Threat Intelligence für den Mittelstand: Bedrohungen erkennen bevor sie zuschlagen
8 Min. Lesezeit
Der globale Threat-Intelligence-Markt wächst 2026 auf 8,2 Mrd. US-Dollar. Bis 2034 werden es über 31 Mrd. US-Dollar sein. Aber Threat Intelligence ist kein Produkt für Konzerne mit SOC-Teams und Millionenbudgets. Es ist eine Fähigkeit, die jedes IT-Team im Mittelstand aufbauen kann. Die Frage ist nicht ob Bedrohungen existieren. Die Frage ist, ob das Team sie erkennt, bevor der Angreifer zuschlägt. Dieser Praxischeck zeigt, wie der Einstieg mit schlankem Budget funktioniert.
Das Wichtigste in Kürze
- 8,2 Mrd. US-Dollar Marktvolumen 2026, Wachstum auf über 31 Mrd. US-Dollar bis 2034 (CAGR 18,3 Prozent). KMU-Segment wächst am schnellsten (Fortune Business Insights).
- Enterprise-Bedrohungen treffen den Mittelstand: Dieselben Angriffstechniken (Ransomware, Credential Theft, Supply Chain), aber mit weniger Abwehrkapazität. CTI gleicht den Informationsvorsprung aus.
- MITRE ATT&CK als gemeinsame Sprache: Das Framework strukturiert Bedrohungswissen in Taktiken, Techniken und Prozeduren (TTPs) und macht CTI operationalisierbar.
- Einstieg ab null Euro: Open-Source-Feeds (AlienVault OTX, Abuse.ch, CIRCL), kostenlose MITRE-Tools und Community-Plattformen ermöglichen einen Basis-CTI-Stack ohne Lizenzkosten.
- Darknet-Monitoring ist kein Luxus: Dienste wie Recorded Future, Flashpoint oder Flare überwachen das Dark Web auf gestohlene Credentials, exponierte Infrastruktur und geplante Angriffe. Einstiegspreise ab 5.000 Euro jährlich.
Was Threat Intelligence wirklich ist
Threat Intelligence (TI) ist nicht das Sammeln von Indicators of Compromise (IoCs). Es ist die Fähigkeit, aus Daten Kontext zu erzeugen: Wer greift an? Mit welchen Techniken? Welche Branchen sind betroffen? Und was bedeutet das für die eigene Organisation?
Die drei Ebenen von TI arbeiten zusammen: Strategische TI informiert das Management über die Bedrohungslandschaft (Wer sind die Akteure? Welche Trends zeichnen sich ab?). Taktische TI beschreibt die Techniken und Prozeduren der Angreifer (TTPs nach MITRE ATT&CK). Operative TI liefert konkrete technische Indikatoren (IP-Adressen, Hashes, Domains), die in SIEM und EDR integriert werden.
Für den Mittelstand ist die taktische Ebene am wertvollsten. Wenn das IT-Team weiß, dass eine aktuelle Kampagne E-Mails mit ZIP-Anhängen nutzt, die einen bestimmten Loader enthalten, kann es die Firewall-Regeln und E-Mail-Filter in Minuten anpassen. Ohne TI erfährt das Team erst davon, wenn der Angriff bereits läuft.
MITRE ATT&CK: Die Sprache die jedes Security-Team lernen muss
MITRE ATT&CK ist ein offenes Framework, das die Techniken realer Angreifer kategorisiert. 14 Taktiken (von Initial Access bis Impact), Hunderte von Techniken und konkrete Verfahren pro Angreifergruppe. Für CTI ist es die gemeinsame Sprache, die Bedrohungswissen operationalisierbar macht.
Konkret: Wenn ein Threat Report beschreibt, dass eine Kampagne T1566 (Phishing: Spearphishing Attachment), T1003 (OS Credential Dumping) und T1119 (Automated Collection) verwendet, kann das IT-Team gezielt prüfen: Haben wir Detections für diese drei Techniken? Sind unsere E-Mail-Filter gegen T1566 konfiguriert? Ist unser EDR in der Lage, T1003 zu erkennen?
Der MITRE ATT&CK Navigator ist ein kostenloses Tool, mit dem Teams ihre Detection-Coverage visualisieren können. Grüne Felder: abgedeckt. Rote Felder: Lücke. In einer Stunde hat ein IT-Team ein visuelles Bild seiner Stärken und Schwächen. Das ist der Moment, in dem TI von einem abstrakten Konzept zu einer konkreten To-do-Liste wird.
