Whitepaper NIS2-Check EN

Sicherheit

Threat Intelligence für Firewalls: 4 Feeds, ein Workflow

NF Nick Falshaw· 21. Feb. 2026· 5 Min. Lesezeit
Threat-Intelligence-FirewallFirewall-Threat-FeedsAbuseIPDB Firewall
Ein Echtzeit-Threat-Intelligence-Feed informiert eine Firewall

Ihr SOC-Team abonniert Threat-Intelligence-Feeds. Ihr Firewall-Team verwaltet Regeln. Aber wer prüft, ob Ihre Firewall-Regeln auf bekanntermaßen bösartige IPs verweisen? In den meisten Organisationen tut das niemand — zumindest nicht systematisch. Die Lücke zwischen Threat Intelligence und Firewall-Management ist einer der häufigsten und gefährlichsten blinden Flecken im Sicherheitsbetrieb von Unternehmen.

Dieser Leitfaden erklärt, wie Sie diese Lücke schließen, indem Sie Firewall-Regeln gegen Threat-Intelligence-Feeds abgleichen: welche Feeds Sie nutzen sollten, wie der Abgleich funktioniert und was zu tun ist, wenn Sie einen Treffer finden.

Die Lücke zwischen Threat Intelligence und Firewall-Management

Threat-Intelligence-Plattformen erzeugen Indicators of Compromise (IOCs): IP-Adressen, die mit Botnetzen, Command-and-Control-Servern, Phishing-Kampagnen und der Verbreitung von Malware in Verbindung stehen. Diese Feeds aktualisieren sich fortlaufend, sobald neue Bedrohungen entdeckt werden.

Firewall-Regeln wiederum verweisen auf IP-Adressen, Netze und Dienste. Manche dieser Regeln wurden vor Monaten oder Jahren erstellt. Die IP-Adresse, die zum Zeitpunkt der Regelerstellung legitim war, kann inzwischen auf einem Threat-Feed aufgetaucht sein — kompromittiert, einem bösartigen Akteur neu zugewiesen oder als Teil einer Botnetz-Infrastruktur identifiziert.

Das Problem ist, dass diese beiden Welten selten miteinander sprechen. SOC-Teams nutzen Threat Intelligence für Detection und Threat Hunting. Firewall-Teams verwalten Regeln für die Zugriffskontrolle. Der Abgleich zwischen „IPs, zu denen wir Traffic erlauben“ und „IPs, die bekanntermaßen bösartig sind“ erfolgt manuell — wenn er überhaupt erfolgt.

4 Threat-Intelligence-Feeds im Überblick

FwChange ist in 4 Threat-Intelligence-Feeds integriert, von denen jeder eine andere Bedrohungskategorie abdeckt. Zusammen bieten sie eine breite Abdeckung der häufigsten netzwerkbasierten Bedrohungen.

AbuseIPDB

Eine community-getriebene Reputationsdatenbank für IP-Adressen. Nutzer melden bösartige IPs (Brute Force, Spam, Port-Scanning, DDoS), und AbuseIPDB aggregiert diese Meldungen zu einem Confidence-Score. FwChange fragt die AbuseIPDB-API ab, um zu prüfen, ob eine in Ihren Firewall-Regeln referenzierte IP wegen bösartiger Aktivität gemeldet wurde.

Am besten geeignet für: das Aufspüren von Regeln, die Traffic zu oder von IPs mit schlechter Reputation erlauben. Deckt ein breites Spektrum an Missbrauchsarten ab.

Emerging Threats (Proofpoint ET)

Das Emerging-Threats-Projekt von Proofpoint pflegt kuratierte Blocklisten kompromittierter IP-Adressen. Die ET-Liste kompromittierter IPs wird täglich aktualisiert und enthält IPs, die an aktiven Angriffen beteiligt sind, Malware hosten oder als Command-and-Control-Server agieren.

Am besten geeignet für: das Identifizieren von Regeln, die auf aktiv kompromittierte Infrastruktur verweisen. Hohe Verlässlichkeit, niedrige False-Positive-Rate.

Feodo Tracker (Abuse.ch)

Feodo Tracker wird von Abuse.ch betrieben und verfolgt Command-and-Control-Server (C2) von Botnetzen. Der Fokus liegt speziell auf Banking-Trojanern und Malware-Familien wie Dridex, Emotet, TrickBot und QakBot. Der Feed liefert die IP-Adressen bekannter C2-Server, mit denen infizierte Maschinen kommunizieren.

Am besten geeignet für: das Aufspüren von Regeln, die ausgehenden Traffic zu Botnetz-C2-Infrastruktur erlauben. Kritisch für Organisationen, die mit Finanzdaten arbeiten.

AlienVault OTX

AlienVault Open Threat Exchange ist eine Community-Plattform für Threat Intelligence, auf der Sicherheitsforscher „Pulses“ mit Indicators of Compromise teilen. OTX aggregiert IP-Indikatoren von Tausenden Beitragenden weltweit und deckt ein breites Spektrum an Bedrohungsarten ab — von APT-Kampagnen bis hin zu Massen-Malware.

Am besten geeignet für: eine breite Abdeckung community-gemeldeter Bedrohungen. Höheres Aufkommen als andere Feeds, nützlich als ergänzende Quelle.

Wie der Abgleich funktioniert

Der Abgleichsprozess ist unkompliziert. FwChange synchronisiert die Threat-Intelligence-Feeds über einen geplanten Cron-Job. Jede Synchronisation ruft die neuesten Indikatoren ab und speichert sie lokal. Anschließend prüft FwChange für jede Firewall-Regel in Ihrer Flotte, ob eine Quell- oder Ziel-IP (oder eine IP innerhalb eines CIDR-Bereichs) in einem der 4 Feeds auftaucht.

Die Abgleich-Pipeline

  • 1. Feed-Synchronisation: Ein geplanter Cron-Job ruft die neuesten Indikatoren aus allen 4 Feeds ab und speichert sie in der Datenbank.
  • 2. Regel-Extraktion: Für jede Firewall werden alle in Allow-Regeln referenzierten IP-Adressen extrahiert (Quelle und Ziel).
  • 3. IOC-Abgleich: Die extrahierten IPs werden mit der Datenbank der Bedrohungsindikatoren verglichen. Abgeglichen werden einzelne IPs sowie IPs innerhalb von CIDR-Bereichen.
  • 4. Erstellung einer Sichtung: Wird ein Treffer gefunden, wird ein Sichtungs-Datensatz angelegt, der die Firewall-Regel mit dem Bedrohungsindikator verknüpft — inklusive Feed-Quelle, Confidence-Score und Zeitstempel.
  • 5. Alarmierung: Das Sicherheitsteam wird über die konfigurierten Kanäle (E-Mail, Slack, Teams) benachrichtigt — mit Details zum Treffer und empfohlenen Maßnahmen.

Was tun, wenn Sie einen Treffer finden

Ein Threat-Intelligence-Treffer bedeutet nicht automatisch, dass eine Kompromittierung vorliegt. Er bedeutet, dass eine Firewall-Regel auf eine IP verweist, die von einem oder mehreren Threat-Feeds markiert wurde. Die angemessene Reaktion hängt vom Kontext ab:

  • Treffer mit hoher Verlässlichkeit (AbuseIPDB-Score >80 oder Feodo C2): sofort untersuchen. Prüfen Sie die Firewall-Logs auf tatsächlichen Traffic zu oder von der markierten IP. Existiert solcher Traffic, eskalieren Sie als potenziellen Sicherheitsvorfall. Erwägen Sie, die IP bis zum Abschluss der Untersuchung zu sperren.
  • Treffer mit mittlerer Verlässlichkeit (ET-Liste kompromittierter IPs): Überprüfen Sie die Regel und ihre geschäftliche Begründung. Klären Sie, ob die IP noch aktiv genutzt wird. Wird die Regel nicht mehr benötigt, entfernen Sie sie. Wird sie noch benötigt, prüfen Sie, ob das Ziel kompromittiert wurde.
  • Treffer mit niedriger Verlässlichkeit (OTX-Community-Pulse): Notieren Sie den Befund und prüfen Sie ihn im nächsten Regel-Audit-Zyklus. OTX hat aufgrund der Community-Quellen höhere False-Positive-Raten. Nutzen Sie es als ergänzendes Signal, nicht als primären Auslöser für Maßnahmen.

Einbindung ins Change-Management

Threat Intelligence entfaltet ihren größten Wert, wenn sie in Ihren Firewall-Change-Management-Prozess eingewoben ist. Wenn jemand eine neue Regel einreicht, die auf eine von einem Threat-Feed markierte IP verweist, sollte das System dies abfangen, bevor die Regel produktiv geht — nicht danach.

Diese Prüfung vor dem Deployment verlängert den Change-Request-Prozess um Sekunden und kann tagelange Incident-Response ersparen. Es ist dasselbe Prinzip wie bei der Regeloptimierung — Probleme abfangen, bevor sie in die Produktion gelangen, nicht danach.

Compliance-Vorteile

Die Integration von Threat Intelligence unterstützt mehrere Compliance-Anforderungen unmittelbar. PCI-DSS 4.0 verlangt von Organisationen, Bedrohungen zeitnah zu erkennen und auf sie zu reagieren. ISO 27001 Anhang A.12 deckt die operative Sicherheit einschließlich des Bedrohungsmanagements ab. NIS2 verpflichtet wesentliche Einrichtungen, risikobasierte Sicherheitsmaßnahmen einschließlich Fähigkeiten zur Bedrohungserkennung umzusetzen.

Dokumentierte Nachweise, dass Sie Firewall-Regeln gegen Threat-Feeds abgleichen — und dass Sie Treffer untersuchen und beheben —, belegen ein proaktives Sicherheitsmanagement. Genau diese Art von Nachweis macht aus einem Audit-Befund eine Audit-Stärke.

Die Lücke zwischen Threat Intelligence und Firewall-Management besteht in den meisten Organisationen, weil die Werkzeuge getrennt und die Workflows nicht miteinander verbunden waren. Ein automatisierter Abgleich schließt diese Lücke, ohne einem der beiden Teams manuelle Arbeit hinzuzufügen. Ihre Threat-Feeds aktualisieren sich automatisch, Ihre Firewall-Regeln werden fortlaufend gescannt, und Treffer erscheinen als Alarme, auf die jemand reagieren kann. So wird aus Threat Intelligence statt eines Dashboards, das niemand prüft, ein Workflow, der reale Vorfälle verhindert. Mehr dazu, wie KI-gestützte Bedrohungserkennung in das größere Sicherheitsbild passt, finden Sie in unserem CISO-Leitfaden.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Sicherheit

Firewall-Schwachstellen-Scan: 18 automatisierte Prüfungen

21. Feb. 2026
Sicherheit

CISO-Leitfaden zur KI-gestützten Bedrohungserkennung

12. Feb. 2026
Neuerer BeitragPolicy-Drift-Erkennung: Nicht autorisierte Firewall-Änderungen aufspüren