|
22.01.2026
09:00 Uhr
|
Bei Deception geht es um Erkenntnisse über Angriffe - und darum, die Kriminellen so zu beschäftigen, dass den Verteidigern Zeit zum Reagieren bleibt.
Es ist ein Klischee, aber dennoch wahr: Manche Verteidiger fallen im Wettlauf gegen immer besser ausgerüstete Angreifer weiter zurück. Denn reine Prävention genügt schon lange nicht mehr. Aber sie schafft Freiraum, um Sicherheitsvorfälle rechtzeitig zu erkennen. Zur Detektion dienen Endpoint Detection and Response (EDR) oder Security Information and Event Management (SIEM). Diese Produkte arbeiten signatur- oder verhaltensbasiert – und sind anfällig für Fehlalarme, was zu einer gefährlichen Alarmmüdigkeit bei den Verteidigern führt. Außerdem muss man ein Security and Operations Center (SOC), das sich 24/7 durch die Meldungsflut kämmt, auch erst einmal intern aufbauen oder extern beauftragen. Diese Ansätze sind aufwendig und erfordern reife Sicherheitsorganisationen; das E in SIEM steht nicht für Effizienz.
Vanessa Bahr / KI / heise medien
Gleichzeitig professionalisieren Angreifer ihre Taktiken, Sicherheitsmechanismen auszuhebeln und unbemerkt in IT-Infrastrukturen einzudringen. Statt Schadsoftware nutzen sie Werkzeuge, die mit dem Betriebssystem ausgeliefert werden oder vom Windows-Hersteller Microsoft digital signiert sind – in einem erweiterten Verständnis generell vorhandene, eigentlich legitime Software. Diese Taktik ist seit einigen Jahren bekannt als "Living off the Land" (LOTL). Das erschwert es, die Handlungen der Kriminellen von gutartigen Administratoraktivitäten zu unterscheiden. Selbst wenn sie dadurch EDR oder Malwarescanner nicht ganz umgehen und Verteidiger nach bösartiger Fernverwaltung Ausschau halten, interpretieren die Verteidiger solche Aktivitäten womöglich als Fehlalarm.
Um in ein kompromittiertes Netzwerk vorgedrungene Hacker zu finden, braucht es eine andere Denkweise. Ein besonders effizienter Ansatz zur Einbruchserkennung ist Täuschung, neudeutsch Deception. Kein legitimer Benutzer sollte in einen Honigtopf, also eine der ausgelegten Fallen, greifen. Jede Interaktion damit ist mindestens verdächtig, im schlimmsten Fall bösartig. Dabei müssen Einbrecher jeden aufgespannten Stolperdraht umgehen, um nicht entdeckt zu werden. Verteidiger müssen nur eine der Alarmglocken hören. Diese Art der Erkennung eignet sich besonders wegen der wenigen falsch positiven Alarme. Der Ansatz, digitale Stolperdrähte in der eigenen Infrastruktur zu platzieren, egal ob vor Ort, im Rechenzentrum oder in einer Cloud, verspricht die Erkennungslücke zu schließen. Das lohnt sich für Organisationen, die bislang noch viel zu wenig in Detektion investiert haben, und erst recht für SIEM- und SOC-Betreiber.