- Bedeutung
- Technische Spuren eines Angriffs
- Beispiele
- IP-Adressen, Datei-Hashes, verdächtige Domains
- Nutzen
- Angriffe erkennen und eingrenzen
- Verwandt
- Incident Response, Schwachstellen
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was sind IoCs?
Indicators of Compromise (Kompromittierungsindikatoren) sind konkrete, technische Spuren, die darauf hindeuten, dass ein System angegriffen oder bereits infiltriert wurde. Sie sind das forensische Beweismaterial der Cyberabwehr: messbare Artefakte, die ein Sicherheitsteam in Logs, im Netzwerkverkehr oder auf Endgeräten finden kann. Im Gegensatz zu einer reinen Vermutung sind IoCs überprüfbar – sie lassen sich in Erkennungssysteme einpflegen und automatisiert abgleichen, um einen Incident zu bestätigen oder auszuschließen.
Typische IoCs
- Verdächtige IP-Adressen und Domains, mit denen Schadsoftware kommuniziert
- Datei-Hashes (z. B. SHA-256) bekannter Schadsoftware
- Ungewöhnliche Login-, Anmelde- oder Netzwerkmuster
- Auffällige Registry-Änderungen oder unbekannte laufende Prozesse
IoCs und Incident Response
IoCs sind ein zentrales Werkzeug der Incident Response: Anhand bekannter Indikatoren lässt sich prüfen, ob ein Vorfall vorliegt, welche Systeme betroffen sind und wie weit ein Angriff bereits gediehen ist. In der Erkennungsphase liefern sie das erste Signal, in der Analysephase helfen sie, das Ausmaß zu bestimmen. Wichtig ist, IoCs aktuell zu halten, denn Angreifer wechseln Infrastruktur und Werkzeuge schnell.
Austausch stärkt alle
Werden IoCs geteilt – etwa über CSIRTs oder branchenweite Netzwerke – können andere Organisationen denselben Angriff früher erkennen und abwehren. Dieser koordinierte Informationsaustausch ist ein wichtiger Gedanke hinter NIS2 (in Kraft seit 06.12.2025), das die Zusammenarbeit zwischen Einrichtungen und Behörden fördert. Ein typischer Fall: Ein Stadtwerk erhält von seinem CSIRT eine Warnung mit den IP-Adressen und Datei-Hashes einer neuen Ransomware-Welle; das SOC speist diese IoCs sofort in seine Firewall und EDR-Lösung ein und entdeckt so eine bereits laufende, bis dahin unbemerkte Verbindung – noch bevor die Verschlüsselung startet.
Weiterführende Quelle: ENISA – EU-Agentur für Cybersicherheit (Threat Landscape)
Häufige Fragen
Was sind Indicators of Compromise?
Indicators of Compromise (IoCs) sind konkrete, technische Spuren, die darauf hindeuten, dass ein System angegriffen oder bereits infiltriert wurde – etwa verdächtige IP-Adressen, mit Schadsoftware verbundene Domains, Datei-Hashes bekannter Malware (zum Beispiel SHA-256) oder ungewöhnliche Login- und Netzwerkmuster. Anders als eine Vermutung sind IoCs überprüfbar und lassen sich in Erkennungssysteme einpflegen und automatisiert abgleichen.
Wozu dienen Indicators of Compromise?
Indicators of Compromise (IoCs) helfen Sicherheitsteams, laufende oder zurückliegende Angriffe zu erkennen, betroffene Systeme schnell zu identifizieren und einzugrenzen sowie die Abwehr durch passende Erkennungsregeln gezielt zu verbessern. Sie sind ein zentrales Werkzeug der Incident Response: In der Erkennungsphase liefern IoCs das erste Signal, in der Analysephase helfen sie, das Ausmaß eines Vorfalls zu bestimmen.
Warum sollte man Indicators of Compromise teilen?
Geteilte Indicators of Compromise (IoCs) ermöglichen es anderen Organisationen, denselben Angriff früher zu erkennen und abzuwehren, bevor Schaden entsteht. Dieser koordinierte Informationsaustausch – oft über CSIRTs oder branchenweite Netzwerke – ist ein wichtiger Gedanke hinter NIS2, das seit dem 6. Dezember 2025 gilt und die Zusammenarbeit zwischen Einrichtungen und Behörden fördert. So stärken IoCs die kollektive Cyberabwehr.