Grundlagen
Datenschutz und Datenfluss
Wie Cybora mit produktiven Firewall- und Identity-Signalen grundsätzlich umgeht, ohne sensible Kundenumgebungen offenzulegen.
Zuletzt aktualisiert: 29. Juni 2026
Auf dieser Seite
Cybora kann Threat-Intelligence-Signale aus unterschiedlichen Quellen bewerten: OSINT, kommerzielle Feeds, Honeypots, Sensorik, reale Firewall-Beobachtungen und ausgewählte Identity-Signale. Gerade produktive Firewall- und Login-Signale sind wertvoll, müssen aber besonders vorsichtig behandelt werden.
Das Prinzip ist einfach: Für den Feed zählt das sicherheitsrelevante Signal, nicht die Offenlegung einer Kundenumgebung.
Welche Daten fachlich relevant sind
Für einen Firewall Threat Feed sind vor allem Beobachtungen relevant, die helfen, externe Infrastruktur zu bewerten. Dazu gehören zum Beispiel:
- eine externe IP, Domain oder URL
- beobachtetes Verhalten wie Scanning, Botnet-Kommunikation oder wiederholte Login-Fehler
- Zeitpunkt oder Frische der Beobachtung
- Wiederholung über unabhängige Umgebungen
- technischer Kontext, der für Confidence und Kollateralschaden relevant ist
Nicht relevant für öffentliche Feed-Auslieferung sind interne Kundentopologien, Benutzeridentitäten, vollständige Rohlogs oder vertrauliche Details einzelner Umgebungen.
Datenminimierung und Zweckbindung
Production Signals sollten so verarbeitet werden, dass sie nur dem Zweck der Bedrohungsbewertung dienen. Das bedeutet: so wenig Kontext wie möglich, so viel technische Evidenz wie nötig. Wo Signale aus Kunden- oder Partnerumgebungen einfließen, müssen sie minimiert, angemessen geschützt und ohne unnötige kundenspezifische Details behandelt werden.
Cybora veröffentlicht keine Rohlogs, keine Kundennamen, keine internen Schwellenwerte und keine Quellgewichtungen. In der öffentlichen Dokumentation wird erklärt, warum eine Signalart wertvoll ist, aber nicht, welche konkrete Umgebung welchen Treffer geliefert hat.
Identity-Signale besonders vorsichtig behandeln
Wiederholte fehlgeschlagene Cloud-Logins aus mehreren unabhängigen Umgebungen können auf Passwortspraying, Credential Stuffing oder kompromittierte Infrastruktur hinweisen. Gleichzeitig sind solche Signale anfällig für Fehlinterpretation: NAT, VPNs, Proxies, Mobilfunknetze oder Shared IPs können legitime und bösartige Nutzung vermischen.
Darum sollten Identity-Signale nicht isoliert als Blockentscheidung verstanden werden. Sie gewinnen erst dann Gewicht, wenn sie mit zusätzlicher Evidenz, Wiederholung und Kontext zusammenpassen. Mehr dazu steht in Identity-Signale gegen Passwortspraying und Credential Attacks.
Was Admins daraus ableiten können
Für Admins ist vor allem wichtig, dass der Feed nicht aus unkontrolliert veröffentlichten Rohdaten besteht. Die Datenpipeline soll Signale bewerten, normalisieren und auf produktive Firewall-Nutzung prüfen. Das stärkt Vertrauen, ohne unnötig offenzulegen, wie einzelne Umgebungen aussehen oder welche internen Regeln Cybora verwendet.
Die technische Feed-Auslieferung selbst ist im Artikel Feed-URL-Format und Lizenzschlüssel beschrieben. Hinweise zum Umgang mit Feed-URLs und Keys stehen in Secure Feed URLs.