This is the Trace Id: 4701a8837ca6aca14a00dadabb13d337
Zu Hauptinhalt springen Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Alle Produkte anzeigen KI für Cybersicherheit Cloudsicherheit Datensicherheit und Governance Identitäten und Netzwerkzugriff Datenschutz und Risikomanagement Sicherheit für KI Kleine und mittelständische Unternehmen Einheitliche Sicherheitsabläufe (SecOps) Zero Trust Preise Dienste Partner Warum Microsoft Security Sensibilisierung für Cybersicherheit Kundenreferenzen Sicherheitsgrundlagen Produkttests Branchenecho Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security-Blog Microsoft Security-Veranstaltungen Microsoft Tech Community Dokumentation Technical Content Library Schulungen und Zertifizierungen Compliance Program for Microsoft Cloud Microsoft Trust Center Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub An den Vertrieb wenden Kostenlos testen Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft KI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva Quanten-Computing Bildung und Forschung Automobilbranche Finanzdienstleistungen Öffentlicher Sektor Gesundheitswesen Produktion Einzelhandel Partner finden Partner werden Partner-Netzwerk Microsoft Marketplace Softwareunternehmen Blog Microsoft Advertising Developer Center Dokumentation Veranstaltungen Lizenzierung Microsoft Learn Microsoft Research Siteübersicht anzeigen
Hier ist der gewünschte alternative Text, ohne das unkenntlich gemachte Gesicht zu erwähnen: **Alternativtext:** Eine Person, die in einem Serverraum ein Tablet in der Hand hält und ein Dashboard mit Diagrammen und Systemkennzahlen betrachtet, die auf dem Bildschirm angezeigt werden.

Was sind Kompromittierungsindikatoren (IoCs)?

Erfahren Sie, wie Sie Gefährdungsindikatoren überwachen, identifizieren, verwenden und darauf reagieren.
Microsoft Defender Threat Intelligence entdecken

Hinweise zu Kompromittierungsindikatoren

Ein Kompromittierungsindikator (IoC) ist Beweis dafür, dass jemand möglicherweise das Netzwerk oder den Endpunkt einer Organisation verletzt hat. Diese forensischen Daten weisen nicht nur auf eine potenzielle Bedrohung hin, sondern signalisieren auch, dass ein Angriff, z. B. durch Schadsoftware, kompromittierte Anmeldedaten oder Datenexfiltration, bereits stattgefunden hat. Sicherheitsexperten suchen nach IoCs in Ereignisprotokollen, Extended Detection and Response (XDR)-Lösungen und Security Information and Event Management (SIEM)-Lösungen. Während eines Angriffs verwendet das Team IoCs, um die Bedrohung zu beseitigen und Schäden zu minimieren. Nach der Wiederherstellung helfen IoCs dem Unternehmen, den Vorfall besser zu verstehen, sodass das Sicherheitsteam des Unternehmens die Sicherheit verbessern und das Risiko eines weiteren ähnlichen Vorfalls verringern kann.

Beispiele für IoCs

Bei der IoC-Sicherheit überwacht die IT-Abteilung die Umgebung auf die folgenden Anzeichen für einen Angriff:

Anomalien des Netzwerkdatenverkehrs

In den meisten Organisationen gibt es konsistente Muster für Netzwerkdatenverkehr, der in die digitale Umgebung ein- und ausgeht. Wenn sich dies ändert, z. B. wenn deutlich mehr Daten das Unternehmen verlassen oder wenn Aktivitäten von einem ungewöhnlichen Ort im Netzwerk ausgehen, kann dies ein Zeichen für einen Angriff sein.

Ungewöhnliche Anmeldeversuche

Ähnlich wie beim Netzwerkdatenverkehr sind die Arbeitsgewohnheiten der Menschen vorhersagbar. Sie melden sich in der Regel von den gleichen Standorten und ungefähr zu den gleichen Zeiten während der Woche an. Sicherheitsexperten können ein kompromittiertes Konto erkennen, indem sie auf Anmeldungen zu ungewöhnlichen Tageszeiten oder von ungewöhnlichen Orten aus achten, z. B. von einem Land aus, in dem ein Unternehmen keine Niederlassung hat. Es ist auch wichtig, mehrere fehlgeschlagene Anmeldungen aus demselben Konto zu notieren. Obwohl Benutzer in regelmäßigen Abständen ihre Kennwörter vergessen oder Probleme beim Anmelden haben, können sie diese in der Regel nach einigen Versuchen beheben. Wiederholte fehlgeschlagene Anmeldeversuche können darauf hinweisen, dass jemand versucht, mit einem gestohlenen Konto auf die Organisation zuzugreifen.

