Indicators of Compromise (IoC)

Indicators of Compromise (IoC, oder im Deutschen auch „Kompromittierungsindikatoren“ genannt) sind die digitalen Spuren, die Angreifer bei einem IT-Sicherheitsvorfall hinterlassen. Sie beweisen nicht nur, dass ein Angriff stattgefunden hat, sondern auch, welches Ausmaß er hatte.

Indicators of Compromise (IoC für IT-Security) werden eingesetzt, um

• die Kompromittierung des Systems genau zu bestimmen,
• herauszufinden, welche Daten betroffen sind,
• die Schwere des IT-Sicherheitsvorfalls einzuschätzen,
• Hinweise zu sammeln, welche Angriffsflächen und Tools die Angreifer verwendet haben,
• die Strafverfolgung der Täter vorzubereiten,
• Schwachstellen im System offenlegen,
• und gezielte Gegenmaßnahmen zu identifizieren, um zukünftige Angriffe zu verhindern.

Es gibt spezielle Cybersecurity-Software, z.B. Anti-Malware- und Anti-Viren-Systeme, die Indicators of Compromise erkennen und sammeln, während sie auf einen laufenden Angriff reagieren. Teilweise kommen auch Tools zum Einsatz, die mit künstlicher Intelligenz arbeiten.

Indicators of Compromise (IoC) in der Cybersecurity und Indicators of Attack (IoA) beziehen sich auf unterschiedliche Phasen eines IT-Sicherheitsvorfalls.

1. Phase: Der Angriff ist noch aktiv und muss eingedämmt werden.

In dieser Phase nutzen IT-Sicherheitsexperten Indicators of Attack (IoA), um einen aktuellen Angriff zu erkennen. Das Ziel ist hier zunächst, den Angriff zu stoppen und die Kompromittierung einzudämmen.

2. Phase: Der Angriff wurde erfolgreich gestoppt und muss nun ausgewertet werden.

Jetzt geht es darum, anhand von Indicators of Compromise (IoC) das Ausmaß des Angriffs festzustellen. Welche Daten sind betroffen? Wie groß ist die Kompromittierung? Welche Cybersecurity-Maßnahmen müssen nun ergriffen werden, um die Sicherheitslücken zu schließen?

Der Unterschied zwischen IoC und IoA ist besonders bei gut getarnten Angriffen relevant. Denn manchmal ist Malware bereits monatelang in einem System aktiv, bis die Kompromittierung erkannt wird. Nicht immer lässt sich auf Anhieb unterscheiden, ob der Angriff in der Vergangenheit liegt oder noch anhält. Anhand von IoA lässt sich der Status eines Sicherheitsvorfalls feststellen.

