Eine Cyber-Bedrohungsintelligenz (CTI)-Plattform ist die Software-Infrastruktur, über die eine Sicherheitsorganisation Bedrohungsintelligenz sammelt, verarbeitet, anreichert, analysiert und darauf reagiert. Für Verteidigungsorganisationen — Militärbefehle, Verteidigungsministerien, Verteidigungsauftragnehmer — ist das Bedrohungsmodell grundlegend anders als bei kommerziellen Organisationen. Staatlich gesponserte Akteure, persistente Zugriffsoperationen, Supply-Chain-Kompromittierungen und Informationsoperationen sind keine Randfälle; sie sind die Grundlinien-Bedrohungsumgebung.

Eine verteidigungsgerechte CTI-Plattform muss in diesem Kontext betrieben werden: klassifizierte Nachrichten-Feeds verarbeiten, Cyber-Indikatoren mit Signalen und menschlicher Aufklärung korrelieren und sowohl mit kommerzieller SIEM-Infrastruktur als auch mit klassifizierten operativen Netzwerken integrieren.

Plattformarchitektur: Vier Verarbeitungsstufen

Sammlung. Eine CTI-Plattform nimmt Nachrichtendaten aus mehreren Quelltypen auf: kommerzielle Bedrohungsfeeds (ISAC-Sharing, kommerzielle Anbieter), Open-Source-Intelligence (OSINT — Telegram-Kanäle, Dark-Web-Foren, Paste-Sites, Domain-Registrierungsdaten), interne Telemetrie (SIEM-Logs, Endpoint-Erkennungsalarme, Netzwerkflussdaten) und klassifizierte nationale Nachrichten-Feeds, wo anwendbar. Die Sammlungsschicht normalisiert diese Eingaben auf ein gemeinsames internes Format und weist jedem Datensatz Herkunfts-Metadaten zu (Quelle, Sammlungszeit, Konfidenz, Klassifizierungsebene).

Normalisierung und Anreicherung. Rohe gesammelte Daten sind hochgradig heterogen. Eine IP-Adresse, die von einem Feed als Kompromissindikator (IoC) gemeldet wird, ist ein String in einer CSV. In einem anderen Feed ist es ein strukturiertes STIX-Observable. Die Normalisierungsstufe löst dies: strukturierte Indikatoren (IPs, Domains, Hashes, URLs, E-Mail-Adressen, CVEs) aus unstrukturierten Quellen extrahieren und alles in das interne Schema der Plattform konvertieren.

Anreicherung ergänzt normalisierte Indikatoren mit zusätzlichem Kontext: WHOIS und passives DNS für Domain/IP-Indikatoren; Geolokalisierung; ASN-Attribution; historische SIEM-Beobachtungen; und Beziehungen zu bekannten Bedrohungsakteuren oder Kampagnen aus der Wissensbasis der Plattform. Eine rohe IP-Adresse, die angereichert ist mit „gehostet in ASN 12345, historisch mit APT28-C2-Infrastruktur assoziiert, erstmals beobachtet am 14. März 2025" ist ein verwertbares Nachrichtenprodukt. Dieselbe IP ohne Anreicherung ist ein Datenpunkt.

Analyse und Korrelation. Die Analyseschicht identifiziert Beziehungen zwischen Indikatoren und schreibt sie Bedrohungsakteur-Profilen zu. Hier ist der Wissensgraph der Plattform zentral: eine Graphdatenbank (typischerweise Neo4j oder ein zweckgebauter Bedrohungsgraph), die Beziehungen zwischen Akteuren, Kampagnen, Techniken und Indikatoren speichert, ermöglicht Graph-Traversal-Abfragen — „zeige mir alle Infrastruktur, die mit demselben Akteur wie diese IP verbunden ist, zwei Hops entfernt."

MITRE ATT&CK-Framework-Integration ist Standard in modernen CTI-Plattformen. Jede beobachtete Technik wird mit der entsprechenden ATT&CK-Technik-ID getaggt, was Abdeckungslückenanalyse ermöglicht (welche ATT&CK-Techniken adressiert unsere Erkennungsabdeckung nicht?) und Bedrohungsakteur-Profilierung (dieser Akteur verwendet konsequent T1566 — Phishing — als initialen Zugriff, gefolgt von T1053 — Geplante Aufgabe Persistenz).

Verteilung. Nachrichtendaten sind nur wertvoll, wenn sie die Teams erreichen, die handeln können. Die Verteilungsschicht veröffentlicht Nachrichtenprodukte in Formaten, die für jeden Konsumenten geeignet sind: strukturierte IoC-Feeds (STIX/TAXII für andere CTI-Plattformen und SIEM-Systeme), menschenlesbare Berichte (für Analysten formatiert) und direkte SIEM-Integrationen (IoC-Sperrlisten und Erkennungsregeln direkt in SIEM-Regel-Engines schieben).

