Indikatoren für eine Kompromittierung (IOCs): Arten, Beispiele, Erkennung und Reaktion

Mai 19, 2026
Kaseya
Reaktion auf Vorfälle, Erkennung von Bedrohungen, Bedrohungen

Wenn sich ein Angreifer in Ihrer Umgebung bewegt, hinterlässt er Spuren. Eine Datei, die an einem ungewöhnlichen Speicherort abgelegt wurde. Eine ausgehende Verbindung zu einer IP-Adresse, mit der kein legitimer Prozess Kontakt aufnehmen sollte. Eine Anmeldung aus einem Land, in dem Sie keine Mitarbeiter haben. Dies sind Indikatoren für eine Kompromittierung (IOCs): digitale Hinweise darauf, dass ein System oder Netzwerk kompromittiert wurde oder dass gerade ein Angriff stattfindet.

Für Sicherheitsteams und MSPs sind IOCs eines der wichtigsten Instrumente zur Erkennung von Bedrohungen, die bereits die Perimeter-Sicherheit überwunden haben. Tools wie Datto EDR, Kaseya SIEM und Kaseya MDR sind genau darauf ausgelegt: IOCs in Ihrer gesamten Umgebung zu erkennen und darauf koordiniert zu reagieren, bevor sich der Schaden ausbreitet.

Was sind Anzeichen für eine Kompromittierung?

Indikatoren für eine Kompromittierung (IOCs) sind digitale forensische Beweise, die darauf hindeuten, dass auf ein System, einen Endpunkt oder ein Netzwerk unbefugt zugegriffen wurde, dass diese mit Malware infiziert wurden oder dass sie einem Angriff ausgesetzt waren. Der Begriff „Kompromittierung“ ist bewusst gewählt: Wenn die meisten IOCs identifiziert werden, hat ein Einbruch bereits stattgefunden oder ist gerade im Gange.

IOCs können Indizien sein, die aus Protokollen, dem Netzwerkverkehr, Dateisystemen oder Endpunkt-Telemetriedaten gewonnen werden. Dazu gehören bestimmte Datei-Hashes, die mit bekannter Malware in Verbindung stehen, IP-Adressen oder Domains, die für die Befehls- und Kontrollkommunikation genutzt werden, Änderungen an Registrierungsschlüsseln, ungewöhnliches Prozessverhalten sowie Authentifizierungsmuster, die auf den Diebstahl von Anmeldedaten hindeuten.

Sicherheitsteams nutzen IOCs auf zwei Arten. Reaktiv suchen Analysten, nachdem ein verdächtiges Ereignis gemeldet wurde, nach IOCs, um zu verstehen, was passiert ist, den Weg des Angreifers nachzuvollziehen und das Ausmaß des Vorfalls zu ermitteln. Proaktiv speisen Teams bekannte IOCs in Erkennungstools ein, sodass automatisch ein Alarm ausgelöst wird, sobald dieselben Artefakte erneut auftreten. Diese zweite Anwendungsweise macht Threat-Intelligence-Feeds und den Austausch von IOCs so wertvoll.

Man sollte sich über eine Einschränkung im Klaren sein: Die Erkennung von IOCs ist naturgemäß rückblickend. Wenn Ihre Tools ein IOC gefunden haben, ist bereits etwas schiefgelaufen. Das Ziel einer guten IOC-Überwachung besteht darin, die Zeitspanne zwischen dem Zeitpunkt der Kompromittierung und ihrer Erkennung zu verkürzen, denn genau in dieser Zeitspanne agieren die Angreifer.

Indikatoren für Kompromittierung vs. Indikatoren für Angriffe (IOAs): Worin besteht der Unterschied?

Ein Indikator für eine Kompromittierung ist ein Hinweis darauf, dass bereits etwas Schlimmes passiert ist. Er basiert auf konkreten Spuren: einem Datei-Hash, einem Registrierungsschlüssel, einem Domainnamen oder einer IP-Adresse. IOCs sind spezifisch und statisch.

Ein Angriffsindikator konzentriert sich eher auf das Verhalten als auf Artefakte. IOAs beschreiben die Techniken und Aktionen, die ein Angreifer einsetzt, unabhängig von den spezifischen Tools, die er verwendet. Ein Prozess, der einen Unterprozess erzeugt, der eine Netzwerkverbindung herstellt, ist ein IOA-Muster. Dies kann durch bekannte Malware oder durch eine völlig neue Bedrohung ausgelöst werden, die noch nie katalogisiert wurde. IOAs sind umfassender und widerstandsfähiger gegen Umgehungsversuche, da eine Änderung des Datei-Hashs das zugrunde liegende Verhalten nicht verändert.

