Threat-Intel-Feeds: Definition und Überblick
Threat-Intelligence-Feeds sind automatisierte Datenquellen, die Sicherheitsteams kontinuierlich mit Informationen über Cyberbedrohungen versorgen. Dazu gehören Indicators of Compromise (IoCs), Angriffsmuster und andere sicherheitsrelevante Daten.
Diese Feeds ermöglichen es Euch, aufkommende Bedrohungen frühzeitig zu erkennen, bevor sie Eure Infrastruktur beeinträchtigen. Wenn ihr hochwertige Threat-Intel-Feeds in euren Security-Betrieb integriert, verbessert ihr eure Detection- und Response-Fähigkeiten erheblich. Das ist entscheidend, denn schnellere Erkennung und Eindämmung senken die durchschnittlichen Kosten eines Datenlecks.
Threat-Feeds enthalten rohe, unverarbeitete Sicherheitsdaten ohne Kontext oder Analyse. Threat-Intelligence-Feeds hingegen liefern angereicherte Daten mit Indicators of Compromise (IoCs), Angriffszuordnung und handlungsrelevantem Kontext.
Diese kontextuellen Informationen helfen Sicherheitsteams dabei, Bedrohungen nach Relevanz für ihre Umgebung und potenziellen Impact zu priorisieren.
The 2026 Cloud Threat Report
See the latest cloud threats, attack patterns, and adversary tactics shaping the landscape.
Open-Source- vs. kommerzielle Feeds
Open-Source-Feeds sind community-gepflegte und meist kostenlose Quellen mit grundlegenden Bedrohungsindikatoren und Angriffsmustern. Sie eignen sich gut für Teams mit begrenztem Budget oder als Ergänzung bestehender Threat Intelligence.
Kommerzielle Feeds bieten proprietäre Bedrohungsdaten, tiefere Analysen und dedizierten Support durch Sicherheitsanbieter. Sie enthalten häufig exklusive Intelligence aus privater Forschung und werden deutlich häufiger aktualisiert.
Qualitätsmerkmale hochwertiger Threat-Intel-Feeds
Nicht alle Threat-Intel-Feeds sind gleich gut. Bei der Evaluierung solltet ihr auf Feeds achten, die handlungsrelevante und relevante Daten liefern. Achtet auf diese Schlüsselmerkmale:
Aktualität: Die Daten sollten nahezu in Echtzeit aktualisiert werden, damit ihr schnell auf neue Bedrohungen reagieren könnt. Ein Feed mit nur täglichen Updates kann für Zero-Day-Exploits zu langsam sein.
Genauigkeit: Der Feed sollte eine niedrige False-Positive-Rate aufweisen. Ungenaue Daten führen zu Alert-Fatigue und untergraben das Vertrauen ins System – Teams beginnen dann, echte Bedrohungen zu ignorieren.
Kontext: Rohdaten wie eine IP-Adresse sind nur mäßig nützlich. Ein hochwertiger Feed liefert Kontext – etwa den zugehörigen Bedrohungsakteur, die Malware-Familie oder den Angriffsvektor. Das ist entscheidend für Priorisierung und Reaktion.
Relevanz: Die Daten sollten für eure Branche, Region und Technologie-Stack relevant sein. Ein Feed, der sich auf Malware im Finanzsektor konzentriert, bringt einem Gesundheitsdienstleister möglicherweise wenig Mehrwert.
Integration: Hochwertige Feeds unterstützen Standardformate wie STIX und TAXII. Dadurch lassen sie sich einfach in SIEM-, SOAR- oder Threat-Intelligence-Plattformen integrieren.
13 kritische Threat-Intelligence-Feeds, die ihr verfolgen solltet
Diese 13 Threat-Intelligence-Feeds repräsentieren die zuverlässigsten und umfassendsten verfügbaren Quellen. Die Auswahl basiert auf Datenqualität, Aktualisierungsfrequenz, Abdeckungsumfang und Integrationsfähigkeiten:
1. Wiz Cloud Threat Landscape
Die Cloud Threat Landscape liefert kuratierte Threat Intelligence mit Fokus auf Public-Cloud-Umgebungen, CI/CD-Systeme und Source-Code-Management-Systeme. Sie hilft Sicherheitsteams dabei, cloud-spezifische Bedrohungen zu identifizieren und in Kontext zu setzen – als Ergänzung zu anderen Threat-Intel-Feeds.
2. SANS Internet Storm Center (ISC)
Das ISC ist Teil des SANS Technology Institute und seit Jahren eine etablierte Quelle für Threat Intelligence.
Das Team sammelt Daten von mehr als einer halben Million Sensoren weltweit. Dadurch entsteht ein umfassender Überblick über aktuelle Angriffsmuster.
Der Feed ist kostenlos verfügbar und enthält neben technischen Daten auch praktische Empfehlungen zur Abwehr von Bedrohungen.
