The processing and exchange of Cyber Threat Intelligence (CTI) has become an increas- ingly important topic in recent years. This trend can be attributed to various factors. On the one hand, the exchange of information offers great potential to strengthen the knowledge base of companies and thus improve their protection against cyber threats. On the other hand, legislators in various countries have recognized this potential and translated it into legal reporting requirements. However, CTI is still a very young research area with only a small body of literature. Hence, there are hardly any guidelines, uniform standards, or specifications that define or support such an exchange. This dissertation addresses the problem by reviewing the methodological foundations for the exchange of threat intelligence in three focal areas. First, the underlying data formats and data structures are analyzed, and the basic methods and models are developed. In the further course of the work, possibilities for integrating humans into the analysis process of security incidents and into the generation of CTI are investigated. The final part of the work examines possible obstacles in the exchange of CTI. Both the legal environment and mechanisms to create incentives for an exchange are studied. This work thus creates a solid basis and a structured framework for the cooperative use of CTI.

Die Verarbeitung und der Austausch von Cyber Threat Intelligence (CTI) Informationen haben in den Vergangenen Jahren immer stärker an Bedeutung gewonnen. Dies kann auf verschiedene Faktoren zurückgeführt werden. Auf der einen Seite bietet der Informationsaustausch ein großes Potential die Informationsbasis von Unternehmen zu stärken und damit den vorhandenen Schutz zu verbessern. Auf der anderen Seite haben Gesetzgeber verschiedener Ländern dieses Potential ebenfalls erkannt und in gesetzlichen Meldepflichten übersetzt. Gleichzeitig handelt es bei dem Bereich Cyber Threat Intelligence noch um ein sehr junges und Forschungsfeld mit einem nur geringen Literaturkorpus. Entsprechend existieren kaum Vorgaben, einheitliche Standards oder Leitfäden welche einen solchen Austausch definieren oder unterstützen. Mit dieser Dissertation wird diese Problematik durch eine Aufarbeitung der methodischen Grundlagen für den Austausch von Threat Intelligence Informationen mit drei wesentlichen Schwerpunkten adressiert. Hierzu werden zuerst die zugrundeliegende Datenformate und Datenstrukturen analysiert und methodisch aufgearbeitet. Im weiteren Verlauf der Arbeit werden Möglichkeiten zur Integration des Menschen in den Analyseprozess von Sicherheitsvorfällen und damit in die Erzeugung von CTI Informationen untersucht. Im letzten Teil der Arbeit werden auf der einen Seite rechtliche Rahmenbedingungen für einen Austausch und Verfahren zur Schaffung von Anreizen für den Austausch untersucht. Mit der vorliegenden Arbeit werden damit eine fundierte Grundlage sowie ein strukturierter Rahmen für den kooperativen Einsatz von CTI Informationen geschaffen.