Die Suche nach Sicherheitsbedrohungen ist eine von Menschen geleitete und maschinell unterstützte Aufgabe. Dabei prüfen die „Jäger” Datensätze und Muster, um festzustellen, ob eine schadhafte Aktivität oder ein wirksamer Angriff vorliegt. Allerdings wird dieser schwierige Prozess oftmals fehlinterpretiert.
(Quelle: Gorodenkoff/Shutterstock)
Um sich vor Cyberangriffen zu schützen, ist es das Ziel, den sich ständig weiterentwickelnden Sicherheitsbedrohungen einen Schritt voraus zu sein. Dabei wird nach Ansicht von Sophos die Praxis des „Threat Hunting” für die Überwachung und Behandlung von Netzwerkaktivitäten, das Entdecken von unbekannten Bedrohungen und die passende Reaktion darauf immer wichtiger.
Ein komplexer Prozess, mit dem zahlreiche falsche Vorstellungen verbunden sind. Als Resultat lassen Irreführung und Missverständnisse die Menschen in einem falschen Gefühl von Sicherheit stehen und die Organisation dabei ungeschützt. In der Debatte um die Suche nach Sicherheitsbedrohungen gibt es drei häufig verbreitete Fehleinschätzungen:
Irrtum Nummer 1: Threat Hunting lässt sich automatisieren
Die Idee, dass sich die Suche nach Sicherheitsbedrohungen automatisieren lässt, gehört zu den größten Irrtümern. Denn während sich Teile des Prozesses tatsächlich automatisieren lassen, ist die menschliche Komponente essentiell für jede erfolgreiche Gefahrensuche. Durchgehend – also von der Identifizierung feindlicher Aktivitäten bis zur Reaktion darauf – lässt sich der gesamte Prozess (zumindest zum jetzigen Zeitpunkt) nicht automatisieren.
Trotzdem spielt Automatisierung eine wichtige Rolle beim Threat Hunting, und zwar beim Datensammeln und beim Aufspüren von Bekanntem. Bei einer automatisierten Suche kann eine Aktivität durch eine automatisierte Regel als verdächtig markiert werden. Sobald das passiert, bedarf es aber einer weiteren Instanz, die sich diesen Hinweis ansieht und eine strategische Analyse durchführt. Eine Maschine kann Abweichungen anzeigen, aber sie kann keine intelligente Entscheidung darüber treffen, ob eine Bewegung bösartig oder gutartig ist. Es existiert ein großer Graubereich, bei dem es auch für ein gut trainiertes Modell schwierig ist, zu einer korrekten Urteilsfindung zu kommen. Menschliche Expertise ist notwendig.
Sicherheitsbedrohungen: richtige Einstufung einer Aktion
Ist beispielsweise PsExec im Netzwerk aktiv, also ein Telnet-Ersatz, um Prozesse auf anderen Systemen via LAN auszuführen, ist noch nicht sofort klar, ob diese Aktion schadhaft oder harmlos ist. Es ist zunächst einmal eine Administratorfunktion, die für legitime Zwecke gedacht ist. Sie wird allerdings oft auch von Malware verwendet und Angreifer versuchen darüber etwas Bösartiges umzusetzen.
Wie aber erkennt der Nutzer, ob er hier auf etwas Schadhaftes oder Gutartiges stößt? Menschliche Expertise kann in diesem Fall den Kontext liefern. Beispielsweise hat ein Kollege im Hintergrund Zugriff womit dieser Prozess autorisiert ist – Situationen, die die Maschine nicht kennen kann. Erst mit diesen Zusatzinformationen lässt sich ableiten, ob eine Aktion berechtigt oder möglicherweise schadhaft ist.
Irrtum Nummer 2: EDR-Lösungen unterstützen Bedrohungssuche
Die Jagd nach Sicherheitsbedrohungen und Endpoint Detection and Response (EDR) sind nicht das gleiche. Setzt der Nutzer ein EDR-Produkt ein, betreibt er damit nicht automatisch Threat Hunting. Im Grunde basiert EDR auf einem großen Datensatz, der dazu dient, Informationen zu ermitteln oder abzufragen. Während EDR ein wichtiges Werkzeug bei der Gefahrensuche ist, ist es dennoch nur ein Teil des gesamten Prozesses. Es existieren zahlreiche weitere Informationsquellen, die überaus wertvoll sind, etwa der Netzwerkverkehr.