3. LevelBlue Labs Open Threat Exchange (OTX)
LevelBlue Labs Open Threat Exchange (ehemals AlienVault OTX) verbindet Euch mit einem großen, community-geführten Netzwerk von Threat-Analysten und Cybersecurity-Fachleuten. Durch die Integration dieses kollaborativen Threat-Intel-Feeds erhalten Teams Zugang zu einer breiten Palette von IoCs, Malware-Erkenntnissen und Community-kuratierter Intelligence zur Stärkung der Abwehr. OTX-Daten sind in weit verbreiteten Formaten wie CSV, OpenIoC und STIX verfügbar.
4. Spamhaus
Mit Schwerpunkt auf E-Mail-Sicherheit, Malware und Spam-Management helfen die Threat-Feeds von Spamhaus dabei, E-Mail-Postfächer und Online-Anwendungen abzusichern. Die Spamhaus Block List (SBL) und Domain Block List (DBL) sind wertvolle Ressourcen: Sie enthalten Zehntausende von IP-Adressen und Domain-Namen, die Angreifer für Attacken auf Unternehmensnetzwerke nutzen. Das Zusammenspiel der Threat-Intel-Feeds und Blocklisten von Spamhaus mit anderen Feeds und Threat-Intelligence-Plattformen verbessert die Sicherheit und reduziert False Positives sowie Alert-Fatigue.
5. OpenPhish
Der OpenPhish-Threat-Intel-Feed liefert Updates zu Phishing-Aktivitäten – einem in den letzten Jahren häufigen Angriffsvektor. Es gibt sowohl kostenlose als auch Premium-Versionen mit unterschiedlichen Aktualisierungsfrequenzen und Detailstufen. Laut IBM war Phishing 2024 der zweithäufigste Angriffsvektor bei Datenlecks. OpenPhish bietet sowohl kostenlose als auch Premium-Phishing-Intel-Feeds. Während die kostenlose Version den Feed alle 12 Stunden aktualisiert und nur Textdateien liefert, bieten die Premium-Versionen Updates (in CSV- und JSON-Formaten) alle 5 Minuten. Sie enthalten einen breiteren Informationsumfang – einschließlich IP, GeoIP, SSL-Metadaten und Phishing-Logs.
6. CrowdSec
Für den CrowdSec-Threat-Intel-Feed gibt es kostenlose und kommerzielle Optionen. Beide helfen Euch, bösartige Aktivitäten zu erkennen und handlungsrelevante Erkenntnisse zu gewinnen. Die kostenlose Version ist auf 50 Abfragen pro Tag beschränkt. CrowdSec-Threat-Intel-Feeds umfassen mehr als 25 Millionen bösartige IPs. Die Datenbank enthält Threat Intelligence aus 190 Ländern und 80.000 Maschinen. CrowdSec liefert Intelligence zu bösartigen IPs und anderen gängigen Angriffsvektoren. Der Feed ist in kostenlosen und kommerziellen Versionen mit unterschiedlichen Abfragelimits und Abdeckungen verfügbar.
7. Shadowserver
Shadowserver liefert kostenlose, groß angelegte tägliche Netzwerk-Remediationsberichte. CSIRTs und Sicherheitsteams nutzen sie, um Risiken in großem Maßstab zu reduzieren. Die Berichte werden per E-Mail oder API bereitgestellt und decken eine breite Palette von Sicherheitsproblemen ab, darunter:
Botnet-Infektionen
exponierte Dienste
offene DNS-Resolver
Diese Informationen helfen Teams, Remediation-Maßnahmen schneller zu priorisieren und Sicherheitsvorfälle effizienter zu bearbeiten.
Durch die Kombination aus globaler Datensammlung und operativer Relevanz ist Shadowserver eine weit verbreitete Quelle für maschinenlesbare, handlungsrelevante Threat Intelligence.
Watch 5-min demo
See how Wiz Defend correlates threat intelligence with cloud context to detect and respond to active threats.
8. HoneyDB
Der HoneyDB-Threat-Intel-Feed besteht aus Honeypot-Threat-Intelligence. Dabei werden Angreifer gezielt in eine überwachte Umgebung gelockt, sodass Sicherheitsteams ihre Tools, Taktiken und Angriffsversuche analysieren können.
Die HoneyDB-API stellt verschiedene Datentypen bereit, darunter:
Bad Hosts
Bad Hosts nach Service
IP-Historie
Sensordaten
Services
Nodes
Autonome Systeme (AS)
Payload-Historie
Die kostenlose Version erlaubt bis zu 1.500 API-Abfragen pro Monat, während die Enterprise-Version keine monatlichen Limits hat.
