Ein Kompromittierungsindikator (Indicator of Compromise, IOC) ist in der digitalen Forensik ein Hinweis auf eine mögliche Kompromittierung eines Endgeräts oder Netzwerks. Genau wie physisches Beweismaterial helfen diese digitalen Hinweise IT-Sicherheitsexperten, böswillige Aktivitäten oder Sicherheitsbedrohungen wie Datenlecks, Insider-Bedrohungen oder Malware-Angriffe zu identifizieren.

Sicherheitsexperten können Kompromittierungsindikatoren nach dem Feststellen verdächtiger Aktivitäten manuell sammeln oder aber mithilfe von Funktionen zur Cybersicherheitsüberwachung automatisch erfassen. Diese Informationen können zum Eindämmen eines laufenden Angriffs, zum Beseitigen eines bestehenden Sicherheitsvorfalls sowie dazu genutzt werden, Tools „intelligenter“ zu machen, damit verdächtige Dateien künftig erkannt und isoliert werden.

Leider ist die IOC-basierte Überwachung immer ein reaktiver Ansatz: Wenn ein Unternehmen einen Indikator findet, wurde es höchstwahrscheinlich bereits kompromittiert. Bei einer laufenden Kompromittierung kann das schnelle Erkennen eines IOC jedoch helfen, den Angriff in einer früheren Phase des Angriffszyklus einzudämmen, sodass die Auswirkungen auf das Geschäft reduziert werden.

Je raffinierter Cyberkriminelle vorgehen, desto schwerer ist die Erkennung der Indikatoren. Die gängigsten IOCs (z. B. MD5-Hashes, C&C-Domänen oder hartkodierte IP-Adressen, Registrierungsschlüssel sowie Dateinamen) ändern sich ständig, was die Erkennung erschwert.

Featured Articles

Die 14 Häufigsten Cyberangriffe
IOAs und IOCs
Incident Response (IR)

Start your free trial now.

Total protection has never been easier. Take advantage of our free 15-day trial and explore the most popular solutions for your business:

  • Protect against malware with next-gen antivirus.
  • Get unrivaled visibility with USB device control.
  • Simplify your host firewall management.
  • Receive real-time insights with automated threat intelligence.
Request free trial