, dass Schwachstellen seit dem Jahr 2023 mehrheitlich mit Zero-Day-Techniken ausgenutzt werden<\/a>. Und laut Verizons aktuellem \u201cData Breach Investigations Report<\/a>\u201d (Download gegen Daten), hat sich der Anteil b\u00f6sartiger E-Mails, die mit KI generiert wurden, in den letzten beiden Jahren verdoppelt. Inzwischen liegt ihr Anteil bereits bei zehn Prozent.<\/p>\n

\u201cCybersecurity-Entscheider sehen sich heute mit einem Mix aus KI-Disruption, komplexen regulatorischen Vorschriften und raffinierten Bedrohungsakteuren konfrontiert\u201d, fasst Greg Sullivan, Gr\u00fcndungspartner der Security-Beratung CIOSO, zusammen. Es gehe nicht mehr nur darum, Risiken zu managen, so der Manager: \u201cCISOs m\u00fcssen digitalen Trust in einer Welt neu definieren, in der Deepfakes, Schwachstellen bei Drittanbietern<\/a> und fragmentierte Datenschutzgesetze das neue Normal darstellen.\u201d<\/p>\n

F\u00fcr diese Aufgabe sind moderne Threat-Intelligence-Plattformen gut geeignet \u2013 allerdings gilt es bei der Auswahl einige Aspekte zu beachten. In diesem Artikel lesen Sie:<\/p>\n

was moderne Threat-Intelligence-Plattformen k\u00f6nnen sollten,<\/p>\n

wie die Kosten f\u00fcr solche L\u00f6sungen ausfallen, und<\/p>\n

welche Angebote in diesem Bereich empfehlenswert sind.<\/p>\n

Das sollte Threat Intelligence leisten<\/h2>\n

Fr\u00fche Threat-Intelligence-Plattformen waren eher simple Produkte, die oft einfach nur ein paar Intelligence-Feeds zu den aktuellsten Exploits miteinander verkn\u00fcpft haben \u2013 mit wenig bis gar keinen Detailinformationen. Das hat sich drastisch ver\u00e4ndert: Heutige, moderne Threat-Intelligence-L\u00f6sungen bieten eine umfangreiche Informationsbasis, die auch auf zugrundeliegende Komplexit\u00e4ten und Besonderheiten der einzelnen Bedrohungen eingeht. Und: Wurden die ersten Threat-Intelligence-Plattformen in der Regel lokal installiert, laufen moderne Produkte heutzutage im Regelfall sowohl in der Cloud als auch On-Premises.<\/p>\n

S\u00e4mtlichen modernen TIPs sind drei zentrale Aspekte gemein:<\/p>\n

Die F\u00e4higkeit, Bedrohungsdaten sowohl in strukturierten als auch in unstrukturierten Formaten zu aggregieren, zu korrelieren und zu normalisieren.<\/strong> Das umfasst unter anderem auch, doppelte Eintr\u00e4ge, Fehler und ungeeignete Datens\u00e4tze herauszufiltern. Das Ziel besteht darin, Alarmmeldungen so weit wie m\u00f6glich zu reduzieren und Security-Profis zu erm\u00f6glichen, versteckte Muster oder potenzielle neue Bedrohungsvektoren in den anfallenden Daten zu identifizieren. Das setzt allerdings voraus, dass die gew\u00e4hlte Plattform auch auf mehrere verschiedene Threat-Feeds und Malware-Quellen<\/strong> zugreifen und deren Daten verarbeiten kann. Mit Blick auf diese Daten kommt es nicht nur auf die Quantit\u00e4t, sondern auch auf die Qualit\u00e4t<\/strong> an.<\/p>\n

Die F\u00e4higkeit, automatisiert auf Bedrohungen oder Angriffe reagieren zu k\u00f6nnen. <\/strong>Dazu geh\u00f6rt beispielsweise auch, Playbooks f\u00fcr den Angriffsfall zu erstellen. Im Idealfall sollten die Automation-Features einer Threat-Intelligence-Plattform schnelle Workflows mit minimalen manuellen Eingriffen realisieren. Das Ziel besteht darin, Malware so schnell wie m\u00f6glich zu eliminieren und so potenzielle Systemsch\u00e4den zu minimieren. Um die dabei anfallenden Tasks (beispielsweise Alerts anreichern, Anzeichen f\u00fcr eine Kompromittierung in Echtzeit teilen oder Threat-Reportings erstellen) automatisieren und orchestrieren zu k\u00f6nnen, ist es au\u00dferdem erforderlich, Standards wie TAXII<\/a> oder STIX<\/a><\/strong> \u00fcber die gesamte Threat-Management-Toolchain hinweg einzusetzen.<\/p>\n