• Ungewöhnlicher ausgehender Datenverkehr: Häufig wird Malware genutzt, um Daten zu sammeln und an einen vom Angreifer kontrollierten Server zu senden. Ausgehender Datenverkehr außerhalb der Hauptverkehrszeiten oder aber solcher, der eine verdächtige IP-Adresse nutzt, kann auf eine Kompromittierung hinweisen.
• Unregelmäßigkeiten bei der Aktivität von Benutzern mit einer hohen Sicherheitsstufe: Um Zugriff auf vertrauliche Daten zu erlangen, hacken sich Angreifer in Benutzerkonten ein, wobei jene Konten besonders attraktiv sind, die über eine hohe Sicherheitsstufe und dementsprechend weitreichende Befugnisse verfügen. Wenn ein solches Konto außerhalb der Geschäftszeiten auf sensible Daten zugreift oder aber Dateien herunterlädt, die ansonsten nur selten in Gebrauch sind, kann es daran liegen, dass die Login-Daten gefälscht oder gestohlen wurden.
• Aktivität von einem ungewöhnlichen geografischen Standort: Bei den meisten Unternehmen stammt der Datenverkehr von einem primären Standort. Kommt Datenverkehr aus Ländern, in der das Unternehmen normalerweise nicht aktiv ist, kann dies auf einen Angriff hinweisen. Insbesondere staatlich gesponserte Angriffe, sogenannte Advanced Persistent Threats, kommen meist aus dem jeweiligen Land.
• Hohe Fehlerquote bei der Authentifizierung: Wenn ein Angreifer an Login-Informationen gelangt ist, aber nicht weiß, zu welchem Konto sie gehören (z.B. wenn nur das Passwort vorliegt), wird er viele Accounts durchprobieren, in der Hoffnung, den richtigen zu finden. Tauchen plötzlich viele fehlgeschlagene Authentifizierungsversuche auf, deutet dies auf den Versuch einer betrügerischen Kontenübernahme hin.
• Zunahme von Zugriffen auf die Datenbank: Egal, ob mithilfe von SQL-Injection oder über ein Admin-Konto auf eine Datenbank zugegriffen wurde: gab es einen Datenbank-Export, der nicht vom eigenen Team veranlasst wurde, kann das ein Zeichen dafür sein, dass Daten gestohlen wurden.
• Übermäßige Anfragen wichtiger Dateien: Ohne einen Account mit weitreichenden Berechtigungen ist ein Angreifer gezwungen, verschiedene Sicherheitslücken zu erkunden, um letztendlich die eine Lücke zu finden, die den Zugriff auf sensible Dateien ermöglicht. Eine Häufung von Zugriffsversuchen von einer IP-Adresse oder aus derselben geografischen Region sollten überprüft werden.
• Verdächtige Konfigurationsänderungen: Die Veränderung von Konfigurationen an Dateien, Servern und Geräten kann einem Angreifer eine zweite Hintertür zum Netzwerk eröffnen. Solche Änderungen können auch erst Schwachstellen hinzufügen, die dann wiederum von Malware ausgenutzt werden kann.
• Eine Flut an Datenverkehr zu einer bestimmten Website oder einem bestimmten Standort: Eine Kompromittierung von Geräten kann diese in ein Botnet verwandeln. Ein Angreifer sendet dann ein Signal an das kompromittierte Gerät, um den Datenverkehr an ein bestimmtes Ziel zu lenken. Eine hohe Verkehrsaktivität von mehreren Geräten zu einer bestimmten IP-Adresse kann bedeuten, dass interne Geräte Teil eines Distributed Denial-of-Service-Netzwerk (DDoS-Netzwerk) sind.

Eine Kompromittierung lässt sich anhand eines oder mehrerer der oben genannten Indikatoren erkennen. Die Aufgabe eines forensischen Ermittlers ist es, alle IoC-Beweise durchzugehen und festzustellen, welche Schwachstelle ausgenutzt wurde.

Bei großen Netzwerken können es Tausende von IoCs sein, die es zu untersuchen gilt. Spezielle Programme, sogenannte SIEM-Systeme (Security Event and Event Management), erleichtern diese Arbeit, indem sie alle IoC aggregieren, kategorisieren und übersichtlich aufbereiten. SIEM-Systeme sind außerdem in der Lage, irrelevante von relevanten Indikatoren zu unterscheiden.

Die Auswertung von IoC in der Cybersecurity ermöglicht es, Schwachstellen zu identifizieren und Sicherheitslücken zu schließen. Dazu ist es als ersten Schritt wichtig, dass ein Unternehmen das eigene Netzwerk überhaupt erst umfassend überwacht, damit Angreifer nicht unentdeckt bleiben. Ordnungsgemäße Protokolle und Audit-Trails gehören dazu.

Dadurch, dass IoC-Datenpunkte in Echtzeit gesammelt werden können, lässt sich die Reaktionszeit auf einen Angriff deutlich reduzieren. Im besten Fall lässt sich so das Ausmaß der Kompromittierung von Vornherein eindämmen. Zusammen mit einer guten, fortlaufend aktualisierten Verfahrensdokumentation für IT-Sicherheitsvorfälle kann eine Untersuchung so effizient und schnell wie möglich abgewickelt werden.

Der letzte Schritt bei der Reaktion auf einen Sicherheitsvorfall ist immer, zu überprüfen, welche Erkenntnisse das Team für die Zukunft mitnimmt und was es gelernt hat. Ein System wird nie zu 100 % sicher sein – denn das gibt es in der Cybersecurity nicht –, doch mithilfe der beschriebenen Maßnahmen lässt sich das Risiko deutlich minimieren. Je gründlicher ein Unternehmen dabei vorgeht, desto besser.