Jeder Cyber-Angriff hinterlässt Spuren. Diese geben Hinweise darauf, wie Angreifer vorgehen, welche Schwachstellen sie ausnutzen und welche Wege sie innerhalb des Netzwerks nehmen. Aus solchen Vorfällen lassen sich Bedrohungsinformationen ableiten. Dabei handelt es sich um aufbereitete und mit Kontext angereicherte Informationen über aktuelle Cyber-Bedrohungen. Solche Bedrohungsinformationen sind wichtig, um zukünftigen Angriffe frühzeitig erkennen und verstehen zu können und um im Resultat geeignete Schutzmaßnahmen zu ergreifen. Genau hier setzt Cyber Threat Intelligence (CTI) an. CTI beschreibt den Prozess der systematischen Sammlung, Analyse und Aufbereitung von Informationen über Cyber-Bedrohungen. Ziel davon ist es, Unternehmen und Organisationen frühzeitig vor Angriffen zu warnen und ihre Sicherheitsmaßnahmen gezielt zu verbessern.

Bedrohungsinformationen (CTI) können unterschiedliche Inhalte umfassen, wie zum Beispiel:

  • Taktiken, Techniken & Prozeduren (TTP): Welche Methoden nutzen Cyber-Kriminelle? Dazu gehören beispielsweise das Wissen um „Lieblingziele“ der Angreifer (z.B. Erpressung), die „Lieblingstechnik“ (z.B. Social Engineering) und der konkrete Modus Operandi (z.B. Schadsoftware in E-Mail von bereits eroberten Accounts verschicken)
  • Angreifer & Angriffsziele: Welche Gruppe stecken hinter den Angriffen? Welche Motive verfolgen sie und welche Branchen, Ländern oder Unternehmen sind bevorzugte Angriffsziele?
  • Indikatoren (Indicators of Compromise (IoC)): konkrete technische Informationen, die auf eine Kompromittierung hinweisen (z.B. Dateinamen, IP-Adressen, Domänenamen, Hashwerte von Schadsoftware)
  • Trends & Prognosen: Informationen über neue Angriffswellen, aktuelle Kampagnen oder Prognosen zur zukünftigen Entwicklung von Bedrohungen

Solche Informationen können direkt in Sicherheitslösungen, wie EDR, XDR oder SIEM-Systeme, eingebunden werden. Dadurch helfen sie u.a. SOC-Teams beim Threat Hunting, also der aktiven Suche nach bislang unentdeckten Angreifern im Netz. Eine wichtige Grundlage der Cyber Threat Intelligence bilden Erkenntnisse aus IT-forensischen Untersuchungen. Wenn diese um zusätzlichen Kontext angereichert werden (z. B. mit der sich zu dem Angriff bekennender Angreifergruppe), entsteht ein deutlich umfassenderes Bild der Bedrohungslage. Die Analyse vergangener Sicherheitsvorfälle lässt Muster, Vorgehensweisen und Indikatoren erkennen. Diese Erkenntnisse besitzen Relevanz über den einzelnen Vorfall hinaus, denn sie lassen sich auch auf zukünftige Angriffe anwenden. Die strukturierte Aufarbeitung dieses Wissens über vergangene Angriffe ist damit ein zentraler Baustein präventiver Sicherheitsmaßnahmen.

Damit solche Bedrohungsinformationen auch zwischen unterschiedlichen Organisationen und Firmen effektiv und sinnvoll austauschbar sind, werden standardisierte Austauschformate benötigt. Genau hierfür wurde STIX entwickelt.

 

STIX – ein standardisiertes Austauschformat für CTI

Structured Threat Information eXpression (kurz STIX) ist ein standardisiertes Format zum Austausch von Bedrohungsinformationen. Das Open-Source Projekt wird als OASIS Standard durch das Cyber Threat Intelligence Technical Commitee veröffentlicht, verwaltet und regelmäßig aktualisiert (Stand Mai 2026: v2.1) [1]. Viele Hersteller von EDR, XDR & SIEM-Lösungen unterstützen STIX bereits, um CTI-Informationen auszutauschen und weiterzuverarbeiten.