Der CTI-Stack für schlanke Teams: Was wirklich nötig ist
Ein Mittelstandsunternehmen mit 3 bis 10 IT-Mitarbeitenden braucht kein Threat-Intelligence-Platform (TIP) für 100.000 Euro. Es braucht drei Dinge:
1. Kuratierte Feeds. Nicht jeder IoC-Feed ist wertvoll. Zu viele Feeds erzeugen Alert Fatigue. Drei bis fünf Feeds reichen für den Einstieg: AlienVault OTX (Open Threat Exchange, kostenlos), Abuse.ch (Malware und Botnet Tracker, kostenlos), das BSI Lagebild (branchenspezifisch für DACH) und der CERT-Bund (staatliche Warnmeldungen). Diese Feeds werden in das SIEM oder die Firewall integriert.
2. Kontextualisierung. Ein IoC ohne Kontext ist nutzlos. Die IP-Adresse 203.0.113.42 auf einer Blocklist sagt nichts. Dieselbe IP-Adresse mit dem Kontext „wird von APT28 für C2-Kommunikation genutzt, Ziel: europäische Fertigungsindustrie“ ist ein Alarmsignal. Tools wie MISP (Malware Information Sharing Platform, Open Source) und OpenCTI ermöglichen die Anreicherung von IoCs mit Kontext, TTP-Mapping und Akteursprofile.
3. Operationalisierung. TI muss in bestehende Tools fließen: IoCs in die Firewall (automatische Blocklists), TTPs in das SIEM (Detection Rules), strategische Berichte ins Management (quartalsweise Bedrohungslageeinschätzung). Wenn TI nicht operationalisiert wird, ist es akademisches Wissen statt Schutzmaßnahme.
„CTI-Plattformen transformieren rohe Indikatoren in handlungsfähige Intelligenz, die False Positives reduziert, die Erkennungsgenauigkeit verbessert und proaktive Verteidigungsstrategien ermöglicht.“
Stellar Cyber, Top 10 CTI Platforms 2026
Darknet-Monitoring: Was im Untergrund über Ihr Unternehmen bekannt ist
Die meisten Mittelständler wissen nicht, welche ihrer Daten bereits im Dark Web zirkulieren. Gestohlene Mitarbeiter-Credentials, exponierte VPN-Zugänge, geleakte Kundendatenbanken oder Hinweise auf geplante Angriffe finden sich regelmäßig in Darknet-Foren und auf Paste-Sites.
Darknet-Monitoring-Dienste durchsuchen diese Quellen automatisiert: Recorded Future, Flashpoint, Flare und DarkOwl sind die etablierten Anbieter. Für den Mittelstand gibt es schlankere Optionen: Have I Been Pwned (kostenlos für Domain-Monitoring), SpyCloud (Credential-Monitoring ab Enterprise-Einstiegspreisen) und CrowdStrike Falcon X Recon (Threat-Intel-Modul im bestehenden EDR-Stack).
Der pragmatischste Einstieg: Die eigene Domain auf Have I Been Pwned registrieren (kostenlos) und bei jedem Breach-Alarm die betroffenen Konten sofort zurücksetzen. Das ist kein vollständiges Darknet-Monitoring, aber es fängt den häufigsten Angriffsvektor ab: wiederverwendete Passwörter aus früheren Breaches.
Fünf Einstiegspunkte für den Mittelstand
1. BSI-Warnmeldungen abonnieren. Das BSI und CERT-Bund veröffentlichen regelmäßig Warnungen zu aktuellen Bedrohungen, die speziell für den DACH-Raum relevant sind. Kostenfrei, auf Deutsch und sofort umsetzbar. Die Warnmeldungen enthalten konkrete IoCs und Handlungsempfehlungen.
2. MITRE ATT&CK Navigator einsetzen. In einer Stunde die eigene Detection-Coverage visualisieren. Wo sind die Lücken? Welche Techniken kann das SIEM erkennen, welche nicht? Das Ergebnis ist eine priorisierte Liste von Detection-Regeln, die geschrieben werden müssen.
3. Open-Source-TIP aufsetzen. MISP oder OpenCTI als zentrale Plattform für Threat Intelligence. Beide sind kostenlos, Docker-basiert und in einem Tag installierbar. Sie aggregieren Feeds, ermöglichen Kontextualisierung und können IoCs automatisiert an SIEM und Firewall weiterleiten.
4. Credential-Monitoring aktivieren. Have I Been Pwned Domain-Notification (kostenlos) oder SpyCloud für umfassendes Monitoring. Bei jedem Fund: Passwort-Reset erzwingen, betroffene Konten auf verdächtige Aktivitäten prüfen und die Quelle des Leaks identifizieren.
