Threat Feeds erklärt: Proaktiver Schutz durch aktuelle Bedrohungsdaten

In der heutigen IT-Sicherheitslandschaft reicht es nicht mehr aus, allein auf klassische, signaturbasierte Erkennungsverfahren zu setzen. Zwar erinnern Threat Feeds auf den ersten Blick an Signaturen, da auch sie regelmäßig aktualisierte Daten liefern, doch sie unterscheiden sich grundlegend in Aufbau und Wirkung:

Klassische AV- oder IPS-Signaturen dienen in erster Linie dazu, Schadsoftware anhand ihres Inhalts zu erkennen – etwa durch Hashes oder spezifische Codeabschnitte. Diese Erkennung erfolgt oft erst nach dem Download oder der Übertragung eines potenziell gefährlichen Objekts. Das kostet Rechenzeit, erfordert tiefere Dateninspektion und belastet damit die Firewall.

Threat Feeds hingegen setzen früher an: Sie liefern kontextbezogene Informationen – z. B. bekannte bösartige IPs, verdächtige Domains oder gefährliche URLs. Dadurch kann die Kommunikation bereits im Aufbau erkannt und unterbunden werden – bevor eine Datei heruntergeladen oder weiter analysiert werden muss. Das spart nicht nur Ressourcen, sondern verhindert in vielen Fällen, dass klassische Schutzmechanismen überhaupt aktiv werden müssen.

Sie sind damit ein elementarer Bestandteil moderner, proaktiver Sicherheitsarchitekturen und helfen dabei, Angriffe frühzeitig und effizient abzuwehren.

Zwar erinnern Threat Feeds auf den ersten Blick an Signaturen, da auch sie auf regelmäßig aktualisierten Daten basieren, doch sie unterscheiden sich grundlegend in Zweck und Anwendung:

Während klassische Signaturen in der Regel spezifische Schadsoftware-Varianten erkennen sollen, liefern Threat Feeds kontextbezogene Informationen – etwa zu schädlichen IPs, Domains oder Verhaltensmustern – und können flexibel in unterschiedlichste Sicherheitssysteme eingebunden werden.

Sie sind damit ein elementarer Bestandteil moderner, proaktiver Sicherheitsarchitekturen. Angriffe erfolgen gezielt, schnell und oft unter Ausnutzung bislang unbekannter Schwachstellen. Um diesen Bedrohungen wirksam zu begegnen, setzen moderne Sicherheitskonzepte auf Threat Feeds: aktuelle, dynamisch gepflegte Bedrohungsdaten, die eine frühzeitige Erkennung und Abwehr von Gefahren ermöglichen.

Was sind Threat Feeds – und woher kommen sie?

Threat Feeds sind strukturierte Datenquellen, die Informationen über bekannte oder vermutete Gefahren enthalten. Sie werden von spezialisierten Security-Teams, Forschungseinrichtungen, IT-Sicherheitsanbietern oder nationalen CERTs (Computer Emergency Response Teams) erstellt und gepflegt. Viele Hersteller – darunter auch Sophos – betreiben eigene Threat Intelligence-Plattformen, in denen weltweite Bedrohungen beobachtet, analysiert und klassifiziert werden.

Die gesammelten Daten liefern sogenannte IOCs (Indicators of Compromise) wie z. B.:

• Bösartige IP-Adressen oder IP-Ranges
• Schadcode-verbreitende Domains oder URLs
• Hashes infizierter Dateien
• Informationen zu aktuellen Angriffskampagnen

Diese Informationen fließen kontinuierlich in Threat Feeds ein und können anschließend von Sicherheitssystemen wie Firewalls, EDR/XDR-Lösungen oder SIEM-Plattformen genutzt werden, um bekannte Angriffsvektoren frühzeitig zu blockieren oder zumindest zu beobachten.

Das Ziel: Sicherheitsmaßnahmen nicht erst dann aktiv werden zu lassen, wenn ein Angriff bereits stattgefunden hat – sondern deutlich früher im Kommunikationsaufbau.

