Abwehr

Threat Hunting

Proaktive, hypothesengetriebene Suche nach versteckten Bedrohungen in einem Netzwerk, bevor automatische Systeme diese erkennen.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Statt zu warten, bis der Alarm klingelt, geht ein Threat Hunter aktiv auf Suche — wie ein Detektiv, der Hinweise sammelt, bevor ein Verbrechen bekannt wird. Er denkt wie ein Angreifer und sucht nach Spuren, die normale Systeme noch nicht als Problem erkannt haben.”

Ausführliche Erklärung

Im Gegensatz zum reaktiven Incident Response beginnt Threat Hunting mit einer Hypothese ("Angenommen ein APT hat unsere VPN-Zugänge kompromittiert...") und sucht proaktiv nach Indikatoren. Threat Hunter nutzen EDR-Daten, SIEM-Logs, NetFlow und Threat Intelligence um Anomalien zu identifizieren, die automatische Systeme übersehen. Das MITRE ATT&CK Framework dient als Strukturrahmen für Hypothesen. Reife Threat Hunting-Programme messen sich am MITRE ATT&CK Coverage.

>Wie funktioniert das?

Hypothese: Basierend auf Threat Intelligence oder Erfahrung wird eine Angreifer-Hypothese formuliert

Datensammlung: Relevante Logs, EDR-Telemetrie und Netzwerkdaten werden analysiert

Pattern-Suche: Anomalien, IOCs und TTPs werden gesucht

Analyse: Auffälligkeiten werden untersucht und bewertet

Ergebnis: Entweder wird eine echte Bedrohung gefunden (Incident Response eingeleitet) oder neue Erkennungsregeln für das SIEM werden erstellt.

?Häufig gestellte Fragen

Antwort

Erfahrene Sicherheitsanalysten (Tier 3) mit tiefem Verständnis von Angriffstechniken, Netzwerkprotokollen und Forensik — oft in einem spezialisierten Threat Hunting Team.

Antwort

Incident Response ist reaktiv — man reagiert auf bekannte Vorfälle. Threat Hunting ist proaktiv — man sucht nach unbekannten Bedrohungen, bevor ein Alert ausgelöst wird.

Antwort

Als strukturierte Wissensbasis über Angreifer-Techniken (TTPs) um systematische Hypothesen zu entwickeln und die eigene Erkennungsabdeckung zu messen.

Antwort

Weil APT-Akteure gezielt so vorgehen, dass sie unter bekannten Erkennungsschwellen bleiben — Threat Hunter suchen nach unbekannten Mustern jenseits regelbasierter Systeme.

Antwort

Mit dem MITRE ATT&CK Framework als Grundlage, ausreichend EDR- und Log-Daten, einer Threat Intelligence-Quelle und mindestens einem erfahrenen Analysten der Hypothesen entwickeln kann.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC