ZweiOnCTI

Jan Dubs-Banholzer, Elias Schneider

ZweiOnCTI — CTI geschüttelt, nicht gerührtDer CTI-Podcast für den DACH-Raum. Operativ. Technisch. Evidenzbasiert. Cyber Threat Intelligence ohne Vendor-Lärm und ohne Lagebild-Routine. ZweiOnCTI nimmt sich pro Folge ein Konzept vor und zerlegt es bis dorthin, wo es im Alltag trägt — was funktioniert, was nicht, und warum. Keine Hersteller-Folien, keine Panik-Zahlen ohne Methodenfussnote, keine Frameworks-Bingo-Karten. Stattdessen: Pyramid of Pain, Intelligence Cycle, IOC-Halbwertszeit, Diamond Model, Threat Hunting, Detection Engineering, Adversary Emulation — diskutiert mit Praxis und mit der Bereitschaft, Industriekonsens dort zu schütteln, wo er nicht hält. Wir nehmen das Feld ernst. Uns selbst nicht ganz so. Wer sprichtJan ist Geschäftsführer der CICS GmbH und Managing Director Technology bei IRISX SYSTEMS. Offizier-Hintergrund aus der Schweizer Armee — Electronic Warfare & Cyber Defense. GCFA. Er argumentiert gerne gegen Konsens und stellt die unangenehmen Fragen. Elias ist Analyst bei CICS und studiert Informationssicherheit. Er bringt Theorie, kluge Gegeneinwände und die Fragen, die im Lehrbuch leichter klingen als sie es in der Praxis sind. Sein Job: nicht stichwortgeben, sondern mitdenken. Für dichWenn du als Analystin, CTI-Praktiker, Detection Engineer, Security-Architekt oder Incident Responder im DACH-Raum operativ mit Cyber-Bedrohungen arbeitest. Wenn du studierst und nach der Praxis-Übersetzung deiner Theorie suchst. Wenn du als CISO oder Security-Verantwortlicher wissen willst, was hinter den Buzzwords deiner Vendor-Pitches steckt — und was nicht. Was du pro Folge bekommstRund 45 Minuten. Ein Konzept, sauber aufgemacht. Mindestens eine Position, die nicht ins Vendor-Briefing passt — mit geschüttelter Begründung. Und eine Mitnahme, die am Montag anwendbar ist. Bis dann. Geschüttelt. Nicht gerührt.

Season 1

  1. Episode 1

    Was ist CTI, wirklich?

    S1E01 — Was ist CTI, wirklich? Die Demontage der Gleichung „Feed gleich Intelligence" 50.000. 5. 4. Fünfzigtausend Indikatoren verspricht die Sales-Folie pro Tag. Fünf Tage misst Censys als Median-Lebensdauer eines kommerziellen Cobalt-Strike-Command-and-Control-Servers. Vier Prozent Overlap haben zwei Premium-Threat-Intelligence-Feeds laut der bislang sauberen USENIX-Messung. Drei Zahlen, die zusammengenommen erklären, warum „mehr Feeds gleich mehr Breite" ein Vendor-Slogan ist, kein empirischer Befund. In der ersten Sach-Folge nach dem Piloten legen wir die Definitionen nebeneinander, die seit dreizehn Jahren zitiert werden: McMillans Gartner-Definition von 2013 mit ihren fünf Qualitätsmerkmalen, NIST SP 800-150, Biancos Pyramid of Pain in der heute kanonischen Sechs-Ebenen-Fassung von 2014 — und die MITRE-Erweiterung Summiting the Pyramid aus Dezember 2024, die das Modell zum ersten Mal seit elf Jahren empirisch unterlegt. Was unterscheidet Daten von Information, Information von Intelligence? Welches McMillan-Kriterium erfüllt ein STIX-Eintrag mit IP-Adresse und Vendor-Tag „Akira-related"? Genau eines von fünf. Warum bezahlen Kunden zweier marktführender Premium-Anbieter laut Bouwmans Interview-Teil gar nicht für die Indikatoren — sondern für die narrativen Reports? Wir messen den Decay an zwei Censys-Snapshots, lesen den Phishing-Survival-Survey von Lee und Lim (Median 5,5 Stunden, Google Safe Browsing erfasst 18,4 Prozent in 4,5 Tagen), prüfen die SANS-CTI-Umfrage 2024 — 36 Prozent der Programme messen ihre Effektivität, 64 Prozent nicht — und legen drei DACH-Lehrstücke daneben: Südwestfalen-IT, Xplain, SPD-Parteizentrale. Dreimal lag die verletzbare Ebene oberhalb von Hash und IP. Dreimal hätte kein Indikator-Feed der Welt den Vorfall verhindert. Dreimal folgte eine regulatorische Reaktion — NIS2-Umsetzungsgesetz, NISG 2026, Schweizer ISG —, die Prozess verlangt, nicht Konsum. Die Folge argumentiert gegen den Konsens, dass kommerzieller Feed-Konsum schon ein CTI-Programm sei — und hält sich strikt an die Empirie, die in den Fussnoten der Sales-Decks selbst steht, wenn man sie liest. Wir erfinden keine Kontroverse. Wir machen die in den Studien dokumentierte sichtbar. Was du mitnimmst Ein CTI-Produkt an fünf McMillan-Kriterien prüfen, jeden Indikator einer der sechs Pyramid-Ebenen zuordnen, jedes Artefakt am So-what-Test von Katie Nickels messen — Wen interessiert das? Was soll die Organisation tun? Wie machen wir es erneut? Pflichtwissen für jeden, der ein CTI-Programm aufbaut, reift oder vor Vorstand und Aufsichtsbehörde verantwortet. Geschüttelt. Nicht gerührt.