Typische Einsatzbereiche:

• Blockieren bekannter Command-&-Control-Server (C2)
• Unterbrechen von Kommunikationskanälen aktiver Bedrohungen
• Priorisierung von Alarmen durch Kontextdaten
• Basis für automatisierte Incident-Response-Prozesse

Wie sind Threat Feeds aufgebaut – und welche Arten gibt es?

Threat Feeds bestehen in der Regel aus Listen mit IOCs in maschinenlesbarer Form. Diese können je nach Anbieter in unterschiedlichen Formaten vorliegen:

• Text- oder CSV-Listen
• JSON-Strukturen
• STIX/TAXII (standardisierte Formate für den Austausch zwischen Systemen)

Ein wichtiger Aspekt: Threat Feeds sind nicht einheitlich in ihrer Verfügbarkeit. Es gibt sowohl kostenfreie als auch kostenpflichtige Feeds. Einige kostenlose Angebote lassen sich bereits nach einfacher Registrierung nutzen – etwa von CERTs oder Forschungsprojekten. Doch gerade bei kostenfreien Feeds variieren Qualität, Aktualität und Relevanz teils deutlich.

Professionelle Anbieter investieren erhebliche Ressourcen in die Sammlung, Validierung und Priorisierung von Bedrohungsinformationen – ein Aufwand, der sich in der Qualität kostenpflichtiger Feeds bemerkbar macht.

Wichtig sind deshalb:

• Aktualität: Wie schnell werden neue Bedrohungen erfasst?
• Qualität: Wie verlässlich ist die Quelle?
• Abdeckung: Wie viele Angriffstypen und Branchen werden erfasst?

Feed-Typen bei Sophos Firewalls:

Threat Feeds sind auf Sophos Firewalls schon seit vielen Jahren verfügbar – wenngleich sie anfangs unter anderen Bezeichnungen wie etwa „Advanced Threat Protection“ geführt wurden. Mit jeder neuen SFOS-Version wurde ihre Rolle klarer und ihre Integration weiter ausgebaut. Heute steht eine Reihe unterschiedlicher Feedtypen zur Verfügung, die sich je nach Lizenzmodell, Quelle und Aktualisierungsdynamik unterscheiden. Die wichtigsten Varianten im Überblick:

• Sophos X-Ops Feeds (ehemals Advanced Treat Protection)
• Standard-Feeds aus der zentralen Sophos Threat Intelligence
• Teil von Sophos Central und SFOS, ohne Zusatzlizenz nutzbar
• Enthalten IPs, Domains, Hashes
• Sophos MTR Advanced Feeds
• Nur mit MDR Complete verfügbar
• Enthalten kuratierte Daten aus aktiven Response-Einsätzen
• Deutlich aktueller, oft innerhalb von Minuten nach Bedrohungssichtung
• 3rd Party Feeds
• Eigene Quellen wie AbuseIPDB, Spamhaus oder CERT-Listen
• Beliebige Integration über FQDN-Gruppen, dynamische IP-Listen oder manuelle Regeln?

Seit wann in SFOS nutzbar – und wie funktioniert die Integration?

Threat Feeds sind grundsätzlich bereits seit SFOS Version 21.0 nutzbar. In dieser Version wurde erstmals eine Basisintegration eingeführt – allerdings noch ohne dedizierte Oberfläche. Benutzerdefinierte Feeds ließen sich über einfache Mechanismen einbinden, jedoch nur mit manuellem Aufwand und begrenztem Funktionsumfang.

Mit SFOS 21.5 wurde die Integration deutlich erweitert: Ein eigener Menüpunkt „Threat Feeds“ erlaubt jetzt die grafische Verwaltung sowohl von Sophos-internen als auch von externen Quellen. Die Einbindung erfolgt über die Weboberfläche – komfortabel, nachvollziehbar und ohne CLI-Kenntnisse. Das erleichtert auch kleineren Teams die Nutzung fortschrittlicher Bedrohungsdaten.

