Indicators of Compromise (IoC)

Indicators of Compromise (IoC, oder im Deutschen auch „Kompromittierungsindikatoren“ genannt), gehören zu den wichtigsten IT-Security Indikatoren, sind digitalen Spuren, die Angreifer bei einem IT-Sicherheitsvorfall hinterlassen und helfen dabei, die Bedeutung von IOC besser zu verstehen. Sie beweisen nicht nur, dass ein Angriff stattgefunden hat, sondern auch, welches Ausmaß er hatte.

Indicators of Compromise (IoC für IT-Security) werden eingesetzt, um

• die Kompromittierung des Systems genau zu bestimmen,
• herauszufinden, welche Daten betroffen sind,
• die Schwere des IT-Sicherheitsvorfalls einzuschätzen,
• Hinweise zu sammeln, welche Angriffsflächen und Tools die Angreifer verwendet haben,
• die Strafverfolgung der Täter vorzubereiten,
• Schwachstellen im System offenlegen,
• und gezielte Gegenmaßnahmen zu identifizieren, um zukünftige Angriffe zu verhindern.

Spezielle Cybersecurity-Software, wie Anti-Malware- und Anti-Viren-Programme, erkennt und sammelt IoCs während eines laufenden Angriffs. Manche Systeme nutzen auch künstliche Intelligenz, um diese Indikatoren automatisch zu identifizieren.

Indicators of Compromise (IoC) in der Cybersecurity und Indicators of Attack (IoA), auch IT-Security Indikatoren auf Deutsch genannt, beziehen sich auf unterschiedliche Phasen eines IT-Sicherheitsvorfalls.

1. Phase: Der Angriff ist noch aktiv und muss eingedämmt werden.

In dieser Phase nutzen IT-Sicherheitsexperten Indicators of Attack (IoA), um einen aktuellen Angriff zu erkennen. Das Ziel ist hier zunächst, den Angriff zu stoppen und die Kompromittierung einzudämmen.

2. Phase: Der Angriff wurde erfolgreich gestoppt und muss nun ausgewertet werden.

Jetzt geht es darum, anhand von Indicators of Compromise (IoC) das Ausmaß des Angriffs festzustellen. Welche Daten sind betroffen? Wie groß ist die Kompromittierung? Welche Cybersecurity-Maßnahmen müssen nun ergriffen werden, um die Sicherheitslücken zu schließen, während IT-Security Indikatoren helfen, aktive Bedrohungen frühzeitig zu erkennen?

Der Unterschied zwischen IoC und IoA ist besonders bei gut getarnten Angriffen relevant. Denn manchmal ist Malware bereits monatelang in einem System aktiv, bis die Kompromittierung erkannt wird. Nicht immer lässt sich auf Anhieb unterscheiden, ob der Angriff in der Vergangenheit liegt oder noch anhält. Anhand von IoA lässt sich der Status eines Sicherheitsvorfalls feststellen.

• Ungewöhnlicher ausgehender Datenverkehr: Malware wird häufig verwendet, um Daten zu sammeln und an Server des Angreifers zu senden. Datenverkehr außerhalb der üblichen Geschäftszeiten oder zu verdächtigen IP-Adressen kann auf eine Kompromittierung hindeuten.
• Unregelmäßige Aktivität bei Benutzern mit hohen Berechtigungen: Angreifer zielen oft auf Konten mit hohen Sicherheitsstufen. Wenn ein solches Konto außerhalb der normalen Arbeitszeiten auf vertrauliche Daten zugreift oder selten verwendete Dateien herunterlädt, könnte dies auf gestohlene oder gefälschte Anmeldedaten hindeuten.
• Aktivität von einem ungewöhnlichen geografischen Standort: Bei den meisten Unternehmen stammt der Datenverkehr von einem primären Standort. Kommt Datenverkehr aus Ländern, in der das Unternehmen normalerweise nicht aktiv ist, kann dies auf einen Angriff hinweisen. Insbesondere staatlich gesponserte Angriffe, sogenannte Advanced Persistent Threats, kommen meist aus dem jeweiligen Land.
• Hohe Fehlerquote bei der Authentifizierung: Wenn ein Angreifer an Login-Informationen gelangt ist, aber nicht weiß, zu welchem Konto sie gehören (z.B. wenn nur das Passwort vorliegt), wird er viele Accounts durchprobieren, in der Hoffnung, den richtigen zu finden. Tauchen plötzlich viele fehlgeschlagene Authentifizierungsversuche auf, deutet dies auf den Versuch einer betrügerischen Kontenübernahme hin.
• Zunahme von Zugriffen auf die Datenbank: Egal, ob mithilfe von SQL-Injection oder über ein Admin-Konto auf eine Datenbank zugegriffen wurde: gab es einen Datenbank-Export, der nicht vom eigenen Team veranlasst wurde, kann das ein Zeichen dafür sein, dass Daten gestohlen wurden.
• Übermäßige Anfragen wichtiger Dateien: Ohne einen Account mit weitreichenden Berechtigungen ist ein Angreifer gezwungen, verschiedene Sicherheitslücken zu erkunden, um letztendlich eine Lücke zu finden, die den Zugriff auf sensible Dateien ermöglicht. Eine Häufung von Zugriffsversuchen von einer IP-Adresse oder aus derselben geografischen Region sollte überprüft werden.
• Verdächtige Konfigurationsänderungen: Die Veränderung von Konfigurationen an Dateien, Servern und Geräten kann einem Angreifer eine zweite Hintertür zum Netzwerk eröffnen. Solche Änderungen können auch erst Schwachstellen hinzufügen, die dann wiederum von Malware ausgenutzt werden kann.
• Eine Flut an Datenverkehr zu einer bestimmten Website oder einem bestimmten Standort: Eine Kompromittierung von Geräten kann diese in ein Botnet verwandeln. Ein Angreifer sendet dann ein Signal an das kompromittierte Gerät, um den Datenverkehr an ein bestimmtes Ziel zu lenken. Eine hohe Verkehrsaktivität von mehreren Geräten zu einer bestimmten IP-Adresse kann bedeuten, dass interne Geräte Teil eines Distributed Denial-of-Service-Netzwerk (DDoS-Netzwerk) sind.

Eine Kompromittierungkann anhand mehrerer dieser Indikatoren erkannt werden. Ein forensischer Ermittler analysiert die IoC-Beweise, um die ausgenutzte Schwachstelle zu identifizieren.

In großen Netzwerken können Tausende von IoCs untersucht werden. SIEM-Systeme (Security Information and Event Management) helfen, diese Indikatoren zu sammeln, zu kategorisieren und zu analysieren. Sie ermöglichen es auch, relevante von irrelevanten Indikatoren zu trennen.

Die Analyse von IoCs hilft, Schwachstellen zu erkennen und Sicherheitslücken zu schließen, was die Bedeutung von IoCs in der IT-Security unterstreicht. Der erste Schritt besteht darin, das Netzwerk des Unternehmens umfassend zu überwachen, um unentdeckte Angreifer zu vermeiden. Dies erfordert ordnungsgemäße Protokolle und Audit-Trails.

IoC-Datenpunkte können in Echtzeit gesammelt werden, was die Reaktionszeit auf Angriffe verkürzt und idealerweise das Ausmaß der Kompromittierung von Anfang an begrenzt. Zusammen mit einer guten, fortlaufend aktualisierten Verfahrensdokumentation für IT-Sicherheitsvorfälle kann eine Untersuchung so effizient und schnell wie möglich abgewickelt werden.

Der abschließende Schritt nach einem Sicherheitsvorfall ist die Analyse, welche Erkenntnisse gewonnen wurden und was das Team für zukünftige Vorfälle gelernt hat. Ein System wird nie zu 100 % sicher sein – denn das gibt es in der Cybersecurity nicht –, doch mithilfe der beschriebenen Maßnahmen lässt sich das Risiko deutlich minimieren. Je gründlicher ein Unternehmen dabei vorgeht, desto besser.