Privilegien von Konten

Viele Angreifer, egal ob es sich um interne oder externe Personen handelt, sind daran interessiert, auf administrative Konten zuzugreifen und sensible Daten zu erlangen. Ungewöhnliches Verhalten im Zusammenhang mit diesen Konten, wie z. B. der Versuch einer Person, ihre Privilegien zu erweitern, kann ein Anzeichen für einen Verstoß sein.

Änderungen an Systemkonfigurationen

Schadsoftware ist oft so programmiert, dass sie Änderungen an der Systemkonfiguration vornimmt, z. B. die Aktivierung des Fernzugriffs oder die Deaktivierung von Sicherheitssoftware. Durch die Überwachung dieser unerwarteten Konfigurationsänderungen können Sicherheitsexperten einen Verstoß erkennen, bevor zu viel Schaden entstanden ist.

Unerwartete Software-Installationen oder -Updates

Viele Angriffe beginnen mit der Installation von Software, z. B. Schadsoftware oder Ransomware, die darauf ausgelegt ist, den Zugriff auf Dateien zu verhindern oder Angreifern Zugriff auf das Netzwerk zu gewähren. Durch die Überwachung ungeplanter Softwareinstallationen und -aktualisierungen können Unternehmen diese IoCs schnell erkennen.

Mehrere Anforderungen für dieselbe Datei

Mehrere Anforderungen für eine einzelne Datei können darauf hindeuten, dass ein ungültiger Akteur versucht, sie zu stehlen, und hat mehrere Methoden versucht, darauf zuzugreifen.

Ungewöhnliche Anforderungen an Domain Name Systems

Einige böswillige Akteure verwenden eine Angriffsmethode namens „Command and Control“. Sie installieren Schadsoftware auf dem Server einer Organisation, die eine Verbindung mit einem Server herstellt, den sie besitzen. Sie senden dann Befehle von ihrem Server an den infizierten Computer, um Daten zu stehlen oder den Betrieb zu stören. Ungewöhnliche DNS-Anforderungen (Domain Name Systems) helfen der IT, diese Angriffe zu erkennen.

Identifizieren von IoCs

Die Anzeichen für einen digitalen Angriff werden in den Protokolldateien festgehalten. Im Rahmen der Cybersicherheit des IoCs überwachen die Teams die digitalen Systeme regelmäßig auf verdächtige Aktivitäten. Moderne SIEM- und XDR-Lösungen vereinfachen diesen Prozess mit KI und Algorithmen für maschinelles Lernen, die eine Basislinie für das, was im Unternehmen normal ist, festlegen und das Team dann bei Anomalien alarmieren. Es ist auch wichtig, Mitarbeiter außerhalb des Sicherheitsbereichs einzubeziehen, die verdächtige E-Mails erhalten oder versehentlich eine infizierte Datei herunterladen. Gute Sicherheitstrainingsprogramme helfen den Mitarbeitenden, kompromittierte E-Mails besser zu erkennen, und bieten ihnen die Möglichkeit, auffällige Vorfälle zu melden.

Warum IoCs wichtig sind

Die Überwachung von IoCs ist entscheidend, um das Sicherheitsrisiko einer Organisation zu reduzieren. Die frühzeitige Erkennung von IoCs ermöglicht es Sicherheitsteams, schnell auf Angriffe zu reagieren und diese zu beheben, wodurch Ausfallzeiten und Unterbrechungen reduziert werden. Die regelmäßige Überwachung bietet Teams auch einen besseren Einblick in organisatorische Sicherheitsrisiken, die dann entschärft werden können.

Reaktion auf Kompromittierungsindikatoren

Sobald Sicherheitsteams ein IoC identifiziert haben, müssen sie effektiv reagieren, um der Organisation so wenig Schaden wie möglich zuzufügen. Die folgenden Schritte helfen Organisationen, sich zu konzentrieren und Bedrohungen so schnell wie möglich zu stoppen:

Einrichten eines Plans zur Reaktion auf Vorfälle

Die Reaktion auf einen Vorfall ist stressig und zeitraubend, denn je länger die Angreifer unentdeckt bleiben, desto wahrscheinlicher ist es, dass sie ihre Ziele erreichen. Viele Unternehmen entwickeln einen Plan für die Reaktion auf Vorfälle, um die Teams in den kritischen Phasen einer Reaktion zu unterstützen. Der Plan beschreibt, wie die Organisation einen Vorfall definiert, welche Rollen und Verantwortlichkeiten bestehen, welche Schritte zur Behebung eines Vorfalls erforderlich sind und wie das Team mit Mitarbeitern und externen Interessengruppen kommunizieren soll.

Isolierung gefährdeter Systeme und Geräte

Sobald eine Organisation eine Bedrohung identifiziert hat, isoliert das Sicherheitsteam die angegriffenen Anwendungen oder Systeme schnell vom Rest des Netzwerks. Dadurch wird verhindert, dass Angreifer auf andere Unternehmensbereiche zugreifen können.

Forensische Analyse durchführen

Die forensische Analyse hilft Unternehmen, alle Aspekte einer Sicherheitsverletzung aufzudecken, einschließlich der Quelle, der Art des Angriffs und der Ziele des Angreifers. Die Analyse wird während des Angriffs durchgeführt, um das Ausmaß der Kompromittierung zu verstehen. Sobald sich die Organisation von dem Angriff erholt hat, helfen zusätzliche Analysen dem Team, mögliche Schwachstellen und andere Erkenntnisse zu verstehen.

Beseitigen der Bedrohung

Das Team entfernt den Angreifer und die Schadsoftware von den betroffenen Systemen und Ressourcen, was unter Umständen bedeutet, dass die Systeme vom Netz genommen werden.

Umsetzung von Sicherheits- und Prozessverbesserungen

Sobald sich die Organisation von dem Vorfall erholt hat, ist es wichtig, die Gründe für den Angriff zu ermitteln und zu prüfen, ob die Organisation etwas hätte tun können, um ihn zu verhindern. Es kann einfache Prozess- und Richtlinienverbesserungen geben, die das Risiko eines ähnlichen Angriffs in der Zukunft verringern, oder das Team kann längerfristige Lösungen identifizieren, die in eine Sicherheitsroadmap aufgenommen werden.



IoC-Lösungen

Die meisten Sicherheitsverletzungen hinterlassen eine forensische Spur in Protokolldateien und Systemen. Wenn Organisationen lernen, diese IoCs zu identifizieren und zu überwachen, können sie Angreifer schnell isolieren und ausschalten. Viele Teams wenden sich an SIEM-Lösungen wie Microsoft Sentinel und Microsoft Defender XDR, die KI und Automatisierung nutzen, um IoCs aufzuspüren und sie mit anderen Ereignissen zu korrelieren. Mit einem Notfallplan können die Teams Angriffen zuvorkommen und sie schnell abwehren. Im Bereich der Cybersicherheit gilt: Je schneller Unternehmen verstehen, was passiert, desto eher können sie einen Angriff stoppen, bevor er sie Geld kostet oder ihren Ruf schädigt. Die IoC-Sicherheit ist der Schlüssel zur Verringerung des Risikos einer kostspieligen Sicherheitsverletzung für Unternehmen.
Ressourcen

Weiterführende Informationen zu Microsoft Security

  1.
Ein Mann und eine Frau, die an einem Tisch sitzen. Die Frau schreibt in ein Buch und ein Laptop ist sichtbar.

Microsoft-Bedrohungsschutz

Erkennen Sie Vorfälle in Ihrem Unternehmen, und reagieren Sie mit aktuellem Bedrohungsschutz.
Mehr erfahren
Eine Person, die mit einem Laptop an einem Tisch sitzt.

Microsoft Sentinel

Vereinheitlichen Sie Sicherheitsdaten und Kontext, um eine agentenbasierte Verteidigung mit einer SIEM- und KI-nativen Plattform zu ermöglichen.
Mehr erfahren
Eine Frau, die auf ihr Mobiltelefon blickt.