In der Praxis setzen ausgereifte Sicherheitsabteilungen beides ein. IOCs erkennen bekannte Bedrohungen schnell. IOAs decken neuartige Angriffe und raffinierte Angreifer auf, die ihre Tools gezielt so gestalten, dass sie nicht mit bekannten IOC-Datenbanken übereinstimmen.

Arten von Anzeichen für eine Kompromittierung

IOCs werden anhand ihrer Herkunft und ihres Inhalts in vier Kategorien unterteilt.

Netzwerkbasierte IOCs

Netzwerk-IOCs sind Indikatoren, die mit verdächtigen oder böswilligen Netzwerkaktivitäten in Verbindung stehen. Dazu gehören IP-Adressen, die mit der Infrastruktur von Angreifern verknüpft sind, Domains, die für die Command-and-Control-Kommunikation (C2) genutzt werden, ungewöhnliche Muster im ausgehenden Datenverkehr sowie DNS-Abfragen für Domains, die nicht zu legitimen Diensten gehören.

Da Netzwerk-IOCs häufig auf aktive Kommunikation mit einer vom Angreifer kontrollierten Infrastruktur hindeuten, ist es wichtig, sie schnell zu erkennen. Ein Endgerät, das kompromittiert wurde, aber noch keine Daten abgezogen hat, kann noch eingedämmt werden, wenn die ausgehende C2-Verbindung zuerst abgefangen wird.

Host-basierte IOCs

Hostbasierte IOCs finden sich auf einzelnen Endgeräten und Systemen. Dazu gehören unerwartete Änderungen an Registrierungsschlüsseln oder Systemdateien, neue Prozesse, die unter ungewöhnlichen übergeordneten Prozessen laufen, Änderungen an geplanten Aufgaben oder Start-Einträgen, Dateien, die an Orten erscheinen, an denen keine legitime Software Daten speichert, sowie unbefugte Änderungen an Benutzerberechtigungen.

EDR-Tools sind das wichtigste Mittel zur Erkennung von hostbasierten IOCs, da sie auf Agent-Ebene Einblick in alle Vorgänge auf dem Gerät bieten – jeden Prozessstart, jeden Dateischreibvorgang, jede Änderung der Registrierungsdatenbank. Diese Telemetriedaten ermöglichen es, dateilose Malware und „Living-off-the-Land“-Angriffe zu erkennen, die zwar keine Dateien auf der Festplatte hinterlassen, aber dennoch Verhaltensspuren hinterlassen.

Dateibasierte IOCs

Dateibasierte IOCs sind spezifische Merkmale, die mit bekannten schädlichen Dateien in Verbindung stehen. Die gängigste Form ist ein kryptografischer Hash (MD5, SHA-1 oder SHA-256), der eine Datei eindeutig identifiziert. Stimmt ein Hash mit einem Hash überein, der bekannter Malware zugeordnet ist, ist dies ein deutlicher Hinweis darauf, dass die Datei schädlich ist, unabhängig davon, wie sie umbenannt wurde.

Zu den weiteren dateibasierten IOCs zählen Dateinamen und Pfade, die von bekannten Malware-Familien verwendet werden, sowie Angaben zu digitalen Zertifikaten aus signierter Malware. Dateibasierte IOCs lassen sich schnell überprüfen und einfach weitergeben, weshalb sie den Großteil der Daten in Threat-Intelligence-Feeds ausmachen. Ihre Schwäche besteht darin, dass sie durch eine Neukompilierung des Codes, die den Hash-Wert verändert, leicht umgangen werden können.

Verhaltensbasierte Indikatoren

Verhaltensbezogene IOCs beschreiben Aktivitätsmuster, die von festgelegten Referenzwerten abweichen, unabhängig davon, um welche Dateien oder Artefakte es sich konkret handelt. Mehrere fehlgeschlagene Anmeldeversuche bei verschiedenen Konten innerhalb kurzer Zeit, ein Benutzerkonto, das auf Dateifreigaben zugreift, auf die es zuvor noch nie zugegriffen hat, oder große Datenmengen, die von einem einzelnen Benutzer aus einer Datenbank ausgelesen werden – all dies sind verhaltensbezogene IOCs.