Gefahrenjäger schauen über EDR-Daten hinaus, beispielsweise auf Netzwerkprotokolle, Firewalls und Einbruchsmeldungen sowie Präventionsprotokolle, um ein ganzheitliches Bild der Umgebung zu erhalten. Das Einbeziehen von Daten aus Drittquellen, wie Informationen von Microsofts Active Directory, Office 365 Daten oder Daten aus anderen Anwendungen, kann den Datensatz anreichern. Je größer dieser ist, desto besser lassen sich komplexere Bedrohungen identifizieren.
Irrtum Nummer 3: SIEM mit Daten für Bedrohungssuche füttern
Security Information and Event Management (SIEM) bietet einen nützlichen Service, da es eine Umgebung darstellt, in der man zahlreiche Informationen kumulieren und abfragen kann. SIEM birgt aber auch ein großes Problem: es ist kaum möglich, die Daten konsistent zu halten. Und eine schlechte Datenqualität führt kaum zu guten Suchergebnissen. Zwar ist die Definition von Qualitätsdaten oft subjektiv. Im Kern geht es aber darum, dass Daten aus unterschiedlichen Systemen genormt und dass Datenattribute (wo möglich) standardisiert sind.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Die Qualität der Daten ist aus folgenden Gründen entscheidend:
Sie erhöht die Produktivität einer Suche nach Sicherheitsbedrohungen und erleichtert es dem Team, große Datenmengen abzufragen und konsistente Ergebnisse zu erhalten.
Bei genormten Datenattributen wird vermieden, dass bei einer Suche unterschiedliche Datensätze zusammengeführt werden müssen. Gleichzeig erhält man dadurch einen reicheren Kontext zur Identifizierung komplexerer Bedrohungen.
Ein gutes Verständnis über die Qualität der Daten ermöglicht es dem Team klare Zielvorgaben darüber zu haben, welche Daten sie analysieren können und was nicht analysierbar ist. Das hilft bei der Koordination und Priorisierung von Projekten.
Hochwertige Daten ermöglichen es Jägern, komplexe Bedrohungen schneller und genauer zu identifizieren und damit effektiver und leistungsstärker darauf reagieren zu können.
Der Schlüssel für eine erfolgreiche Gefahrensuche
Daten sind nur der Beginn der Bedrohungssuche. Wichtiger ist, wie man die Daten anwendet, um den initialen Punkt der Gefahr zu erkennen. Daten nutzbar zu machen, so dass man mit ihnen arbeiten kann, lässt sich durch Maschinen nicht automatisieren. Denn wäre das möglich, würde MDR (Managed Detection and Response) gar nicht existieren.
Folgende Schlüsselkomponenten sind Bestandteil einer erfolgreichen Bedrohungssuche: Einschätzungen über Gefahren, eine passende Methode, gute Daten und ein kritischer Blick auf verdächtige Aktivitäten.Tauchen verdächtige Aktivitäten in der Grauzone auf, können Threat Hunter mit strategischen Analysen die Absicht entschlüsseln. Erst danach kann entschieden werden, ob eine Reaktion nötig ist oder nicht. (sg)
:quality(80)/p7i.vogel.de/wcms/b9/a0/b9a026c4986b7df13b28743b0b5a9e36/sps-20mit-20herz-1920x1079v1.jpeg "Berarbeitet mit Canva (Bild: Mesago Messe Frankfurt GmbH / Arturo Rivas Gonzale)")
:quality(80)/p7i.vogel.de/wcms/bc/23/bc23cefd0c78e9443f9452ba1382abab/industrialai2025-4320x2429v1.jpeg "Der Engineering Copilot TIA führt Engineering-Aufgaben autonom aus. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/86/69/8669315f9611383f70479f7e83f960c0/2-20keyvisual-sps2025-8916x5018v1.jpeg "Die Lösungen von Delta sind in Halle 7 an Stand 360 zu sehen. (Bild: Delta Electronics)")
:quality(80)/p7i.vogel.de/wcms/6e/49/6e49e70224edfc04a4212e67accb31d2/gec-oncite-pi-sps-2025-1684x948v1.png "GEC zeigt auf der SPS 2025: Fabrik-Virtualisierung – Basis für AI und Industrial Metaverse. (Bild: German Edge Cloud)")
:quality(80)/p7i.vogel.de/wcms/33/a5/33a5665bd353b1bf31acd72ad6dc9cc9/evo-evocompetition-16-9-1200x674v1.jpeg "Das ERP-System EVOcompetition ermöglicht ab sofort die autonome Erzeugung von Fertigungsaufträgen. (Bild: EVO Informationssysteme GmbH)")