Microsoft Defender XDR

Stoppen Sie Angriffe über Endpunkte, E-Mails, Identitäten, Anwendungen und Daten hinweg mithilfe von XDR-Lösungen.
Mehr erfahren
Eine Gruppe von drei Personen in einem hellen Büro, die lächeln und sich unterhalten, während sie auf einen Laptop blicken, der von einer Person gehalten wird.

Threat Intelligence-Community

Holen Sie sich die neuesten Updates aus der Microsoft Defender Threat Intelligence Community-Ausgabe.
Mehr erfahren
Zurück zum Abschnitt „Verwandte Produkte“
FAQ

Häufig gestellte Fragen

  • Es gibt mehrere Arten von IOCs. Einige der gängigsten sind:
    • Anomalien des Netzwerkdatenverkehrs
    • Ungewöhnliche Anmeldeversuche
    • Privilegien von Konten
    • Änderungen an Systemkonfigurationen
    • Unerwartete Software-Installationen oder -Updates
    • Mehrere Anforderungen für dieselbe Datei
    • Ungewöhnliche Anforderungen an Domain Name Systems
  • Ein Kompromittierungsindikator ist ein digitaler Beweis dafür, dass ein Angriff bereits stattgefunden hat. Ein Indikator für einen Angriff ist ein Hinweis darauf, dass ein Angriff wahrscheinlich ist. So ist beispielsweise eine Phishing-Kampagne ein Indikator für einen Angriff, weil es keinen Beweis dafür gibt, dass der Angreifer in das Unternehmen eingedrungen ist. Wenn jedoch jemand auf einen Phishing-Link klickt und Schadsoftware herunterlädt, ist die Installation der Schadsoftware ein Indikator für eine Gefährdung.
  • Anzeichen für eine Kompromittierung von E-Mails sind eine plötzliche Flut von Spam, seltsame Anhänge oder Links oder eine unerwartete E-Mail von einer bekannten Person. Wenn beispielsweise ein Mitarbeiter einem Kollegen eine E-Mail mit einem seltsamen Anhang schickt, kann dies ein Hinweis darauf sein, dass sein Konto kompromittiert wurde.
  • Es gibt mehrere Möglichkeiten, ein kompromittiertes System zu identifizieren. Eine Veränderung im Netzwerkverkehr eines bestimmten Computers könnte ein Hinweis darauf sein, dass er kompromittiert wurde. Wenn eine Person, die ein System normalerweise nicht braucht, regelmäßig darauf zugreift, ist das ein Warnsignal. Änderungen an den Systemkonfigurationen oder eine unerwartete Software-Installation können ebenfalls darauf hinweisen, dass das System kompromittiert wurde.
  • Drei Beispiele für IoCs sind:
    • Ein in Nordamerika ansässiges Benutzerkonto meldet sich von Europa aus bei Unternehmensressourcen an.
    • Tausende von Anforderungen über mehrere Benutzerkonten hinweg, was darauf hindeutet, dass die Organisation Opfer eines Brute-Force-Angriffs geworden ist.
    • Anforderungen für neue Domain Name Systems, die von einem neuen Host oder einem Land kommen, in dem Mitarbeiter und Kunden nicht ansässig sind.

Microsoft Security folgen

Surface Pro Surface Laptop Copilot für Organisationen Copilot für die private Nutzung Microsoft 365 Microsoft-Produkte erkunden Windows 11-Apps Kontoprofil Download Center Microsoft Store-Support Rückgaben Bestellnachverfolgung Abfallverwertung Weitere Informationen Microsoft Bildung Geräte für den Bildungsbereich Microsoft Teams for Education Microsoft 365 Education Office Education Ausbildung und Weiterbildung von Lehrpersonal Angebote für Studenten und Eltern Azure für Studenten
Microsoft KI Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft-Entwickler Microsoft Learn Support für KI-Apps im Marketplace Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Softwareunternehmen Visual Studio Jobs & Karriere Unternehmensnachrichten Datenschutz bei Microsoft Investoren
Deutsch (Schweiz) Verbraucherdatenschutz für Gesundheitsdaten An Microsoft wenden Impressum Datenschutz Cookies verwalten Nutzungsbedingungen Markenzeichen Informationen zu unserer Werbung