Verhaltensbasierte IOCs erfordern eine etablierte Basislinie, um aussagekräftig zu sein. SIEM-Plattformen und UEBA-Tools (User and Entity Behavior Analytics) erstellen diese Basislinien im Laufe der Zeit und kennzeichnen Abweichungen automatisch, wodurch sie besonders effektiv bei der Erkennung von Bedrohungen sind, die bewusst vermeiden, mit bekannten IOC-Signaturen übereinzustimmen.

Beispiele für gängige Anzeichen einer Kompromittierung

Wenn man weiß, wie IOCs in der Praxis aussehen, können Sicherheitsteams besser erkennen, worauf sie achten müssen. Zu den häufigsten Beispielen gehören:

  • Ungewöhnliche Anmeldeaktivitäten: Mehrere fehlgeschlagene Anmeldeversuche bei verschiedenen Konten von derselben IP-Adresse, eine erfolgreiche Anmeldung von einem unerwarteten Standort oder einem Gerät, das zuvor noch nie auf das Konto zugegriffen hat, sowie Anmeldungen zu ungewöhnlichen Zeiten deuten allesamt auf einen möglichen Diebstahl von Zugangsdaten oder unbefugten Zugriff hin.
  • Ungewöhnlicher ausgehender Datenverkehr: Wenn ein Gerät plötzlich große Datenmengen an externe Ziele überträgt, mit denen es zuvor noch nie kommuniziert hat, oder Datenverkehr an bekannte bösartige IP-Bereiche sendet, deutet dies auf einen möglichen Datenabfluss hin. Datenverkehr, der in regelmäßigen, zeitlich festgelegten Abständen gesendet wird, ist oft ein Hinweis auf die Kommunikation mit einer C2-Infrastruktur.
  • Unerwartete Prozesse oder Software: Prozesse, die aus temporären Verzeichnissen ausgeführt werden, nicht signierte ausführbare Dateien an Orten, an denen sich Software normalerweise nicht befindet, sowie Fernzugriffstools, die auf Produktionsrechnern nichts zu suchen haben, sollten alle genauer untersucht werden. Geplante Aufgaben oder Einträge im Autostart, die ohne entsprechende Änderungsanforderung aufgetaucht sind, können auf eine Persistenz des Angreifers hindeuten.
  • Verdächtige Änderungen an der Registrierungsdatenbank: Angreifer ändern Registrierungsschlüssel, um ihre Persistenz aufrechtzuerhalten, Sicherheitstools zu deaktivieren oder das Systemverhalten zu verändern. Änderungen an Autostart-Schlüsseln oder Dienstkonfigurationen ohne entsprechendes Änderungs-Ticket gelten als eindeutige hostbasierte Indikatoren für eine Kompromittierung (IOCs).
  • DNS-Anomalien: Ein hohes Aufkommen an DNS-Anfragen an eine einzelne Domain, Anfragen an neu registrierte oder algorithmisch generierte Domains (eine Technik, die als „Domain Generation Algorithms“ oder DGA bezeichnet wird) sowie Abfragen bekannter bösartiger Domains deuten allesamt auf eine mögliche Kompromittierung des Netzwerks hin.
  • Unbefugte Konfigurationsänderungen: Geänderte Firewall-Regeln zur Öffnung eingehender Ports, die unbefugte Einrichtung neuer Administratorkonten sowie die Deaktivierung oder Deinstallation von Sicherheitssoftware stellen allesamt Indikatoren für eine Sicherheitsbedrohung dar, die eine sofortige Untersuchung erfordern.

Wie IOCs bei der Reaktion auf Sicherheitsvorfälle eingesetzt werden

Die Erkennung von IOCs ist dann am wertvollsten, wenn sie mit einem Reaktionsablauf verknüpft ist. Ein IOC zu finden, ohne umgehend darauf zu reagieren, ist nur geringfügig besser, als es gar nicht zu finden.

