Skip to content

Erkläre den Unterschied zwischen Indicators of Compromise (IOCs) und Indicators of Attack (IOAs).

Kurzantwort

Ein IOC ist ein forensisches Artefakt dafür, dass bereits etwas Bösartiges passiert ist: ein bösartiger Datei-Hash, eine C2-IP oder -Domain, ein bekannter schädlicher Registry-Schlüssel. Ein IOA ist ein Verhaltenssignal eines laufenden Angriffs, unabhängig von den konkreten Werkzeugen, z. B. ein Word-Dokument, das PowerShell startet und dann ins Internet greift. IOCs sind reaktiv und durch Ändern eines Hashes leicht zu umgehen; IOAs erfassen die Absicht und überstehen Werkzeugwechsel.

Diese Frage trennt Analysten, die Signaturen abgleichen, von Analysten, die Verhalten verstehen. Beide Indikatorarten sind wichtig, aber sie beantworten unterschiedliche Fragen und haben sehr unterschiedliche Haltbarkeiten.

Indicators of Compromise (IOCs)

Ein IOC ist ein konkretes Artefakt, das belegt oder stark nahelegt, dass ein System kompromittiert wurde: ein bösartiger Datei-Hash, eine bekannte C2-Domain oder -IP, ein bestimmter Mutex, ein bösartiger Registry-Run-Schlüssel oder eine Phishing-Absenderadresse. IOCs eignen sich hervorragend für schnellen, skalierbaren Abgleich – speise sie in dein SIEM oder EDR ein und blockiere sie. Ihre Schwäche ist die Fragilität: Ein Angreifer kompiliert die Malware neu und der Hash ändert sich; er rotiert seine Infrastruktur und die IP ist tot. IOCs sind von Natur aus reaktiv – sie stammen aus etwas, das bereits passiert ist, oft bei jemand anderem.

Indicators of Attack (IOAs)

Ein IOA beschreibt, was der Gegner tut, nicht was er benutzt hat. Beispiele: ein makrofähiges Dokument, das powershell.exe startet, dieser Prozess baut dann eine ausgehende Verbindung auf und liest anschließend den LSASS-Speicher aus. Keiner dieser Schritte hängt von einem bestimmten Hash ab. Weil IOAs auf Verhalten und Absicht zielen, funktionieren sie weiter, selbst wenn der Angreifer die Werkzeuge wechselt – was der schmerzhaften Spitze von David Biancos Pyramid of Pain (den TTPs) entspricht.

Warum das wichtig ist

Starke Erkennungsprogramme nutzen beides: IOCs für günstiges, hochsicheres Blockieren von bekanntem Bösartigem und IOAs, um neuartige oder laufende Angriffe zu erwischen, die noch keine Signatur haben. Interviewer wollen hören, dass du weißt, dass IOCs leicht zu umgehen sind, dass IOAs den Angreifer mehr kosten, um sie zu besiegen, und dass reife SOCs in Verhaltenserkennung investieren, statt nur von Threat-Feed-Hashes zu leben.

Wahrscheinliche Anschlussfragen

  • Warum kann ein Angreifer eine IOC-basierte Erkennung so leicht umgehen?
  • Nenne ein Beispiel für einen IOA, der keinen zugehörigen IOC hat.
  • Wo passen die Stufen der Pyramid of Pain hier hinein?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.