Threat Intelligence: Cyberbedrohungen verstehen, bevor sie entstehen | Folge 40

Shownotes

In dieser Folge von „WeTalkSecurity" geht es um Threat Intelligence: was sich hinter dem Begriff verbirgt, wie Unternehmen davon profitieren, welche Rolle APT-Gruppen und geopolitische Konflikte dabei spielen – und warum Datenqualität wichtiger ist als Datenmenge. Philipp Plum spricht mit Steffen Schmidt, Manager of Sales Engineering bei ESET, darüber, wie Rohdaten und Telemetrie in verwertbare Bedrohungsinformationen verwandelt werden, was Datafeeds und APT-Reports leisten, welche Einstiegshürden bei der Implementierung bestehen und wie KI bzw. Machine Learning die Analyse von Bedrohungslagen künftig weiter vereinfachen wird.

Über den Gast: Steffen Schmidt ist Manager of Sales Engineering bei ESET. Sein Team ist verantwortlich für Produktpräsentationen, technische Beratung sowie die Beantwortung von Anfragen rund um die ESET-Produktpalette – sowohl für Kunden als auch für Partner.

Gastgeber: Philipp Plum

Schwerpunkte und Inhalte der Episode: Was ist Threat Intelligence? Threat Intelligence bezeichnet den Prozess, aus Rohdaten und Telemetriedaten – etwa über schadhafte IP-Adressen, Domains oder Dateien – kontextualisierte Bedrohungsinformationen zu machen. Erst der Kontext ermöglicht es Unternehmen, eine konkrete Bedrohungslage für sich einzuschätzen und daraus Schutzmaßnahmen abzuleiten.

Woher kommen die Daten?: ESET generiert Telemetrie aus weltweit installierten Endpoints, aus Honeypot-Systemen und über drei globale Malware Research Center. Unternehmen außerhalb der IT-Security-Branche können solche Daten nicht selbst generieren – genau hier liegt der Mehrwert eines spezialisierten Anbieters.

APT-Gruppen und geopolitische Dimension: Staatlich gesponserte Angreifer (Advanced Persistent Threats, APTs) verfolgen gezielt Ziele in Behörden, Unternehmen und kritischer Infrastruktur. Am Beispiel der Ukraine – wo ESET Marktführer ist – zeigt sich, wie Cyberoperationen eng mit geopolitischen Ereignissen verknüpft sind: von Spionage und Datenabfluss bis hin zu gezielter Sabotage von Energieversorgung und Industrieanlagen.

Datafeeds und APT-Reports: ESET bietet zwei Hauptformen der Threat Intelligence: maschinenlesbare Datafeeds (u. a. für Firewall- und SIEM-Systeme) sowie lesbare APT-Reports (6–8 pro Monat, von strategischer bis technischer Ebene). Die Reports richten sich an Zielgruppen vom CISO bis zum SOC-Analysten und beinhalten Informationen zu eingesetzten Techniken, Schwachstellen und Indicators of Compromise (IoCs).

Confidence und Datenaktualität: Qualität schlägt Quantität: ESET setzt auf hochwertige, deduplizierte Daten mit klarer Konfidenz-Bewertung. Informationen haben ein maximales Aktualitätsfenster von 48 Stunden – danach verlieren sie an Relevanz, da sich Angreiferinfrastruktur kontinuierlich verändert.

KI und Machine Learning: Ohne automatisierte Auswertung wären die täglich anfallenden Hunderte Millionen Datenpunkte nicht handhabbar. Machine Learning ist die technische Basis für Deduplizierung, Konfidenz-Bewertung und Kontextualisierung. Neu: Der ESET AI Advisor ermöglicht es, aus abstrakten Fragen zur Bedrohungslage in Minuten konkrete, handlungsorientierte Antworten zu generieren – inklusive Regelvorschlägen für Schutzsysteme.

Einstiegshürden und Implementierung: Entscheidend ist die Frage, wie Threat Intelligence konsumiert wird – ob auf Firewall-Ebene (IP/Domain-Blocking), im SIEM oder als APT-Report. Ein Multi-Vendor-Ansatz bei den Intelligence-Quellen wird empfohlen, um regional blinde Flecken zu vermeiden. ESET hat besondere Stärken in Osteuropa; andere Anbieter decken andere Regionen ab.

Für wen ist diese Folge besonders relevant?

  • IT-Security-Verantwortliche und SOC-Teams
  • Geschäftsführer und CISOs im Mittelstand und Enterprise-Umfeld
  • Unternehmen mit Bezug zu osteuropäischen Märkten oder kritischer Infrastruktur
  • Behörden und staatliche Organisationen mit erhöhtem APT-Risiko
  • IT-Dienstleister und MSSPs, die Threat Intelligence integrieren

Weiterführende Links:

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.