Einen zentralen Platz f\u00fcr s\u00e4mtliche Threat-Management-Tasks zu etablieren.<\/strong> Dieser deckt den gesamten Lifecycle ab \u2013 von der Threat-Entdeckung \u00fcber die -Abwehr bis hin zur nachtr\u00e4glichen Absicherung der Systeme, um Folgeangriffe zu verhindern. Das erfordert allerdings auch, bestehende Sicherheitssysteme und -Tools in die Threat-Intelligence-Plattform integrieren zu k\u00f6nnen<\/strong> \u2013 beispielsweise aus den Bereichen SOAR<\/a>, SIEM<\/a> oder CNAPP<\/a>.<\/p>\n

Das kostet Threat Intelligence<\/h2>\n

Mit Blick auf ihr Preisgef\u00fcge zeigen sich die meisten Threat-Intelligence-Plattformanbieter eher verschlossen. Und das aus gutem Grund, denn TIPs sind nicht g\u00fcnstig. Immerhin stehen in einigen F\u00e4llen auch kostenlose Testversionen zur Verf\u00fcgung.<\/p>\n

Ganz allgemein l\u00e4sst sich zu diesem Aspekt festhalten: Die Preise variieren stark. Um gr\u00f6\u00dfere und komplexere Infrastrukturen abzusichern, sollten Sie jedoch mit j\u00e4hrlichen Kosten im niedrigen sechsstelligen Bereich<\/strong> rechnen.<\/p>\n

Empfehlenswerte Threat-Intelligence-Plattformen<\/h2>\n

Auch die Threat-Intelligence-Anbieterlandschaft ver\u00e4ndert sich fortlaufend. So hat beispielsweise Bitsght Ende 2024 Cybersixgill \u00fcbernommen<\/a>, w\u00e4hrend einige Monate zuvor Recorded Future vom Finanzdienstleistungs-Gigant Mastercard aufgekauft wurde<\/a>. Diese \u00dcbernahmen tragen dazu bei, dass die zugrundeliegenden Plattformen mit zus\u00e4tzlichen Daten und Signalinformationen angereichert werden.<\/p>\n

Nachfolgend haben wir einige empfehlenswerte Angebote im Bereich Threat-Intelligence-Plattformen f\u00fcr Sie zusammengestellt. Zu beachten ist dabei, dass es viele weitere Optionen gibt \u2013 alleine Gartner listet in seinem Kompendium<\/a> mehr als 150 Anbieter.<\/p>\n

Bitsight Cyber Threat Intelligence<\/strong><\/a> liefert Echtzeit-Informationen aus dem Clear- Deep- und Darkweb. Letzteres ist der bereits angesprochenen \u00dcbernahme von Cybersixgill zu verdanken. Bitsight kuratiert nach eigenen Angaben t\u00e4glich mehr als sieben Millionen Intelligence-Eintr\u00e4ge und sammelt mehr als eine Milliarde kompromittierte Anmeldedaten. Zwischen Datenerfassung benutzerdefiniertem Alert sollen weniger als 60 Sekunden liegen, verspricht der Anbieter.<\/p>\n

Cyware Threat Intelligence Management<\/strong><\/a> deckt eine Vielzahl strukturierter und unstrukturierter Bedrohungsquellen ab und bietet dabei Echtzeit-Aktionen und performante Automatisierungsfunktionen, um Bedrohungsdaten anzureichern.<\/p>\n

Greynoise for Threat Hunting Teams<\/strong><\/a> nutzt eine Sammlung von mehr als 300 Edge-basierten Honeypots, um Threat-Daten zu sammeln und in (nahezu) Echtzeit zu analysieren. Diese Plattform ist mit einer breiten Palette an SIEM-, SOAR- und XDR-Tools integrierbar sowie mit Netzwerk-Firewalls von Sophos. Das soll Sicherheitsprofis dabei unterst\u00fctzen, Bedrohungen mit Schwachstellen und Incident Response zu einem koh\u00e4renten und umsetzbaren Plan zu verkn\u00fcpfen.<\/p>\n

Kela Cyber Intelligence Platform<\/strong><\/a> bietet eine ganze Sammlung von Tools \u2013 beispielsweise um Assets zu \u00fcberwachen, Angriffe zu untersuchen oder Informationen \u00fcber Bedrohungsakteure einzusehen. Die Plattform ist auch in der Lage, Playbooks f\u00fcr Verteidiger automatisiert zu erstellen und l\u00e4sst sich mit einer Vielzahl bestehender Sicherheitsprodukte von Drittanbietern integrieren. Kela bietet f\u00fcr Interessierte eine kostenlose Testversion an<\/a>.<\/p>\n

OpenText Threat Intelligence (BrightCloud)<\/strong><\/a> greift auf ein globales Sensornetzwerk zu, um neue Bedrohungen zu identifizieren und bietet Features wie Echtzeit-Webklassifizierung, Anti-Phishing-Mechanismen sowie IP- und dateibasiertes Reputation Monitoring. Davon abgesehen, liefert die Plattforme auch Detailinformationen zu Cloud-basierten Threats und ist in der Lage, polymorphe Malware<\/a> zu identifizieren und zu isolieren.<\/p>\n