:quality(80)/p7i.vogel.de/wcms/c9/af/c9afa893b6426a4f62146c3ab0cf62fa/infoterminal-webbasiert-2000x1124v1.jpeg "Das MES ProMExS verbindet Feinplanung und Shopfloor über eine gemeinsame Datenbasis. (Bild: Sack EDV-Systeme (Digitale Visualisierung + KI-Unterstützung))")
:quality(80)/p7i.vogel.de/wcms/1d/ea/1dea952f74fed0e953fcf6745f57ff5a/adobestock-1455587250-5798x3264v1.jpeg "Die Produktion der Zukunft ist digital, vernetzt und hochautomatisiert. Doch erst eine ganzheitliche IT-Sicherheitsstrategie macht sie auch zuverlässig, widerstandsfähig und nachhaltig. (Bild: © ainynoer/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/18/3418fdf211ac0af1e7f1d415e7acbd12/prototypen-20werkzeuge-20und-20vorrichtungsbau-20aus-20dem-203d-20druck-6720x3778v1.jpeg "Regionalbündnis für industriellen 3D-Druck im Mittelstand startet durch: Prototypen, Werkzeuge und Vorrichtungen kommen jetzt aus dem 3D-Drucker. (Bild: Sonotec)")
:quality(80)/p7i.vogel.de/wcms/e0/c5/e0c51d60e84bf7b3927eab52c34d2e3c/ai-20robotik-800x450v1.jpeg "Sechs Schlüsseltechnologien, die KI nachhaltig verändern wird. (Bild: IFR)")
:quality(80)/p7i.vogel.de/wcms/fb/45/fb456612d358841391ae838c6d7cc22d/kuka-40formetal-300-dpi-20-283-29-1000x562v1.jpeg "In vielen Produktionshallen arbeiten schon heute stationäre und mobile Roboter zusammen. (Bild: Kuka)")
:quality(80)/p7i.vogel.de/wcms/a7/fb/a7fb36824ee7e6e6d29d6427ca853f71/filics-6000x3373v1.jpeg "Autonomes Palettenhandling LIVE: Fachbesucher können die neueste Ausführung der Filics Unit live am Filics-Messestand erleben (Halle 8, Stand 8F25) und sich vor Ort über konkrete Einsatzszenarien in Logistik- und Produktionsumgebungen informieren. (Bild: Filics )")
:quality(80)/p7i.vogel.de/wcms/03/62/03625ae941bea0f7c93abce126553787/cartken-202-2048x1152v1.png "Der AMR Mover ist laut Cartken so konzipiert, dass er schnell einsatzbereit ist und Unternehmen hilft, die Automatisierung schrittweise zu erweitern, um operatives Risiko zu reduzieren und messbaren Mehrwert zu erzielen. (Bild: Cartken )")
:quality(80)/p7i.vogel.de/wcms/e9/33/e933366b407843b3cfe7e2f43ff63ff6/online-event-kalender-20260210-072655v1.jpeg "(Bild: Inneo Solutions GmbH)")
:quality(80)/p7i.vogel.de/wcms/76/5d/765d66719563df9fd3d38e49a40f6fa1/telekom-ki-fabrik-bild2-1200x675v1.jpeg "Bringen die neue KI-Fabrik der Telekom in München ans Netz: Ferri Abolhassan, CEO von T-Systems, Dieter Reiter, OB von München, Markus Söder, Ministerpräsident Bayern, Lars Klingbeil, Bundesfinanzminister und Tim Höttges, CEO der Deutschen Telekom. (Bild: Deutsche Telekom AG/Cindy Albrecht, Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/cc/fd/ccfd35cdd94791b4a829e6cc1a3c9ae6/adobestock-1525025586-graphics-ki-969x545v1.jpeg "SEF e.V. und iTAC entwickeln gemeinsam KI-Lösungen für die Industrie. (Bild: Graphics/stock.adobe.com/generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/10/6f/106fbe69f3b99425157c2fccbc3e636a/nt-26-rf3489-3543x1992v1.jpeg "Vielfältige Werkzeuge und innovative Fertigungslösungen auf der Nortec 2026: Hier präsentieren Aussteller ihre neuesten Produkte und Technologien, die die Produktion der Zukunft unterstützen und optimieren. (Bild: Messe Stuttgart)")
:quality(80)/p7i.vogel.de/wcms/ac/01/ac018582a2c69d72941a08058d1ad452/ico-produktbild-1236x696v1.jpeg "Dank durchstoßfester Gehäuse mit IP52-Schutz, Falltests aus 1,8 m, hoher Toleranz gegenüber Umgebungslicht und Temperaturbereich eignen sich die Handscanner der GD4600-Serie für vielfältige Einsatzszenarien. (Bild: ICO & Datalogic)")
:quality(80)/p7i.vogel.de/wcms/b3/32/b3323160b86b966233c279c9c55d4cdb/adobestock-835694006-7675x4320v1.jpeg "Produktionsanlagen werden zunehmend vernetzt und damit verwundbarer. Zielgerichtete Angriffe darauf können die komplette Produktion lahmlegen. (Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/12/2812780a7a652e46330a867b429b28ca/adobestock-392951611-5609x3153v1.jpeg "Neue Ansätze sind nötig, um CO2-Emissionen wirksam zu reduzieren, da bestehende Methoden allein nicht ausreichen, den Klimawandel angesichts von Stürmen, Dürren und schmelzendem Eis zu stoppen.
(Bild: © Paul/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/35/653542955d32ab8debcfa97fd2327c7c/upb-addremo-999x562v1.jpeg "Das AddReMo-Team beim Kick-off-Meeting an der Universität Paderborn. (Bild: Universität Paderborn, Johanna Pietsch)")
:quality(80)/p7i.vogel.de/wcms/47/72/477214fbf51de58aa1a9cc1090d1a0e3/shutterstock-2299702475-3000x1687v1.jpeg "Fokus Nachhaltigkeit: Aufgrund des hohen Ressourcenbedarfs gibt es in der Produktion viele Ansatzpunkte, Abläufe nachhaltiger zu gestalten – digitale Technologien und Lösungen sind dabei unverzichtbar. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/5c/9c/5c9c50ca15543137a74fb77a981b5c90/adobestock-1585140799-8192x4605v1.jpeg "Digitale Transparenz, Automatisierung, Standardisierung und modulare Strukturen senken Emissionen und Energiekosten, erhöhen Effizienz, eröffnen neue Geschäftsmodelle und stärken Wachstumsperspektiven. (Bild: © Alena/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f0/c6f0249797ef663037e3d822933f5c0f/nt-26-rf-019-1000x562v1.jpeg "Volle Messegänge auf der Nortec 2026 (Bild: Messe Stuttgart)")
:quality(80)/p7i.vogel.de/wcms/89/6a/896aea93c085a29fecd0679b61b8a71c/the-first-digital-native-factory-sncnewv1.jpeg "Nanjing ist Siemens' größtes Forschungs- und Produktionszentrum für CNC-Systeme, Antriebe und Elektromotoren außerhalb Deutschlands. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/c5/91/c5911250bd6d8a5be78f0c1155eaeb4c/inform-logimat-202025-02-2215x1246v1.jpeg "Inform präsentiert auf der LogiMAT 2026 (24.-26. März) in Stuttgart unter dem Motto „Ihre Etappen mit KI“ Lösungen zur Effizienzsteigerung in Unternehmen. Besuchen Sie uns in Halle 4, Stand D61!
(Bild: Inform)")
:fill(fff,0)/p7i.vogel.de/companies/68/6f/686fc7578ffbe/globallogo-nttdata-futureblue-rgb.jpeg "globallogo-nttdata-futureblue-rgb (NTT DATA Deutschland SE)")
:fill(fff,0)/p7i.vogel.de/companies/69/8c/698c43724fffb/logo-psi-global-walnut-black-web.png "logo-psi-global-walnut-black-web (PSI Software SE)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/80/6880e33358f3b/be-terna-composite-logo-rgb-grey--screen-.png "be-terna-composite-logo-rgb-grey--screen- (BE-terna GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4c/c2/4cc2873f7b3569d149633aa1bd928080/ot-security-in-sechs-schritten-1000x563v1.jpeg "So sichern Unternehmen ihre OT in sechs einfachen Schritten. (Bild: NTT DATA)")
:quality(80)/p7i.vogel.de/wcms/54/e5/54e5e6a4ceac8a66235416c9713dd0fe/standard-quality-control-collage-concept-quelle-20freepik-4800x2701v1.jpeg "SAP Security ist als Business-Prozess zu verstehen, der mit passenden Tools zu überwachen ist. (Bild: Freepik)")