Interviewfragen für Incident Responder
Containment, eradication, recovery and the forensic mindset of handling a live security incident.
Ein vollständiger Virenscan kam sauber zurück — beweist das, dass die Maschine nicht kompromittiert ist?
Nein. Antivirus ist ein Signal, kein Beweis. Es übersieht dateilose und im Speicher laufende Angriffe, brandneue oder verschleierte Proben, den Missbrauch legitimer Werkzeuge (Living-off-the-Land) und Rootkits, die sich davor verstecken. Fehlende Beweise sind kein Beweis für Abwesenheit — echte Sicherheit kommt aus EDR-Telemetrie, Speicherforensik, Verhaltensanalyse und IOC-Jagd. Einen sauberen Virenscan als Beweis für ein sauberes System zu behandeln, ist ein klassischer Incident-Response-Fehler.
Dein Konto wurde kompromittiert — wirft ein bloßes Ändern des Passworts den Angreifer hinaus?
Nicht allein. Viele Systeme halten bestehende Sitzungen und bereits ausgestellte Tokens nach einem Passwortwechsel gültig — OAuth-Refresh-Tokens, „App-Passwörter“, API-Schlüssel und persistente Cookies — sodass ein Angreifer mit einer aktiven Sitzung drinbleiben kann. Die richtige Reaktion ist, das Passwort zu ändern UND alle Sitzungen und Tokens zu invalidieren, App-Anmeldedaten zu widerrufen und MFA-Geräte sowie Wiederherstellungseinstellungen zu prüfen. Anzunehmen, ein Reset allein werfe den Angreifer hinaus, ist ein klassischer Incident-Response-Fehler.
Ein Server wirkt kompromittiert — behebt ein Neustart oder Herunterfahren das Problem?
Nein. Die meisten echten Eindringversuche richten Persistenz ein (Dienste, geplante Aufgaben, Run-Schlüssel, Implantate), die einen Neustart überlebt, sodass der Angreifer einfach zurückkehrt. Schlimmer noch, das Ausschalten löscht flüchtige Beweise — laufende Prozesse, Netzwerkverbindungen, Malware im Speicher und Verschlüsselungsschlüssel —, die du zum Eingrenzen des Vorfalls brauchst. Richtig ist, einzudämmen, indem du den Host isolierst und dabei den Speicher bewahrst, und dann zu untersuchen. Neustart oder Herunterfahren als „Lösung“ ist ein schädlicher Instinkt.
Sie müssen rekonstruieren, was ein Angreifer über drei Tage hinweg getan hat. Was ist der richtige Ansatz?
Eine zuverlässige Vorfallrekonstruktion entsteht durch die Korrelation unabhängiger Telemetrie zu einer Zeitachse: Authentifizierungsprotokolle, EDR-Prozess-/Ausführungsdaten, MAC-Zeitstempel des Dateisystems, Netzwerkflüsse und SIEM-Ereignisse, um Aktionen zu ordnen und den Umfang einzugrenzen. Ein einzelnes Protokoll oder das jüngste Ereignis allein verfehlt die Kette und kann irreführend oder manipuliert sein. Aus einer Quelle zu raten oder den Angreifer zu fragen, sind keine Ermittlungsmethoden. Die Korrelation über unabhängige Quellen offenbart die vollständige Angreiferaktivität und übersteht einen Angreifer, der eine davon bearbeitet hat.
Sie übergeben ein forensisches Datenträgerabbild an die Rechtsabteilung. Was sichert seine Integrität und Zulässigkeit?
Beweisintegrität beruht darauf, das Abbild bei der Erfassung zu hashen (z. B. SHA-256) und den Hash später zu verifizieren, um zu beweisen, dass es unverändert ist, eine dokumentierte Beweiskette zu führen und eine Arbeitskopie zu analysieren, damit das Original makellos bleibt. Das Umbenennen der Datei tut nichts für die Integrität, und das Komprimieren zum Platzsparen beweist weder Integrität noch hilft es der Zulässigkeit. Das Original anzufassen riskiert eine Beweisvernichtung, die dazu führen kann, dass der Beweis verworfen wird. Hashen, Verwahrung dokumentieren und an einer verifizierten Kopie arbeiten.
Während der Incident Response finden Sie eine verdächtige Lücke in den Authentifizierungsprotokollen. Was schließen Sie daraus und was tun Sie?
Eine Lücke in lokalen Protokollen während eines Vorfalls kann gelöschte oder manipulierte Protokolle bedeuten, ein verbreiteter Anti-Forensik-Schritt, behandeln Sie die Abwesenheit von Protokollen also nicht als Abwesenheit von Aktivität. Gleichen Sie mit zentralen/weitergeleiteten Protokollen, EDR und Netzwerkdaten ab, die der Angreifer wahrscheinlich nicht ändern konnte, und halten Sie die Integritätslücke als Befund fest. Anzunehmen, der Server sei untätig gewesen, vertraut Beweisen, die der Angreifer möglicherweise kontrolliert, die Lücke als Beweis dafür zu nehmen, dass nichts geschah, ist genau die Schlussfolgerung, die er will, und weitere Protokolle zu löschen zerstört, was übrig ist. Bestätigen Sie stattdessen mit unabhängiger Telemetrie.
Der Helpdesk erhält einen dringenden Anruf, der die sofortige Passwortzurücksetzung für eine Führungskraft verlangt, ohne Identitätsprüfung und mit viel Zeitdruck. Was sollte der Mitarbeiter tun?
Dringlichkeit, Autorität und das Überspringen der Prüfung sind lehrbuchhafter Social-Engineering-Druck, der auf ein hochwertiges Konto zielt. Der Mitarbeiter muss den definierten Identitätsprüfungsprozess befolgen, bevor er irgendetwas zurücksetzt, und eskalieren, falls er nicht erfüllt werden kann. Auf Verlangen zurückzusetzen, eine erratbare „Sicherheitsfrage“ wie die Lieblingsfarbe zu nutzen oder das neue Passwort per E-Mail an den Anrufer zu senden, übergibt einem Angreifer die Kontrolle über das Konto der Führungskraft.
Bei der Untersuchung eines kompromittierten Linux-Servers: Wo suchen Sie nach der Persistenz des Angreifers?
Linux-Persistenz versteckt sich in geplanten Ausführungs- und Startpfaden: cron und systemd-Timer/-Units, hinzugefügte SSH-authorized_keys, veränderte Shell-rc-Dateien und Profilskripte sowie trojanisierte Dienst-Binärdateien oder vorab geladene Bibliotheken. Prüfen Sie diese systematisch. Browserverlauf und Hintergrundbild-Einstellungen sind keine Persistenzmechanismen, und ein Neustart entfernt nichts, was sich beim Booten wiederherstellt — er startet es nur neu. Der ganze Sinn von Persistenz ist es, Neustarts zu überleben, daher beweist ein Neustart nichts.
Auf einem Linux-Host finden Sie eine für alle beschreibbare Datei, die root gehört und das SUID-Bit gesetzt hat. Was ist das Risiko und Ihre Maßnahme?
Eine SUID-root-Binärdatei läuft mit Root-Rechten, und wenn sie für alle beschreibbar ist, kann ein Angreifer sie ersetzen oder verändern, um beliebigen Code als root auszuführen — ein klassischer Pfad zur lokalen Rechteausweitung. Entfernen Sie das SUID-Bit, korrigieren Sie Eigentümer und Berechtigungen und untersuchen Sie, wie die Fehlkonfiguration entstanden ist, da sie auf eine Kompromittierung hindeuten kann. Das Verschlüsseln der Datei lässt den ausführbaren Pfad intakt, und das Umbenennen verschiebt das Problem nur, ohne die Ausweitung zu beseitigen. Keine dieser Optionen behebt die Ursache.
Eine Bedrohung läuft nur im Speicher, ohne Datei auf der Festplatte. Wie analysierst du sie?
Dateilose Malware lebt im Prozessspeicher (Injection, reflektives Laden, LOLBins), also sichere und analysiere ein Speicherabbild, um injizierten Code, verdächtige Module und Prozessbeziehungen zu finden. Ein Festplatten-AV-Scan und eine saubere Festplatte sagen nichts über ein Implantat im Speicher aus. Der Papierkorb ist irrelevant. Speicherforensik ist das richtige Werkzeug, wenn es keine Datei zu triagieren gibt, und du solltest sichern, bevor der Host neu gestartet wird.
Ein Host zeigt eine Erpressernotiz. Als Malware-Analyst im IR-Support — was ist der nützlichste erste Beitrag?
Die Familienbestimmung steuert die Entscheidungen: Aus Notiz, Dateiendung und IOCs kannst du anzeigen, ob ein kostenloser Decryptor existiert, welche typischen TTPs die Gruppe hat (einschließlich Datendiebstahl zur Erpressung) und wie groß der wahrscheinliche Wirkradius ist, und speist damit das IR-Team. Neuformatieren zerstört Beweise und Umfangsinformationen. Die Grammatik der Notiz ist nicht handlungsrelevant. Verhandlungen zu empfehlen ist eine Geschäfts- und Rechtsentscheidung, nicht der erste Schritt des Analysten. Erst bestimmen, dann IR befähigen.
Deine Probe tut in der Sandbox nichts, doch das SOC hat sie auf einem realen Host aktiv beobachtet. Was ist der wahrscheinliche Grund und deine Reaktion?
Malware prüft häufig auf VM-/Sandbox-Artefakte, kurze Laufzeiten oder Benutzerinteraktion und bleibt inaktiv, wenn sie diese erkennt. Tarne und härte die Analyse-VM, verlängere die Ausführung oder wechsle auf Bare Metal, und gewinne das Verhalten aus einem Speicherabbild des lebenden Hosts. Anzunehmen, sie sei kaputt oder der Host habe sich geirrt, ignoriert eine in der Praxis als bösartig belegte Probe. Ein Neustart ändert nichts, weil die Evasions-Logik bei jedem Lauf erneut feuert.
Das SOC übergibt dir eine verdächtige .exe vom Rechner eines Benutzers. Was ist dein ERSTER Analyseschritt?
Beginne mit statischer Triage in einer isolierten Umgebung: Hashes berechnen, Strings extrahieren, PE-Header und Imports prüfen und die Reputation abfragen, um die Probe zu verstehen, bevor du eine Ausführung riskierst. Sie auf deiner eigenen Workstation auszuführen kann dich und das Netzwerk infizieren. