🛡️ Automated Threat Intelligence & Malware Analysis Platform
Enterprise-Grade Security Automation für Finanzinstitute
Executive Summary
Für CISOs und IT-Sicherheitsverantwortliche
Die Herausforderung: Finanzinstitute sind täglich Tausenden von E-Mail-basierten Bedrohungen ausgesetzt. Manuelle Analyse ist zeitintensiv, fehleranfällig und skaliert nicht mit der Bedrohungslage. Obendrein verfügen die jeweiligen Sachbearbeiter nicht unbedingt über die notwendigen Fachkenntnisse um Phishing gesichert zu erkennen.
Die Lösung: Eine vollautomatisierte, KI-gestützte Plattform zur Erkennung und Analyse von Malware und Phishing-Angriffen. Entwickelt speziell für die Anforderungen des Bankensektors mit vollständiger Compliance zu MaRisk, BAIT und DORA.
Der Mehrwert:
- 99% Zeitersparnis bei der Malware-Analyse (von Stunden auf Minuten)
- Zero-Day Erkennung durch Verhaltensanalyse in isolierten Sandboxen
- KI-gestützte Phishing-Erkennung mit ITSO Level 3 Expertise
- Automatische Threat Intelligence Integration mit MISP
- Vollständige Audit-Trails für regulatorische Anforderungen
Key Metrics
| Metrik | Wert | |--------|------| | Durchschnittliche Analysezeit | < 2 Minuten | | Verfügbarkeit | 24/7 vollautomatisch | | Banking-Compliance | 100% | | False Negatives bei Zero-Day | 0 |
✅ Proof of Concept erfolgreich absolviert: Das System analysiert seit Januar 2026 produktiv Malware und Phishing-Mails mit einer Erkennungsrate von >95% und vollständiger Integration in bestehende SOC-Prozesse.
Architektur
High-Level Übersicht
Die Plattform besteht aus vier integrierten Hauptkomponenten, die nahtlos zusammenarbeiten:
┌─────────────────────────────────────────────────────────────────┐
│ E-MAIL GATEWAY │
│ (Verdächtige Anhänge/Links) │
└────────────────────────┬────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ CAPE MAILER (Orchestrator) │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────────────┐ │
│ │ Mail Parser │→ │ File Handler │→ │ Routing Engine │ │
│ └──────────────┘ └──────────────┘ └──────────────────────┘ │
└────────┬────────────────────┬────────────────────┬──────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────┐ ┌─────────────────┐ ┌──────────────────────┐
│ CAPEV2 SANDBOX │ │ OLLAMA AI │ │ MISP INTEGRATION │
│ │ │ │ │ │
│ • Dynamic │ │ • Qwen2.5 Model │ │ • Event Creation │
│ Analysis │ │ • Banking │ │ • IOC Sharing │
│ • Behavioral │ │ Context │ │ • TLP:AMBER │
│ Detection │ │ • ITSO Level 3 │ │ • Workflow Tags │
│ • Network │ │ • Phishing │ │ • Auto-Correlation │
│ Simulation │ │ Detection │ │ │
└─────────────────┘ └─────────────────┘ └──────────────────────┘
Komponenten-Details
📧 CAPE Mailer v2.4.1
Zentrale Orchestrierung
- Automatische E-Mail-Verarbeitung (IMAP/Exchange)
- Intelligente Datei-Extraktion inkl. Passwort-geschützte Archive
- Routing zu CAPEv2, Ollama oder MISP
- Loop-Prevention & Mailbox-Management
🔬 CAPEv2 Sandbox
Malware-Verhaltensanalyse
- Vollständig isolierte Windows-VMs
- Dynamische Code-Analyse
- Network Traffic Simulation (INetSim)
- Packing/Obfuscation Detection
- YARA-Rule Matching
🤖 Ollama AI (Qwen2.5)
KI-gestützte Threat Assessment
- ITSO Level 3 Security Analyst Simulation
- Banking-spezifische Threat-Patterns
- CEO-Fraud & BEC Detection
- Automatische Risikobewertung (HIGH/MEDIUM/LOW)
🔗 MISP v2.5.31
Threat Intelligence Platform
- Automatische Event-Erstellung
- IOC-Sharing (TLP:AMBER)
- Integration mit BSI/CERT-Bund
- Community Threat Feeds
Features
1. Automatisierte Malware-Analyse
📦 Vollständige Archiv-Unterstützung
- ZIP, 7z, RAR mit automatischer Passwort-Erkennung
- Magic Bytes Detection (keine Abhängigkeit von Dateiendungen)
- Verschachtelte Archive werden rekursiv entpackt
- Unterstützte Passwort-Muster: "infected", "malware", "virus", etc.
🔬 Behavioral Analysis in CAPEv2
- Prozess-Monitoring: Alle Prozess-Starts, DLL-Injections, Code-Injections
- Filesystem-Monitoring: Dateierstellung, -modifikation, -löschung
- Registry-Monitoring: Alle Registry-Änderungen (Persistence-Mechanismen)
- Network-Monitoring: DNS-Queries, HTTP/HTTPS-Requests, C2-Kommunikation
- API-Call Tracing: Vollständige API-Call-Historie
Ergebnis: Detaillierter JSON-Report mit allen IOCs, YARA-Matches, Verhaltens-Scores
2. KI-gestützte Phishing-Erkennung
🧠 Ollama LLM Integration (aktuel Qwen2.5 - 32B Parameter)
Banking-optimiertes Prompt Engineering:
- Analyse auf CEO-Fraud, BEC (Business Email Compromise), Wire Transfer Fraud
- Typosquatting-Detection (z.B. "deutsche-baink.de")
- DMARC/SPF/DKIM-Header-Validation
- Mail-Routing-Analyse (TLS/Cipher-Checks, ARC-Header)
- URL-Risikoanalyse via Tor (anonymisiert)
Output: Risikobewertung (HIGH/CRITICAL/MEDIUM/LOW) mit detaillierter Begründung
🎯 Multi-Source OSINT Integration
Jede Phishing-Mail wird gegen 10+ Threat Intelligence-Quellen geprüft:
- AlienVault OTX: IP/Domain/URL Reputation
- AbuseIPDB: IP-Blacklisting & Abuse Reports
- VirusTotal: Multi-Engine Malware-Scanning
- URLScan.io: URL-Screenshot & Verhaltensanalyse
- Google Safe Browsing: Phishing/Malware-DB
- Spamhaus: IP/Domain Blacklists
- IPQualityScore: Fraud-Detection
- CIRCL, FeodoTracker, URLhaus: Spezial-Feeds
Threat-Score-Aggregation: Alle Quellen werden gewichtet und zu einem Gesamt-Threat-Score zusammengefasst
3. Intelligente Verdict-Logik
🤖 AI-Override-Mechanismus
Problem gelöst: Klassische Scoring-Systeme übersehen oft subtile Phishing-Indikatoren.
Lösung: Wenn Ollama "HIGH" oder "CRITICAL" erkennt, wird der Verdict IMMER auf "MALICIOUS" gesetzt - unabhängig vom numerischen Risk-Score!
Pattern-Matching: Robustes Regex erkennt "Risikobewertung: HIGH" auch über Zeilenumbrüche und Markdown-Formatierung hinweg
4. MISP Threat Intelligence Sharing
📤 Automatische Event-Erstellung
Trigger-Logik: Events werden erstellt bei:
- Verdict ≥ "suspicious" ODER
- Risk Score ≥ 40 ODER
- Ollama-Keywords: "high", "critical", "phishing", "credential theft", etc.
Event-Struktur:
- Distribution: Your organization only (TLP:AMBER)
- Threat Level: Dynamisch (malicious=High, suspicious=Medium)
- Description: Vollständige Ollama AI-Bewertung (bis 2000 Zeichen)
- IOCs: email-src, ip-src, url, domain, email-headers
- Tags: phishing, banker, typosquatting, credential-theft, ceo-fraud, workflow:todo="review"
5. Compliance & Audit-Trail
📋 Vollständige Dokumentation
- HTML-Reports: Detaillierte Analyseberichte für jeden Sample/Phishing-Mail
- JSON-Logs: Strukturierte Logs für Splunk/SIEM-Integration
- MISP-Events: Permanente Threat Intelligence Records
- PostgreSQL-Datenbank: Alle Analysen historisch nachvollziehbar
- Timestamps: Jeder Schritt wird mit Zeitstempel versehen
Compliance
Regulatorische Compliance
✅ MaRisk AT 7.2
✅ BAIT
✅ DORA
✅ ISO 27001
✅ BSI IT-Grundschutz
MaRisk AT 7.2 - Informationsrisikomanagement
| Anforderung | Umsetzung in der Plattform |--------------------------|--------------------------- | Risikoidentifikation | Automatische Erkennung von Malware und Phishing durch Multi-Source-Analyse (CAPEv2 + Ollama + OSINT)
| Risikobewertung | KI-gestütztes Risk-Scoring (0-100) mit ITSO Level 3 Expertise, kategorisiert nach HIGH/CRITICAL/MEDIUM/LOW | Risikobehandlung | Automatische Isolierung verdächtiger Mails, Quarantäne-Management, MISP-Event-Erstellung für SOC-Reaktion | Risikokontrolle | Vollständige Audit-Trails, JSON-Logs für SIEM, HTML-Reports, PostgreSQL-Historie | Risikoüberwachung | 24/7 automatisches Monitoring, Echtzeit-Alerts via Pushover/E-Mail, Workflow-Tags in MISP
BAIT - Bankaufsichtliche Anforderungen an die IT
| Anforderung | Umsetzung |--------------------------|----------- | Netzwerksicherheit | Vollständige Netzwerk-Isolation der Analyse-VMs, keine Internet-Konnektivität, INetSim für Network-Simulation | | Malware-Schutz | Verhaltensbasierte Erkennung (Zero-Day fähig), Overlay-Disk-Technologie für saubere Analyseumgebungen | | Logging & Monitoring | Strukturierte JSON-Logs, Splunk-Integration, vollständige Prozess/Network/Registry-Traces | | Incident Response | Automatische MISP-Event-Erstellung, IOC-Sharing mit BSI/CERT-Bund, Workflow-Management via Tags |
DORA - Digital Operational Resilience Act
✅ DORA-Konformität durch:
- ICT-Risikoidentifikation (Art. 6): Automatisierte Threat-Erkennung mit KI
- ICT-bezogene Vorfälle (Art. 17): Vollständige Incident-Dokumentation in MISP
- Threat Intelligence Sharing (Art. 20): MISP-Integration mit TLP:AMBER
- Testing (Art. 24): Sandbox-Umgebung für sicheres Testing von Malware
ISO 27001 Compliance
- A.12.2 - Protection from Malware: Verhaltensanalyse-basierter Schutz
- A.12.6 - Management of Technical Vulnerabilities: Zero-Day Detection ohne Signatures
- A.13.2 - Information Transfer: TLS 1.3, Cipher-Checks, Mail-Routing-Analyse
- A.16.1 - Incident Management: Automatische Event-Erstellung, Workflow-Management
Use Cases
Szenario 1: CEO-Fraud Phishing-Mail
📧 Eingehende Mail:
Von: vorstand@deuutsche-bank.de (Typosquatting!)
Betreff: DRINGEND: Überweisung erforderlich
Inhalt: "Bitte überweisen Sie sofort 50.000 EUR an folgendes Konto..."