 

Struktur und Grundprinzipien von STIX

STIX in der Version 2 setzt auf ein JSON-basiertes Datenmodell. Damit ist es im Gegensatz zur älteren Version deutlich schlanker, modularer aufgebaut und mehr auf die Automatisierung ausgerichtet. Aber auch in Version 2 bleibt der Standard immer noch recht umfangreich und komplex [2].

Grundlegend arbeitet das Format mit drei Hauptkomponenten:

  • STIX Cyber-observable Objects (SCO) – Diese Objekte umfassen konkrete technische Daten von Netzwerk und IT-Systemen (z.B. IP-Adressen, Dateinamen, Hashwerte, E-Mailadressen oder URLs) 
  • STIX Domain Objects (SDO) – STIX definiert 18 verschiedene SDO-Typen. Diese bauen auf SCOs auf und beschreiben konzeptionelle Informationen über Bedrohungen – zum Beispiel Threat Actors (Angreifergruppen), Malware, Attack Patterns (Angriffsmethoden), Campaigns (koordinierte Angriffskampagnen) oder Vulnerabilities (Schwachstellen). Jeder SDO-Typ folgt dabei einem fest definierten Schema mit eigenen Feldern und Attributen. SDOs dienen damit als konzeptionelle Abstraktion der konkreten technischen Details, die auf Ebene der SCOs erfasst werden.
  • STIX Relationship Objects (SRO) – Dieses Objekt stellt Beziehungen zwischen den Objekten (SDOs) her. Dadurch ließe sich beispielsweise ausdrücken, dass eine bestimmte Gruppe eine bestimmte Malware verwendet. 


Das eher abstrakte Konstrukt von STIX lässt sich am besten an einem Beispiel veranschaulichen:

Die Compor AG (unser beliebtes, aber fiktives Opfer-Unternehmen) ist Ziel eines Ransomware-Angriffs der ebenfalls fiktiven Gruppe „Arancio“ geworden. Im Zuge dessen wurden nicht nur Systeme verschlüsselt, sondern wie bei solchen Arten von Angriffen üblich zuvor Daten von den kompromittierten Systemen ausgeleitet (exfiltriert) und weitere Schadsoftware (Hintertüren/Backdoors) abgelegt. Im Rahmen einer durchgeführten IT-forensischen Analyse zu dem Vorfall wurden mehrere Spuren identifiziert, die Hinweise auf die Aktivitäten der Angreifer lieferten. Dazu zählen unter anderem die IP-Adresse eines Command-and-Control-Servers (C2), mehrere ausführbare Schadsoftware-Dateien sowie eine den Angreifern zugeordnete Domäne. Diese technischen Artefakte lassen sich zunächst als SCOs einordnen:

SCOWertAttribute & Beschreibung
Filearancio.exe
MD5-Hash: 6ce4e69804d7b6918da802d6ec88f35a
Filebackdoor.exe
MD5-Hash: cfd31ed6998727cf22d1f742b784069f
FilePro-forma Invoice.docm
Word Dokument mit Marko (VBScript)
MD5-Hash: 9c994f899167b46f2ddcaefffaf23f52
IPv4-Addr
192.0.2.66
C2-Server
Domain-Namec2.arancio.bad-net.de
Malware Hosting & Exfiltrationsziel

Für sich genommen sind diese Informationen jedoch noch isoliert und liefern nur begrenzten Mehrwert. Mithilfe der vordefinierten SDOs können die isolierten Daten zusammengeführt und mit weiterem inhaltlichem Kontext aus der Analyse angereichert werden

