Der Bericht „2026 Cyber Threat Intelligence (CTI) Survey Insights“ des SANS Institute deckt die Kluft zwischen Anerkennung und Einfluss auf. Die SANS-CTI-Umfrage 2026 beleuchtet erstmals beide Seiten: die Analysten, die Informationen bereitstellen, und die Führungskräfte, die darauf reagieren. Der Bericht zur Cyber-Threat-Intelligence (CTI) wurde von Rebekah Brown und Andreas Sfakianakis, beide Instructors beim SANS Institute, verfasst. Der Report stützt sich auf Antworten von 401 qualifizierten Cybersicherheitsexperten weltweit. Sie wurden zwischen November 2025 und Januar 2026 gesammelt, wobei ein spezielles Modul die Antworten von 67 CISOs und CSOs erfasst hat.
Das CISO-Modul bietet Fachleuten und Sicherheitsverantwortlichen einen direkten Einblick darin, wie die andere Seite CTI wahrnimmt. Führungskräften ermöglicht es einen Einblick, wie Kollegen Informationen priorisieren und nutzen. Fachleuten bietet es einen ungefilterten Einblick in die Antworten dieser Führungskräfte auf die Frage, auf welche Informationen sie sich stützen und was dazu beitragen würde, dass CTI bei ihren Entscheidungen eine zentralere Rolle spielt.
Cyber-Threat-Intelligence aus CISO- und CSO-Sicht
„In diesem Jahr verfügen wir über direkte Daten von beiden Seiten. CTI-Programme haben Jahre damit verbracht, ihren Wert unter Beweis zu stellen. Die Daten für 2026 zeigen, dass die nächste Herausforderung darin besteht, diese Anerkennung in Entscheidungen, Budgets und Maßnahmen umzusetzen“, sagt Rebekah Brown, Senior Researcher beim SANS Institute und Mitautorin des Berichts.
Die Umfragedaten geben genau Aufschluss darüber, was Führungskräfte wollen. Die obersten Prioritäten von Sicherheitsverantwortlichen für die nächsten 12 Monate sind Informationen über Schwachstellen, die aktiv von Angreifern ins Visier genommen werden (79 %), sowie spezifische TTPs (Tactics, Techniques, and Procedures) von Angreifern (77 %). Geschäftsorientierte Informationen rangieren mit 41 Prozent an letzter Stelle unter den Berichtstypen – eine Zahl, die der Bericht eher auf eine Produktionslücke als auf mangelnde Nachfrage zurückführt.
Die Umsetzung wird durch die Ressourcenausstattung von CTI-Programmen erschwert. Die meisten formellen CTI-Teams bestehen nach wie vor aus weniger als vier Vollzeitmitarbeitern, obwohl die Liste der Anwendungsfälle, die sie unterstützen sollen, immer länger wird. Zeitmangel für die Implementierung neuer Prozesse und fehlende Finanzmittel sind die größten Hindernisse für eine effektive Implementierung von Cyber-Threat-Intelligence; jeweils 44 Prozent der Befragten nannten diese Gründe. 57 Prozent der Programme verfolgen den Reifegrad im Zeitverlauf nicht nach, und 49 Prozent sammeln kein systematisches Feedback zur Wirksamkeit. Programme, die keine Verbesserungen nachweisen können, können ihre Budgets nicht mit Daten rechtfertigen.
Das strukturelle Bild geht über die Personalstärke hinaus. 45 Prozent der Organisationen setzen heute KI in CTI-Programmen ein, vor allem zur Datenzusammenfassung und Berichterstellung, wobei das „Human-in-the-Loop“-Modell weiterhin vorherrscht. Mehr als die Hälfte (55 %) der Organisationen verfügen nicht über rechtlich geprüfte CTI-Austauschprozesse, obwohl NIS2 und der Cyber-Resilience-Act ab 2026 neue Verpflichtungen auferlegen. Der Bericht charakterisiert diesen Mangel als strukturelles Risiko und nicht als administratives Versäumnis. Sicherheitsoperationen (71 %) haben den Spitzenplatz bei den CTI-Anwendungsfällen zurückerobert, den sie zuletzt 2022 innehatten, und damit die Bedrohungssuche überholt – ein Zeichen dafür, dass Informationen in die täglichen Verteidigungsabläufe eingebettet werden.
Den dazugehörigen Podcast und den vollständigen Bericht können Sie unter https://go.sans.org/cti-survey-webcast und https://www.sans.org/white-papers/2026-sans-cyber-threat-intelligence-survey-insights herunterladen.
Info: Über den Bericht zur Cyber-Threat-Intelligence
Die Umfrage wurde von den Sponsoren Broadcom, ESET, Flare, Intel 471, SOCRadar, ThreatConnect (jetzt Teil von Dataminr) und Wiz unterstützt. Der dazugehörige Podcast und der vollständige Bericht lässt sich unter https://go.sans.org/cti-survey-webcast und https://www.sans.org/white-papers/2026-sans-cyber-threat-intelligence-survey-insights herunterladen.
#SANSInstitute