In der Praxis folgt die IOC-gesteuerte Incident Response einem einheitlichen Muster. Ein Alarm wird ausgelöst, wenn ein bekanntes IOC abgeglichen wird oder ein anomales Verhalten einen Schwellenwert überschreitet. Ein Analyst prüft, ob es sich um eine echte Bedrohung handelt. Wird dies bestätigt, wird der Umfang ermittelt: Welche Systeme sind betroffen, auf welche Daten wurde möglicherweise zugegriffen und wie ist der Angreifer eingedrungen? Anschließend erfolgt die Eindämmung, bei der Endpunkte isoliert oder verdächtige Verbindungen blockiert werden. Im Rahmen der Behebung werden schädliche Artefakte entfernt und der Zugangsweg geschlossen. Schließlich werden die während der Untersuchung gesammelten IOCs zu den Erkennungsregeln hinzugefügt, damit dasselbe Muster beim nächsten Mal schneller erkannt wird.

Geschwindigkeit ist in jeder Phase entscheidend. Der „Unit 42 Global Incident Response Report 2026“ hat ergeben, dass die schnellsten Angriffe bereits innerhalb von 72 Minuten nach dem ersten Zugriff zum Abfluss von Daten führen. Unternehmen mit automatisierter IOC-Erkennung und -Eindämmung schließen Vorfälle durchweg schneller ab als solche, die auf manuelle Überprüfungen angewiesen sind.

Tools zur Korrelation von Bedrohungen und zur Erkennung von IOCs

Es gibt verschiedene Kategorien von Sicherheitstechnologien, die speziell auf die Erkennung und Reaktion auf IOCs ausgerichtet sind.

Sicherheitsinformations- und Ereignismanagement (SIEM)

SIEM ist das wichtigste Werkzeug zur Korrelation von IOCs in einer gesamten Umgebung. Ein SIEM erfasst Protokoll- und Ereignisdaten aus dem gesamten IT-Stack, wendet Korrelationsregeln an, um Muster zu identifizieren, die mit bekannten IOCs oder verdächtigen Verhaltensweisen übereinstimmen, und generiert priorisierte Warnmeldungen. Da ein SIEM Daten aus mehreren Quellen gleichzeitig erfasst, verknüpft es Ereignisse, die für sich genommen unauffällig erscheinen würden: Ein fehlgeschlagener Anmeldeversuch, gefolgt von einer erfolgreichen Anmeldung über eine andere IP-Adresse, gefolgt vom Zugriff dieses Benutzers auf eine Dateifreigabe, die er noch nie zuvor genutzt hat, wird zu einem korrelierten Vorfall und nicht zu drei separaten Warnmeldungen mit niedriger Priorität.

Endpoint Detection and Response (EDR)

EDR-Tools überwachen einzelne Endgeräte in Echtzeit auf hostbasierte und verhaltensbasierte IOCs. Sie erfassen detaillierte Telemetriedaten, gleichen das Verhalten mit Bedrohungsbibliotheken und IOC-Datenbanken ab und unterstützen automatisierte oder von Analysten gesteuerte Reaktionen, darunter Isolierung, Prozessbeendigung und Dateiquarantäne.

Managed Detection and Response (MDR)

MDR-Dienste ergänzen SIEM- und EDR-Technologien um eine Analyseebene. Anstatt die Triage und Untersuchung von IOCs den internen Mitarbeitern zu überlassen, überwachen MDR-Anbieter die Systeme kontinuierlich und reagieren im Namen des Kunden auf bestätigte Bedrohungen. Für Unternehmen ohne einen rund um die Uhr verfügbaren Sicherheitsbetrieb ist MDR das Mittel, das die Erkennung von IOCs in operative Maßnahmen umsetzt.

Cloud Detection and Response (CDR)

Da sich immer mehr Geschäftsaktivitäten auf Plattformen wie Microsoft 365 und Google Workspace verlagern, sind cloudbasierte IOCs zu einem wesentlichen Bestandteil des Bedrohungsbildes geworden. CDR-Tools erweitern die IOC-Erkennung auf SaaS-Umgebungen und kennzeichnen Signale wie ungewöhnliche OAuth-App-Berechtigungen, Anmeldungen von unwahrscheinlichen Standorten, Massen-Dateidownloads und unbefugte Änderungen an Cloud-Tenant-Konfigurationen.

Plattformen für Bedrohungsinformationen

Threat-Intelligence-Plattformen sammeln IOC-Daten aus weltweiten Feeds, behördlichen Warnmeldungen, Forschungsergebnissen von Anbietern und Beiträgen der Community. Sie ergänzen Warnmeldungen um Kontextinformationen darüber, womit eine bestimmte IP-Adresse, Domain oder Datei-Hash in Verbindung gebracht wird, welche Angreifergruppen sie nutzen und wie aktuell ihr Auftreten in aktiven Kampagnen ist. So helfen sie Analysten dabei, Prioritäten für ihre Untersuchungen zu setzen.