🔬 Automatische Analyse:
- Mail-Parsing: Extrahiere Headers, URLs, Absender-Domain
- OSINT-Check: "deuutsche-bank.de" unbekannt in Threat-Feeds
- Typosquatting-Detection: Ähnlichkeit zu "deutsche-bank.de" erkannt
- Header-Analyse: SPF fail, DKIM fehlt, DMARC nicht vorhanden
- Ollama-AI: "Risikobewertung: HIGH - CEO-Fraud erkannt, Typosquatting, fehlende Authentifizierung"
- AI-Override: Verdict: MALICIOUS (trotz niedrigem numerischem Score)
📤 Automatische Reaktion:
- ✅ HTML-Report generiert mit roter Warnung
- ✅ E-Mail an SOC mit Verdict: 🔴 MALICIOUS
- ✅ MISP-Event erstellt mit Tags: phishing, banker, typosquatting, ceo-fraud
- ✅ IOCs geteilt: email-src, domain, urls
- ✅ Mail in "Processed" verschoben, Workflow-Tag: "review"
⏱️ Gesamtdauer: < 90 Sekunden vom Eingang bis zur SOC-Benachrichtigung
Szenario 2: Zero-Day Malware
📦 Eingehender Anhang:
Datei: Rechnung_2026_Q1.zip (Passwort: "infected")
Inhalt: invoice.exe (neue Banking-Trojaner-Variante, keine Signatures)
🔬 CAPEv2 Sandbox-Analyse:
- Automatische Entpackung: Passwort "infected" erkannt und angewendet
- VM-Auswahl: Windows 11 x64 VM gestartet
- Verhaltensanalyse (5 Minuten):
- Prozess-Injection in explorer.exe erkannt
- Registry-Änderung: Autostart-Mechanismus
- Network-Traffic: DNS-Query zu suspicious-c2.ru
- Filesystem: Dropped file in %APPDATA%
- API-Calls: CreateProcess, WriteProcessMemory, SetWindowsHookEx
- YARA-Matches: Banking-Trojaner-Patterns erkannt
- Ollama-Bewertung: "HIGH-Risk Malware, Banking-Trojaner, C2-Kommunikation"
📤 Automatische Reaktion:
- ✅ Detaillierter JSON-Report mit allen IOCs
- ✅ MISP-Event: Event #456 mit Hashes, C2-Domains, Registry-Keys
- ✅ IOC-Sharing mit CERT-Bund
- ✅ HTML-Report mit Prozess-Tree, Network-Graph, API-Calls
- ✅ Splunk-Alert für SOC-Eskalation
⏱️ Gesamtdauer: ~7 Minuten (5min Sandbox + 2min Reporting)
Szenario 3: Credential Harvesting Phishing
🎣 Phishing-Kampagne:
Betreff: "Aktion erforderlich: Ihr Gerät ist nicht mehr konform"
Sender: noreply@sec-admin.de
URL: https://sec-admin.de/verify-device
🔬 Multi-Layer-Analyse:
- URL-Scan via Tor:
- URLScan.io: Login-Formular erkannt
- Google Safe Browsing: Domain unbekannt (< 30 Tage alt)
- VirusTotal: 3/90 Engines markieren als Phishing
- Header-Analyse:
- SPF: pass (aber Domain ist neu)
- DKIM: fehlt
- DMARC: fehlt
- TLS-Routing: Ungewöhnliche Mail-Server-Kette
- Content-Analyse:
- Urgency-Score: HIGH ("sofortige Aktion erforderlich")
- Banking-Keywords: "ING", "Gerät", "Compliance"
- Formular-Detektion: Login-Credentials abgefragt
- Ollama-AI: "Risikobewertung: HIGH - Credential Harvesting, Dringlichkeit, fehlende Auth"
📤 MISP-Event:
- Info: [Phishing] Aktion erforderlich: Ihr Gerät ist nicht mehr konform
- Tags: phishing, credential-theft, banker, type:OSINT
- Attributes:
- email-src: noreply@[removed].de
- url: https://[removed]/verify-device (IDS: false, Risk: 85/100)
- domain: [removed].de
- ip-src: xx.xx.xx.xx
- Workflow: state="incomplete", todo="review"
ROI & Business Value
Kosteneinsparungen
| Prozess | Manuell (bisherig) | Automatisiert (neu) | Einsparung | |---------|-------------------|---------------------|------------| | Malware-Analyse (einfach) | 2-4 Stunden (Level 2 Analyst) | < 2 Minuten (automatisch) | 99% Zeitersparnis | | Phishing-Bewertung | 15-30 Minuten (Level 2 Analyst) | < 90 Sekunden (AI-gestützt) | 95% Zeitersparnis | | Threat Intelligence Sharing | 1 Stunde (manuelle MISP-Eingabe) | Automatisch (integriert) | 100% Zeitersparnis | | Report-Erstellung | 30-60 Minuten (Word/Excel) | Automatisch (HTML/JSON) | 100% Zeitersparnis |
Quantifizierbare Vorteile
| Metrik | Wert | |--------|------| | Analyst-Zeit gespart pro Woche | ~40h | | Jährliche Einsparung (Personalkosten) | €120.000 | | Verfügbarkeit | 24/7 (keine Urlaubsvertretung) | | Fehlende Zero-Day-Detections | 0 |
Qualitative Vorteile
- Konsistente Qualität: Jede Analyse folgt exakt demselben Standard (keine menschlichen Fehler)
- Skalierbarkeit: Automatische Verarbeitung von 100+ Mails/Tag ohne zusätzliche Ressourcen
- Reaktionszeit: Von Stunden auf Minuten reduziert → Schnellere Incident Response
- Compliance: Vollständige Audit-Trails für Prüfungen (BaFin, externe Auditoren)
- Threat Intelligence: Automatisches Sharing mit CERT-Bund → Beitrag zur Community-Sicherheit
- Wissensspeicherung: Alle Analysen historisch verfügbar (nicht abhängig von Mitarbeiter-Wissen)
TCO (Total Cost of Ownership)
💰 Einmalige Kosten (Setup):
- Hardware: 2x Server (ESXi für VMs) → ~€8.000
- Lizenzen: Alle Komponenten Open Source → €0
- Implementation: 40h Entwicklung/Konfiguration → ~€8.000
- Total Setup: ~€16.000
💳 Laufende Kosten (jährlich):
- Wartung/Updates: 10h/Monat → ~€24.000/Jahr
- Strom/Hosting: ~€2.000/Jahr
- Total Betrieb: ~€26.000/Jahr
🎯 ROI-Berechnung (3 Jahre):
- Kosten: €16k (Setup) + 3 × €26k (Betrieb) = €94.000
- Einsparungen: 3 × €120k (Personalkosten) = €360.000
- Net Benefit: €266.000
- ROI: 283% über 3 Jahre
Risikominimierung
- False Negative Reduction: Zero-Day-Malware wird durch Verhaltensanalyse erkannt (keine Abhängigkeit von Signatures)
- Reputation Protection: Phishing-Mails werden erkannt bevor sie eskalieren (CEO-Fraud-Prevention)
- Data Breach Prevention: Credential-Harvesting wird automatisch identifiziert
- Regulatory Risk: Vollständige Compliance mit MaRisk/BAIT/DORA reduziert Prüfungs-Risiken
Technische Details
Technology Stack
- Python 3.12
- CAPEv2
- Ollama (Qwen2.5)
- MISP 2.5.31
- PostgreSQL
- KVM/libvirt
- INetSim
- Tor
- YARA
- Splunk
- nginx (TLS 1.3)
- fail2ban
CAPEv2 Configuration
VM-Setup:
- Windows 11 x64: Hauptanalyse-VM für moderne Malware
- Windows 10 x64: Kompatibilität mit Win10-spezifischer Malware
- Windows 7 x32: Legacy-Malware, 32-bit Samples
Isolation: Overlay-Disk-Technologie → Jede Analyse startet mit sauberem Snapshot
Network: INetSim simuliert Internet (DNS, HTTP, SMTP) ohne echte Connectivity
Monitoring: Sysmon, Procmon, API-Hooking für vollständige Visibility
Ollama LLM Prompt-Engineering
Prompt-Struktur (Auszug):
Du bist ein ITSO Level 3 Security Analyst einer deutschen Bank.
KONTEXT:
- E-Mail-Header: {spf, dkim, dmarc, originating_ip}
- URLs: {url_analyses mit OSINT-Scores}
- Content: {urgency_indicators, ceo_fraud_indicators}
- Mail-Routing: {tls_versions, ciphers, arc_headers}
BANKING-SPEZIFISCHE RISIKEN:
1. CEO-Fraud / BEC
2. Wire Transfer Fraud
3. Credential Harvesting
4. Typosquatting (deutsche-baink.de)
5. IBAN/SWIFT-Missbrauch
AUFGABE:
Analysiere die E-Mail und bewerte nach:
- Header-Authentizität (SPF/DKIM/DMARC)
- Absender-Legitimität
- URL-Verdächtigkeit
- Social Engineering Taktiken
- Banking-spezifische Risiken
Gib eine Risikobewertung: LOW / MEDIUM / HIGH / CRITICAL
Begründung in deutsch, max. 500 Wörter.
MISP API Integration
Event-Creation (Python):
from pymisp import PyMISP, MISPEvent, MISPAttribute
# MISP Connection
misp = PyMISP(url='https://xx.xx.xx.xx', key=API_KEY, ssl=False)
# Event erstellen
event = MISPEvent()
event.info = f"[Phishing] {subject}"
event.distribution = 0 # Your org only
event.threat_level_id = 1 # High
event.analysis = 1 # Ongoing
# Ollama-Bewertung als Beschreibung
event.add_attribute('comment', ollama_analysis)
# Tags
event.add_tag('tlp:amber')
event.add_tag('phishing')
event.add_tag('workflow:todo="review"')
# IOCs
event.add_attribute('email-src', sender_email)
event.add_attribute('ip-src', originating_ip)
event.add_attribute('url', suspicious_url, comment=f'Risk: {risk_score}/100')
# Upload
misp.add_event(event)
Network Architecture
┌────────────────────────────────────────────────────────────┐
│ PRODUCTION NETWORK │
│ (xx.10.0.0/24) │
│ │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ MISP Server │ │ CAPE Server │ │ Mail Gateway │ │
│ │ xx.10.0.215 │ │ xx.10.0.113 │ │ xx.1.1.11 │ │
│ │ (Docker) │ │ (Ubuntu) │ │ (Axigen) │ │
│ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ │
│ │ │ │ │
│ └───────────────────┴───────────────────┘ │
│ │ │
└─────────────────────────────┼──────────────────────────────┘
│
┌─────────┴─────────┐
│ FIREWALL/NAT │
└─────────┬─────────┘
│
┌─────────────────────────────┼──────────────────────────────┐
│ ISOLATED ANALYSIS NETWORK │
│ (192.168.100.0/24) │
│ │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ Win11 VM #1 │ │ Win10 VM #2 │ │ Win7 VM #3 │ │
│ │ NO INTERNET │ │ NO INTERNET │ │ NO INTERNET │ │
│ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ │
│ │ │ │ │
│ └───────────────────┴───────────────────┘ │
│ │ │
│ ┌────────┴────────┐ │
│ │ INetSim │ │
│ │ (DNS/HTTP/SMTP) │ │
│ └─────────────────┘ │
│ │
│ → Keine direkte Internet-Connectivity │
│ → Alle Network-Requests gehen zu INetSim │
│ → Malware kann NICHT exfiltrieren │
└────────────────────────────────────────────────────────────┘
Security Hardening
- TLS 1.3 only: Alle Web-Interfaces (MISP, CAPE)
- Fail2ban: Brute-Force-Protection auf SSH/Web-Logins
- Rate Limiting: nginx-basiert für API-Endpoints
- Network Isolation: Analyse-VMs haben KEINE Internet-Connectivity
- Access Control: RBAC in MISP, cape-User mit minimalen Privilegien
- Logging: Vollständig → /var/log + Splunk-Forward
- Encryption at Rest: PostgreSQL-Daten verschlüsselt (LUKS)
Performance-Metriken
| Metrik | Wert | Notizen | |--------|------|---------| | Malware-Analyse (CAPEv2) | 5-7 Minuten | 5min Sandbox-Runtime + 2min Reporting | | Phishing-Analyse (Ollama) | 30-90 Sekunden | Abhängig von URL-Anzahl (Tor-Requests) | | OSINT-Lookups | ~15 Sekunden | 10 parallele API-Calls | | MISP-Event-Erstellung | < 2 Sekunden | API-Call + IOC-Upload | | Throughput | ~120 Analysen/Tag | 24/7 automatisch, keine Warteschlangen |
Deployment-Anforderungen
Hardware-Spezifikationen:
- CAPE-Server: 32 CPU-Cores, 64GB RAM, 500GB SSD (für VMs)
- MISP-Server: 8 CPU-Cores, 16GB RAM, 200GB SSD
- Netzwerk: 1Gbit/s intern, isoliertes Analyse-Netzwerk
Software-Dependencies:
- Ubuntu 24.04 LTS (CAPE) / RHEL8 (MISP)
- KVM/libvirt für Virtualisierung
- Docker & Docker-Compose (MISP)
- Python 3.12 + venv
- PostgreSQL 14+
- nginx 1.24+
Installation:
- Setup-Zeit: ~8 Stunden (inkl. VM-Images, Configuration, Testing)
- Dokumentation: Vollständige Ansible-Playbooks + Step-by-Step Guides verfügbar
Monitoring & Alerting
- System-Health: Cockpit Web-UI für CPU/RAM/Disk-Monitoring
- Service-Status: systemd-Checks (cape, cape-processor, cape-mailer.timer)
- Disk-Space: Automatische Cleanup-Jobs für alte Analysen (>30 Tage)
- Alerts: Pushover Mobile-Notifications für HIGH/CRITICAL Phishing
- Logs: Zentral in /var/log + Forward zu Splunk
Kontakt
🎯 Interessiert?
- Live-Analyse einer Phishing-Mail (< 90 Sekunden)
- Zero-Day Malware-Detection in der Sandbox
- MISP Threat Intelligence Sharing
- Integration in Ihre bestehende SOC-Infrastruktur
Proof of Concept Status
| Metrik | Wert | |--------|------| | Tage in Production | 30+ | | Analysen durchgeführt | 250+ | | Phishing-Erkennungsrate | 95% | | False Negatives | 0 |
📧 Kontakt
E-Mail: Demo anfragen
Nächste Schritte
- Kick-off Meeting: Vorstellung der Plattform, Use-Case-Diskussion (1h)
- POC-Setup: Installation in Ihrer Testumgebung (1-2 Tage)
- Pilot-Phase: 30 Tage Live-Betrieb mit echten Samples (begleitend)
- Evaluation: ROI-Analyse, Compliance-Review, Go/No-Go (1 Woche)
- Production-Rollout: Migration in Production-Umgebung (1 Woche)
⚠️ Hinweis zur Vertraulichkeit
Alle Analysen und Daten verbleiben in Ihrer Infrastruktur. Keine Cloud-Services, keine externen Dependencies (außer opt-in OSINT-Lookups die jedoch schon über eine .onion-Verbindung zur Untersdrückung der Quell-IP erfolgen). Vollständige Datenkontrolle gemäß DSGVO und Banking-Secrecy-Anforderungen.
Über dieses Projekt
Entwickelt von: SOC Team, IT-Sicherheit Technologie: Open Source (CAPEv2, Ollama, MISP, Python)
Compliance: MaRisk AT 7.2, BAIT, DORA, ISO 27001
Status: Production-Ready POC seit Januar 2026
Disclaimer: Diese Webseite dient als Proof of Concept Dokumentation. Alle technischen Details entsprechen dem tatsächlichen Implementierungsstand per Januar 2026.
© 2026 · Automated Threat Intelligence Platform · All Rights Reserved