SCOWertAttribute & Beschreibung
Threat Actor
Arancio
die sich zu dem Angriff bekennende Gruppe
Attack Pattern
Spear Phishing Attachment (T1566.001)
Initialer Zugriff (MITRE ATT&CK
Attack Pattern
VBScript Execution (T1059.005)
Ausführung (MITRE ATT&CK)
Attack Pattern
Exfiltration (T1567.002)
Datenexfiltration (MITRE ATT&CK)
Attack Pattern
Verschlüsselung (T1486)
Schadwirkung (MITRE ATT&CK) – Ransomware Verschlüsselung
Attack Pattern
Lateral Tool Transfer (T1570)
Ausbreitung über die Tool-Ablage auf Windows Fileshares
Attack Pattern
C2-Kommunikation (T1071.001)
TTP der Angreifer – nach MITRE ATT&CK
Malware
Malicious VBA Macro
Downloader-Makro im DOCM
Malware
arancio.exe 
Ransomware (ausführbare Datei zur Verschlüsselung von IT-Systemen) + Exfiltration (Datenabfluss)
Malware
backdoor.exe
Backdoor / C2-Agent
Infrastructure
Arancio Backdoor Infrastruktur
C2 Server Infrastruktur der Angreifer
Infrastructure
Arancio Hosting Infrastruktur
Downloadserver der Angreifer für die Schadsoftware
Indicator
192.0.2.66
Indikator aus SCO IPv4-Addr abgeleitet
Indicator
c2.arancio.bad-net.de
Indikator aus SCO Domain-Name abgeleitet

Die Objekte können dann mit SROs in Verbindung gesetzt werden, sodass ein zusammenhängendes Lagebild zum analysierten Angriff entsteht:



Das Beispiel zeigt, wie sich Ergebnisse aus einer IT-forensischen Analyse mit STIX strukturiert erfassen lassen und miteinander verknüpft werden können. Dadurch können technische Hinweise, Angreiferinformationen und Zusammenhänge einheitlich dargestellt werden.

Damit diese mit STIX strukturierten Informationen jedoch nicht lokal bleiben, sondern auch in Sicherheitslösungen integriert und organisationsübergreifend ausgetauscht werden können, wird ein standardisierter Austauschmechanismus benötigt. Genau dafür wurde TAXII entwickelt.

TAXII – Austausch von Informationen im STIX-Format

Trusted Automated eXchange of Intelligence Information (TAXII) ist ein Kommunikationsprotokoll für den standardisierten und automatisierten Austausch von Cyber Threat Intelligence im STIX-Format [3]. Während STIX beschreibt, wie Bedrohungsinformationen strukturiert werden, regelt TAXII, wie diese Informationen zwischen verschiedenen Systemen übertragen werden – typischerweise über HTTPS-basierte Schnittstellen in Form von Collections oder Feeds.

TAXII schafft damit die technische Grundlage dafür, dass strukturierte Bedrohungsinformationen automatisch zwischen verschiedenen Systemen effizient und skalierbar ausgetauscht und operativ genutzt werden können.

Fazit 

Cyber-Angriffe liefern wertvolle Hinweise auf Vorgehensweisen, Werkzeuge und Strukturen von Angreifern. Durch Cyber Threat Intelligence (CTI) werden diese Informationen gesammelt, analysiert und miteinander in Beziehung gesetzt, um ein belastbares Gesamtbild zu gewinnen. Ziel ist es, Bedrohungen frühzeitig zu erkennen und schneller und effektiver darauf reagieren zu können.

Dabei stellen STIX und TAXII eine Möglichkeit zur Beschreibung und Austausch von CTI-Informationen dar. Ergänzend dazu existieren weitere Ansätze und regelbasierte Erkennungsmechanismen, wie MISP oder YARA/SIGMA, die abhängig vom Einsatzszenario Verwendung finden.  

Am Ende zeigt sich: Erst durch standardisierte Formate und eine gemeinsame Sprache entsteht aus einzelnen Informationsbröckchen ein Gesamtbild mit echtem Mehrwert für eine wirksame Cyberabwehr.

Unsere Incident-Response- und Forensik-Experten unterstützen Sie bei der Bewältigung von Cyberangriffen und strukturierten Auswertung der Erkenntnisse aus IT-forensischen Analysen. Gemeinsam mit unseren Beratungsexperten begleiten wir Sie dabei, gewonnene Erkenntnisse in nachhaltige Sicherheitsstrategien zu überführen und Ihre Cyberabwehr gezielt weiterzuentwickeln – sowohl reaktiv im Incident-Fall als auch proaktiv im strategischen Aufbau.

Dieser Artikel wurde verfasst von