Wichtig: Die Sophos Firewall nutzt Threat Feeds autonom zur Blockade bekannter Bedrohungen. Es ist nicht notwendig und technisch derzeit nicht möglich, Einträge aus Threat Feeds direkt in eigenen Firewall-Regeln, Webfilter-Kategorien oder Hostgruppen zu referenzieren. Stattdessen wird die Kommunikation mit in Feeds gelisteten IP-Adressen, Domains oder URLs automatisch erkannt und unterbunden – ohne dass dafür separate Regeln erstellt werden müssen.

Auch individuell gepflegte Feeds – z. B. mit IOCs aus Honeypots oder internen Security-Systemen – lassen sich unkompliziert als Textdatei einbinden. So kann die Firewall auch um unternehmensspezifisches Wissen erweitert werden – ein wertvolles Werkzeug in modernen IT-Umgebungen.

Praxisbeispiele & typischer Nutzen

Threat Feeds sorgen dafür, dass Sicherheitsmaßnahmen nicht erst dann greifen, wenn sich eine Bedrohung bereits im System befindet – sondern bereits beim ersten Anzeichen verdächtiger Kommunikation. Dabei sind sie flexibel einsetzbar und entfalten ihren Nutzen in vielen realen Szenarien:

• C2-Blockade: Die Firewall erkennt IP-Adressen, die mit bekannten Command-&-Control-Servern (C2) verknüpft sind, und blockiert Verbindungen dorthin automatisch. So kann ein kompromittiertes Gerät keine Befehle mehr empfangen oder Daten exfiltrieren.
• Domain-Filtern: Domains, die im Zusammenhang mit Malware-Verbreitung oder Phishing-Attacken stehen, werden sofort unterbunden – noch bevor der eigentliche Download oder eine Weiterleitung erfolgen kann.
• Kampagnen-Reaktion: Bei neuen Angriffswellen – etwa aus einer CERT-Meldung – kann ein aktueller Threat Feed kurzfristig eingebunden werden, um proaktiv Schutz vor neu auftretenden Bedrohungen bereitzustellen. Die Firewall agiert damit als dynamisches Schutzschild, das sich auf aktuelle Gefahrenlagen einstellen lässt.

Mehrwert für Comp4U-Kunden

Comp4U integriert relevante Threat Feeds gezielt in bestehende Sicherheitskonzepte – abgestimmt auf die jeweilige Kundeninfrastruktur. Dabei übernehmen unsere Spezialisten nicht nur die Auswahl geeigneter Quellen, sondern auch die laufende Pflege und Aktualisierung.

Auch der Einsatz erweiterter Funktionen wie MDR Threat Feeds – mit Zugriff auf besonders zeitnahe, kuratierte Bedrohungsdaten – ist möglich und wird durch uns fachgerecht betreut. Voraussetzung dafür ist jedoch, dass beim Kunden bereits eine gültige Lizenz für MDR Complete (Comp4U Managed Malware Protection PlatinPLUS) vorliegt. Nur dann lassen sich die entsprechenden Threat Feeds in der Firewall aktivieren. Auf Wunsch binden wir zusätzlich Third-Party-Feeds ein, etwa aus CERTs, Abuse-Datenbanken oder branchenspezifischen Quellen.

Die Integration erfolgt im Rahmen unseres Managed Firewall Ansatzes – individuell, nachvollziehbar und dokumentiert. So bleibt Ihre Infrastruktur dauerhaft geschützt – auch vor neuen, dynamisch entstehenden Bedrohungen. werden in bestehende Schutzkonzepte eingebettet

• Auswahl & Pflege relevanter Feeds über Comp4U-Spezialisten
• Optionaler Einsatz von MDR Threat Feeds
• Teil unseres Managed Firewall Ansatzes – individuell auf Ihre Infrastruktur abgestimmt

Lassen Sie Ihre Firewall intelligenter arbeiten

Möchten Sie wissen, wie Ihre Sophos Firewall durch aktuelle Threat Feeds noch sicherer wird oder welche Optionen für MDR und Third-Party-Integration bestehen? Wir zeigen Ihnen praxisnah, wie Sie durch gezielte Nutzung von Bedrohungsdaten echten Mehrwert für Ihre Security erzielen.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500