Wie Kaseya Teams dabei unterstützt, Indikatoren für Kompromittierung (IOCs) zu erkennen und darauf zu reagieren

Die Sicherheitsplattform von Kaseya ist darauf ausgelegt, Indikatoren für Kompromittierung (IOCs) über die gesamte Angriffsfläche hinweg zu erkennen und die Erkennung mit einer schnellen, koordinierten Reaktion zu verknüpfen – speziell für MSPs und kleine IT-Teams ohne umfangreiche interne Sicherheitsabteilung.

Kaseya SIEM erfasst Telemetriedaten aus über 60 Datenquellen, korreliert Übereinstimmungen mit Indikatoren für Kompromittierung (IOCs) und verdächtige Verhaltensmuster über Endgeräte, Identitäten, Netzwerke und die Cloud hinweg und speichert Protokolle 400 Tage lang, um forensische Untersuchungen zu unterstützen. Automatisierte Reaktionsregeln können sofort greifen, sobald IOCs bestätigt werden, und ohne manuellen Eingriff Konten sperren, Geräte isolieren und ablaufende Sitzungen kennzeichnen.

Datto EDR überwacht Endgeräte in Echtzeit auf hostbasierte und verhaltensbasierte IOCs, ordnet die Erkennungen dem MITRE ATT&CK-Framework zu, um Analysten sofort einen Kontext zu bieten, und bietet über 65 automatisierte Reaktionsmaßnahmen, darunter die Rückabwicklung von Ransomware-Angriffen.

Kaseya MDR stellt Sicherheitsanalysten mit Sitz in den USA zur Verfügung, die Ihre Umgebung rund um die Uhr überwachen, durch IOCs ausgelöste Warnmeldungen untersuchen und bei bestätigten Bedrohungen Maßnahmen zur Eindämmung ergreifen. Für Unternehmen, die eine 24/7-Reaktionsfähigkeit auf IOCs benötigen, ohne ein eigenes SOC aufbauen zu müssen, ist MDR die praktische Lösung.

SaaS Alerts erweitert die IOC-Erkennung auf Microsoft 365, Google Workspace und andere Cloud-Anwendungen. Teams können mithilfe von Ereignisauslösern und Filtern benutzerdefinierte IOC-Regeln festlegen, wobei Community-IOC-Vorlagen für gängige Bedrohungsmuster sofort einsatzbereit sind. SaaS Alerts direkt mit Kaseya SIEM SaaS Alerts , um eine plattformübergreifende Korrelation zu ermöglichen, wodurch Analysten an einem zentralen Ort einen einheitlichen Überblick über IOC-Aktivitäten an Endpunkten und in der Cloud erhalten. Zusammen bieten diese Tools MSPs und IT-Teams die Transparenz und Reaktionsfähigkeit, um auf IOCs in jeder Ebene der Umgebung zu reagieren, ohne dass ein dediziertes Security Operations Center erforderlich ist.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Kaseya State of the MSP Report 2026

Kaseya – MSP zur Lage der MSP 2026 – Webgrafik – 1200×800 – AKTUALISIERT

Erhalten Sie MSP-Einblicke für 2026 von über 1.000 Anbietern und erfahren Sie, wie Sie Ihren Umsatz steigern, sich an den Marktdruck anpassen und wettbewerbsfähig bleiben können.

Jetzt herunterladen

Kategorien entdecken

What is the cyber kill chain? Steps, examples and how to disrupt it

Learn what the cyber kill chain is, how its 7 steps work, a real-world example, how it compares to MITRE ATT&CK and how to use it to improve security.

Blogbeitrag lesen

IT-Notfallmanagement: Planung, Vorbereitung und Umsetzung im Falle einer Sicherheitsverletzung

Laut dem „Kaseya State of the MSP Report 2026“ geben 44 % der MSPs an, dass mindestens 10 % ihrer

Blogbeitrag lesen

Bedrohungsprävention: Wie man Cyberbedrohungen stoppt

Entdecken Sie häufige Cyberbedrohungen, bewährte Vorgehensweisen zur Prävention und erfahren Sie, wie RocketCyber Ihre Sicherheit durch Echtzeit-SOC-Überwachung und -Reaktion RocketCyber .

Blogbeitrag lesen