Was ist CTI, wirklich?

S1E01 — Was ist CTI, wirklich?
Die Demontage der Gleichung „Feed gleich Intelligence"

50.000. 5. 4. Fünfzigtausend Indikatoren verspricht die
Sales-Folie pro Tag. Fünf Tage misst Censys als
Median-Lebensdauer eines kommerziellen
Cobalt-Strike-Command-and-Control-Servers. Vier Prozent Overlap
haben zwei Premium-Threat-Intelligence-Feeds laut der bislang
sauberen USENIX-Messung. Drei Zahlen, die zusammengenommen
erklären, warum „mehr Feeds gleich mehr Breite" ein Vendor-Slogan
ist, kein empirischer Befund.

In der ersten Sach-Folge nach dem Piloten legen wir die
Definitionen nebeneinander, die seit dreizehn Jahren zitiert
werden: McMillans Gartner-Definition von 2013 mit ihren fünf
Qualitätsmerkmalen, NIST SP 800-150, Biancos Pyramid of Pain in
der heute kanonischen Sechs-Ebenen-Fassung von 2014 — und die
MITRE-Erweiterung Summiting the Pyramid aus Dezember 2024, die
das Modell zum ersten Mal seit elf Jahren empirisch unterlegt.
Was unterscheidet Daten von Information, Information von
Intelligence? Welches McMillan-Kriterium erfüllt ein STIX-Eintrag
mit IP-Adresse und Vendor-Tag „Akira-related"? Genau eines von
fünf. Warum bezahlen Kunden zweier marktführender
Premium-Anbieter laut Bouwmans Interview-Teil gar nicht für die
Indikatoren — sondern für die narrativen Reports?

Wir messen den Decay an zwei Censys-Snapshots, lesen den
Phishing-Survival-Survey von Lee und Lim (Median 5,5 Stunden,
Google Safe Browsing erfasst 18,4 Prozent in 4,5 Tagen), prüfen
die SANS-CTI-Umfrage 2024 — 36 Prozent der Programme messen ihre
Effektivität, 64 Prozent nicht — und legen drei DACH-Lehrstücke
daneben: Südwestfalen-IT, Xplain, SPD-Parteizentrale. Dreimal lag
die verletzbare Ebene oberhalb von Hash und IP. Dreimal hätte
kein Indikator-Feed der Welt den Vorfall verhindert. Dreimal
folgte eine regulatorische Reaktion — NIS2-Umsetzungsgesetz, NISG
2026, Schweizer ISG —, die Prozess verlangt, nicht Konsum.

Die Folge argumentiert gegen den Konsens, dass kommerzieller
Feed-Konsum schon ein CTI-Programm sei — und hält sich strikt an
die Empirie, die in den Fussnoten der Sales-Decks selbst steht,
wenn man sie liest. Wir erfinden keine Kontroverse. Wir machen
die in den Studien dokumentierte sichtbar.

Was du mitnimmst
Ein CTI-Produkt an fünf McMillan-Kriterien prüfen, jeden
Indikator einer der sechs Pyramid-Ebenen zuordnen, jedes Artefakt
am So-what-Test von Katie Nickels messen — Wen interessiert das?
Was soll die Organisation tun? Wie machen wir es erneut?
Pflichtwissen für jeden, der ein CTI-Programm aufbaut, reift oder
vor Vorstand und Aufsichtsbehörde verantwortet.

Geschüttelt. Nicht gerührt.