9. Automated Indicator Sharing (AIS)
AIS ist ein Service der Cybersecurity and Infrastructure Security Agency (CISA). Er nutzt die offenen Standards Structured Threat Information Expression (STIX™) und Trusted Automated Exchange of Indicator Information (TAXII™). AIS ist eine kostenlose, maschinenlesbare Ressource zur Entdeckung der gravierendsten Cyber-Schwachstellen, IoCs sowie Tactics, Techniques and Procedures (TTPs). Das AIS-Ökosystem umfasst öffentliche und private Organisationen – etwa Unternehmen, Regierungen, Bundesbehörden, Information Sharing and Analysis Centers (ISACs) und Information Sharing and Analysis Organizations (ISAOs).
10. Blocklist.de
Der Blocklist.de-Threat-Intel-Feed ist eine kostenlose, community-basierte Plattform, die Informationen zu verschiedenen Angriffstypen liefert, darunter: SSH-Angriffe
Mail-Login-Attacken
FTP-Angriffe
Webserver-Angriffe
Mit rund 6.600 aktiven Nutzern enthält jedes Feed-Update mehr als 70.000 gemeldete Angriffe.
Diese Updates erfolgen alle 12 Stunden und gewährleisten so die Aktualität der Bedrohungsdaten. Listen blockierter IP-Adressen stehen als komprimierte gzip-Dateien zum Download bereit.
11. CISA Known Exploited Vulnerabilities (KEV)
Der CISA Known Exploited Vulnerabilities (KEV) Catalog ist eine autoritative, maschinenlesbare Liste (CSV/JSON) von Schwachstellen, deren aktive Ausnutzung bestätigt wurde. Der KEV-Katalog wird häufig aktualisiert und ist sehr handlungsrelevant für die Patch-Priorisierung. Er unterstützt Programme zur Risikoreduktion. Integriert Ihr KEV zusammen mit anderen Feeds, konzentriert Ihr die Behebung auf die Schwachstellen, die Angreifer am wahrscheinlichsten ausnutzen.
12. abuse.ch URLhaus
Ideal zur Identifizierung verdächtiger Domains und URLs bietet URLhaus drei verschiedene Arten von Threat-Intel-Feeds: einen ASN-Feed (AS-Nummer), einen Länder-Feed und einen Top-Level-Domain-Feed (TLD). Die wichtigsten Zielgruppen für URLhaus-Threat-Intel-Feeds sind CERTs, ISPs und Netzwerkprovider. Laut URLhaus liegt der Hauptfokus ihrer Feeds nicht auf Blacklisting/Blocklisting oder IoCs. Wollt Ihr diese Feeds für diese Zwecke nutzen, müsst Ihr die URLhaus-API herunterladen.
13. GreyNoise
GreyNoise liefert kuratierte Intelligence zu internetweiten Scannern und opportunistischen Angreifern – mit nahezu Echtzeit-Enterprise-Feeds, um Rauschen zu filtern und sich auf relevante Bedrohungen zu konzentrieren. GreyNoise unterscheidet Hintergrund-Scan-Traffic von handlungsrelevanter Aktivität. Das reduziert Alert-Fatigue und schärft die SOC-Triage. Die Feeds sind für eine einfache Integration in bestehende SOC-Workflows und -Tools konzipiert.
So stärkt Wiz Euer Threat-Intelligence-Ökosystem
Das gesamte Spektrum der Wiz-Fähigkeiten basiert auf tiefem Wissen über die Cloud. Angetrieben von unübertroffener Cloud-Threat-Intelligence ist Wiz ein äußerst wichtiges und einzigartiges Tool zur Navigation durch die aktuelle Bedrohungslandschaft.
Mit überlegenen Untersuchungsfähigkeiten, einem erstklassigen Threat Center, der Integration von öffentlicher und hauseigener Cloud-Threat-Intelligence, TTP-Analysen und IP- sowie Domain-Reputationsbewertungen ist Wiz die ultimative Threat-Intelligence-gestützte Cloud-Security-Plattform.
Um tiefer in die Erkenntnisse von Wiz TI einzutauchen, schaut Euch unseren Podcast zur Cloud Security an (es gibt nichts Vergleichbares), unsere vielfältige Bibliothek an Cloud-Security-Forschung und die umfassende Open Cloud Vulnerabilities and Security Issues Database, die wir gegründet haben und pflegen.
Außerdem bald verfügbar: Neue Funktionen der Cloud Threat Landscape im Wiz-Portal ermöglichen es Euch, mehr über Bedrohungsakteure zu erfahren und Findings in Euren Cloud-Umgebungen mit spezifischen Angreifern zu korrelieren.
Holt euch jetzt eine Demo, um zu sehen, wie Wiz (und unsere Cloud Threat Landscape) eure Cloud Security und Threat Intelligence verbessern können.
See threat intelligence in cloud context
Wiz unifies threat feeds, cloud posture, and runtime signals to pinpoint real, exploitable risks.