5. Branchenspezifische ISACs beitreten. Information Sharing and Analysis Centers (ISACs) bündeln Bedrohungsinformationen für spezifische Branchen. In Deutschland: UP KRITIS (kritische Infrastrukturen), ACS der Allianz für Cyber-Sicherheit (BSI-Initiative, kostenfreie Mitgliedschaft). Die geteilten Informationen sind branchenspezifisch und damit relevanter als generische Feeds.
Fazit
Threat Intelligence ist kein Luxusprodukt für SOC-Teams in Konzernen. Es ist eine überlebenswichtige Fähigkeit für jedes IT-Team, das Verantwortung für die Sicherheit eines Unternehmens trägt. Der Markt wächst auf 8,2 Mrd. US-Dollar 2026, und das KMU-Segment wächst am schnellsten, weil die Bedrohungen längst angekommen sind. Der Einstieg kostet nichts: BSI-Warnmeldungen, MITRE ATT&CK Navigator, Open-Source-TIPs und Have I Been Pwned sind kostenlos. Der Ausbau (Darknet-Monitoring, kommerzielle Feeds, automatisierte Operationalisierung) skaliert mit dem Budget. Die entscheidende Frage ist nicht, ob CTI sich lohnt. Die Frage ist, ob das IT-Team die nächste Kampagne erkennt, bevor sie in der Inbox landet. Oder ob es sie erst im Incident-Response-Report liest.
Häufige Fragen
Was kostet Threat Intelligence für den Mittelstand?
Einstieg: null Euro. BSI-Feeds, AlienVault OTX, Abuse.ch und MISP/OpenCTI sind kostenlos. Kommerzielles Darknet-Monitoring: ab 5.000 Euro jährlich. Enterprise-TIPs (Recorded Future, ThreatConnect, Anomali): 20.000 bis 100.000 Euro jährlich. Die meisten Mittelständler starten mit dem kostenlosen Stack und erweitern bei Bedarf.
Brauche ich ein SOC für Threat Intelligence?
Nein. Ein dediziertes SOC ist hilfreich, aber nicht Voraussetzung. Ein IT-Team von 3 bis 5 Personen kann TI in 2 bis 4 Stunden pro Woche operationalisieren: Feeds prüfen, Detection-Regeln aktualisieren und Warnmeldungen bewerten. Wer mehr Kapazität braucht, kann einen Managed-Detection-and-Response-Dienst (MDR) nutzen, der TI-Integration inkludiert.
Was ist der Unterschied zwischen IoCs und TTPs?
IoCs (Indicators of Compromise) sind technische Artefakte: IP-Adressen, Domains, Datei-Hashes, URLs. Sie sind spezifisch, aber vergänglich (Angreifer wechseln Infrastruktur regelmäßig). TTPs (Tactics, Techniques and Procedures) beschreiben das Verhalten des Angreifers: wie er eindringt, sich bewegt und Daten exfiltriert. TTPs ändern sich langsamer und haben daher einen längeren Wert für die Verteidigung.
Wie integriere ich TI in mein bestehendes SIEM?
Die meisten SIEMs (Splunk, Elastic SIEM, Microsoft Sentinel, QRadar) unterstützen den Import von Threat-Feeds in Standardformaten (STIX/TAXII, CSV, JSON). MISP exportiert direkt in diese Formate. Der typische Workflow: Feed in MISP importieren, automatisiert an SIEM weiterleiten, dort als Correlation Rule einbinden. Bei einem Treffer generiert das SIEM einen Alert mit dem TI-Kontext als Anreicherung.
Welche Threat-Intelligence-Quelle ist für DACH am relevantesten?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT-Bund. Beide liefern deutschsprachige Warnmeldungen mit DACH-Bezug: aktuelle Kampagnen, betroffene Branchen und konkrete IoCs. Die Allianz für Cyber-Sicherheit (ACS) bietet zusätzlich branchenspezifische Lagebilder und einen geschlossenen Austausch mit anderen deutschen Unternehmen.
Weiterlesen
Cyber-Versicherung 2026: Was der Versicherer wirklich prüft
PAM: Warum Admin-Konten das größte Einfallstor sind
Shadow AI: Wenn Mitarbeiter ChatGPT nutzen
Mehr aus dem MBF Media Netzwerk
Digital Chiefs: Datenkultur im Vorstand
MyBusinessFuture: KI im Mittelstand
cloudmagazin: Container Supply Chain Security
Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380682)