    50 min

  2. Apr 29

    Zahlen, die niemand hinterfragt

    S1E00 — Zahlen, die niemand hinterfragtMethodenkritik im DACH-Cybersecurity-Diskurs 309.000. 280.000. 202 Milliarden. Drei Zahlen, die in jeder zweiten Vorstandspräsentation auftauchen — und drei Zahlen, deren Methodikseiten kaum jemand gelesen hat. In dieser Zwischenfolge legen wir die Quelldokumente nebeneinander: die BSI-Malware-Statistik, den Bitkom-Wirtschaftsschutzbericht, die BACS-Halbjahresberichte. Was misst eine „neue Malware-Variante" eigentlich? Ein veränderter Hashwert. Auch wenn an der Funktionalität nichts neu ist — das schreibt das BSI selbst auf seiner Methodikseite. Was steckt hinter den 202 Milliarden Euro Schaden? 1.002 Telefoninterviews, Selbsteinschätzung, hochgerechnet auf die deutsche Gesamtwirtschaft. Und warum sind die BACS-Zahlen methodisch sauberer — aber öffentlich seltener zitiert? Wir nehmen jede Zahl auseinander, lesen die Fussnoten, die in den Schlagzeilen verloren gehen, und ziehen am Ende einen praktischen Filter: Wann ist eine Cybersecurity-Zahl operative Kennzahl, wann politisches Signal, wann Vendor-Argument? Die Folge argumentiert gegen den Konsens, dass diese Zahlen „stimmen" — aber sie hält sich strikt an das, was die Statistikämter selbst auf ihren Methodikseiten schreiben. Wir erfinden keinen Streit. Wir machen den vorhandenen sichtbar. Was du mitnimmstSchadenszahl einem methodischen Typ zuordnen — gemessen, berichtet, geschätzt, hochgerechnet — und weisst, für welchen Argumentationskontext sie sich eignet. Pflichtwissen für jeden, der vor Vorstand, Verwaltungsrat oder Behörde Risiken kommunizieren muss. Geschüttelt. Nicht gerührt.

    39 min
  • 2 Episodes

About

ZweiOnCTI — CTI geschüttelt, nicht gerührtDer CTI-Podcast für den DACH-Raum. Operativ. Technisch. Evidenzbasiert. Cyber Threat Intelligence ohne Vendor-Lärm und ohne Lagebild-Routine. ZweiOnCTI nimmt sich pro Folge ein Konzept vor und zerlegt es bis dorthin, wo es im Alltag trägt — was funktioniert, was nicht, und warum. Keine Hersteller-Folien, keine Panik-Zahlen ohne Methodenfussnote, keine Frameworks-Bingo-Karten. Stattdessen: Pyramid of Pain, Intelligence Cycle, IOC-Halbwertszeit, Diamond Model, Threat Hunting, Detection Engineering, Adversary Emulation — diskutiert mit Praxis und mit der Bereitschaft, Industriekonsens dort zu schütteln, wo er nicht hält. Wir nehmen das Feld ernst. Uns selbst nicht ganz so. Wer sprichtJan ist Geschäftsführer der CICS GmbH und Managing Director Technology bei IRISX SYSTEMS. Offizier-Hintergrund aus der Schweizer Armee — Electronic Warfare & Cyber Defense. GCFA. Er argumentiert gerne gegen Konsens und stellt die unangenehmen Fragen. Elias ist Analyst bei CICS und studiert Informationssicherheit. Er bringt Theorie, kluge Gegeneinwände und die Fragen, die im Lehrbuch leichter klingen als sie es in der Praxis sind. Sein Job: nicht stichwortgeben, sondern mitdenken. Für dichWenn du als Analystin, CTI-Praktiker, Detection Engineer, Security-Architekt oder Incident Responder im DACH-Raum operativ mit Cyber-Bedrohungen arbeitest. Wenn du studierst und nach der Praxis-Übersetzung deiner Theorie suchst. Wenn du als CISO oder Security-Verantwortlicher wissen willst, was hinter den Buzzwords deiner Vendor-Pitches steckt — und was nicht. Was du pro Folge bekommstRund 45 Minuten. Ein Konzept, sauber aufgemacht. Mindestens eine Position, die nicht ins Vendor-Briefing passt — mit geschüttelter Begründung. Und eine Mitnahme, die am Montag anwendbar ist. Bis dann. Geschüttelt. Nicht gerührt.

Information

  • Creator
    Jan Dubs-Banholzer, Elias Schneider
  • Episodes
    2
  • Seasons
    1
  • Rating
    Clean
  • Copyright
    © 2026 Jan Dubs-Banholzer, Elias Schneider