Palo Alto Networks Cortex XSIAM<\/strong><\/a> ist eine KI-gesteuerte SOC<\/a>-Plattform, die riesige Mengen an Sicherheitsdaten (inklusive Bedrohungsinformationen) erfasst, korreliert und auf dieser Grundlage agiert. Um Endpunkte, Netzwerke, Clouds und Identity-Anbieter fortlaufend zu analysieren, kommt bei dieser L\u00f6sung generative KI zum Einsatz. Diese TIP kann Threat-Daten sowohl \u00fcber kommerzielle als auch Open-Source-Provider einholen und integriert mit mehr als 250 Drittanbieter-Produkten.<\/p>\n

Recorded Future Threat Intelligence<\/strong><\/a> wird von zahlreichen Analystenh\u00e4usern als \u201cLeader\u201d im Bereich TIP angesehen \u2013 die \u00dcbernahme durch Mastercard d\u00fcrfte diese Position weiter gefestigt haben. Der Anbieter besch\u00e4ftigt sein eigenes Research-Team (Insikt<\/a>) \u2013 dessen Daten flie\u00dfen mit in die Plattform ein. Recorded Future setzt davon abgesehen bereits seit mehr als zehn Jahren auf deterministische KI und hat diese Erfahrungswerte genutzt, um Analysen, Insights und Workflows mit Generative-AI-Frontends zu unterst\u00fctzen.<\/p>\n

Seemplicity<\/strong><\/a> nutzt f\u00fcr seine Threat-Intelligence-Plattform eine eigene KI-Engine namens RemOps. Diese erm\u00f6glicht es, ma\u00dfgeschneiderte Remediation-Pl\u00e4ne auf der Grundlage von Kontextinformationen aus Code-Repositories, ITSM- und Ticketing-Systemen zu erstellen. Die KI sammelt au\u00dferdem uch Daten aus existierenden Tools und kann empfohlene Abhilfema\u00dfnahmen an den Security-Analysten weiterleiten, der am besten f\u00fcr die Aufgabe geeignet ist. Der Preis dieser Plattform richtet sich nach der Anzahl der abgedeckten Datenquellen und Automatisierungen \u2013 im g\u00fcnstigsten Fall liegt die Jahresgeb\u00fchr bei rund 60.000 Dollar.<\/p>\n

SilentPush<\/strong><\/a> bietet eine Vielzahl von (Echtzeit-)Funktionen, darunter auch Brand- und DNS-Protection. Diese Threat-Intelligence-L\u00f6sung integriert mit diversen unterschiedlichen SOAR- und SIEM-Tools sowie den Plattformen von Crowdstrike und Cyware. Diese L\u00f6sung steht auch als kostenlose Community-Edition<\/a> zur Verf\u00fcgung. Die enth\u00e4lt zwar keine Bedrohungs-Feeds, ist aber dazu geeignet, Infrastruktur\u00e4nderungen zu \u00fcberwachen. Die kostenpflichtige Enterprise-Version kostet mindestens 120.000 Dollar pro Jahr \u2013 daf\u00fcr gibt\u2019s allerdings nur grundlegende Funktionen. Wer mehr braucht, kommt schnell auf eine Jahresgeb\u00fchr von 500.000 Dollar oder mehr.<\/p>\n

SOCRadar<\/strong><\/a> bietet seine Threat-Intelligence-Plattform in drei verschiedenen Ausformungen an: Cyber Threat Intelligence, Advanced Dark Web Monitoring und Extended Threat Intelligence. Letztere Version ist die umfassendste und beinhaltet neben den Features der beiden erstgenannten Versionen zus\u00e4tzlich auch Attack Surface Management und Brand Protection. Die L\u00f6sungen von SOCRadar sind mit diversen Log-Management-, SOAR- und SIEM-Systemen integrierbar. In Sachen Preistransparenz<\/a> ist dieser Anbieter der Konkurrenz voraus. Neben kostenlosen Testversionen steht auch ein dauerhaft kostenloses Freemium-Produkt von Cyber Threat Intelligence zur Verf\u00fcgung. Der Essential-Plan (empfohlen f\u00fcr KMU) schl\u00e4gt mit mindestens 11.350 Dollar pro Jahr zu Buche.<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Threat-Intelligence-Plattformen erleichtern es, Bedrohungen zu durchdringen und wirksame Abwehrma\u00dfnahmen zu ergreifen. specnaz | shutterstock.com Der erste Schritt zu einem soliden Enterprise-Security-Programm besteht darin, eine geeignete Threat-Intelligence-Plattform (TIP) auszuw\u00e4hlen. Fehlt eine solche Plattform, haben die meisten Security-Teams keine M\u00f6glichkeit, Tool-Komponenten miteinander zu integrieren und angemessene Taktiken und Prozesse zu entwickeln, um Netzwerke, Server, Applikationen und Endpunkte […]<\/p>\n","protected":false},"author":0,"featured_media":3413,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3412","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3412"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3412"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3412\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3413"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3412"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3412"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3412"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}