STIX und TAXII: Die Interoperabilitätsschicht

STIX (Structured Threat Information eXpression) ist das Datenmodell zur Darstellung von Cyber-Bedrohungsintelligenz — Bedrohungsakteure, Kampagnen, Indikatoren, Angriffsmuster und die Beziehungen zwischen ihnen. TAXII (Trusted Automated eXchange of Intelligence Information) ist das Transportprotokoll für den Austausch von STIX-Objekten zwischen Plattformen. Zusammen ermöglichen sie automatisierten, Maschine-zu-Maschine-Nachrichtenaustausch.

Für Verteidigungsorganisationen ist STIX/TAXII-Implementierung nicht optional — es ist der Mechanismus, über den NATO NCIA, nationale CERTs und vertrauenswürdige Partnerorganisationen klassifizierte und nicht-klassifizierte Bedrohungsintelligenz teilen. Eine CTI-Plattform, die keine STIX-2.1-Bundles konsumieren oder produzieren kann, ist vom breiteren Austausch-Ökosystem isoliert.

Verteidigungsspezifische Bedrohungsquellen

Eine kommerzielle CTI-Plattform, die sich auf Anbieter-Feeds verlässt, vermisst die operationell relevanteste Nachrichtendaten für Verteidigungsorganisationen. Verteidigungsspezifische Quellen umfassen:

Telegram-Monitoring. Seit 2022 ist Telegram zu einem primären operativen Sicherheitskanal für staatsnahe Bedrohungsakteure, hacktivistische Gruppen und Bedrohungsakteure geworden, die kinetische Operationen unterstützen. Kanäle kündigen Ziele vor Angriffen an, veröffentlichen behauptete Einbrüche und koordinieren Aufklärung. Das systematische Monitoring relevanter Kanäle — mit Entity-Extraktion und Kreuz-Korrelation gegen bekannte Akteur-Profile — liefert Warnintelligenz, die in kommerziellen Feeds nicht verfügbar ist.

Dark-Web-Forum-Monitoring. Kriminelle Infrastruktur, die von staatlichen Akteuren genutzt wird (Bulletproof-Hosting, Access-Broker, Exploit-Märkte), wird in Dark-Web-Foren gehandelt. Das Monitoring dieser auf Erwähnungen spezifischer Organisationen, Systeme oder Anmeldedaten liefert Frühwarnung bevorstehender Angriffe.

Domain- und Zertifikatintelligenz. Staatlich gesponserte Akteure registrieren Domains, die Verteidigungsorganisationen imitieren, für Spear-Phishing-Kampagnen. Certificate-Transparency-Logs, passives DNS und Überwachung neuer Domain-Registrierungen können diese Vorbereitungen erkennen, bevor die Kampagne gestartet wird.

Kernaussage: Bedrohungsintelligenz-Attribution — die Zuweisung eines Cyber-Vorfalls oder einer Kampagne an einen bestimmten Staatsakteur — erfordert die Konvergenz über mehrere Beweistypen: TTPs, Infrastruktur, Zielmuster, Timing und, wo verfügbar, Signal- und Human-Intelligence. Eine CTI-Plattform, die für die Verteidigung entwickelt wurde, muss all dies integrieren können, nicht nur Cyber-Indikatoren isoliert.

SIEM-Integrationsarchitektur

CTI-Plattformen liefern Wert in erster Linie durch Integration mit dem SIEM (Security Information and Event Management)-System, wo Erkennung und Reaktion stattfinden. Die Integration nimmt zwei Formen an: IoC-basierte Erkennung (die CTI-Plattform schiebt bekannte schlechte IPs, Domains und Hashes an das SIEM als Sperrlisten und Erkennungsregeln) und TTP-basierte Erkennung (die CTI-Plattform veröffentlicht MITRE ATT&CK-ausgerichtete Erkennungslogik, die von der Bedrohungsakteur-Profilierung abgeleitet wird).

Moderne Architekturen implementieren dies durch SOAR (Security Orchestration, Automation and Response)-Playbooks, die CTI-Ausgaben automatisch aufnehmen, auf den SIEM-Erkennungs-Stack anwenden und Reaktions-Workflows für hochkonfidente Alarme auslösen. Das SIEM-SOAR-CTI-Triad ist das operative Rückgrat eines Verteidigungs-SOC (Security Operations Center).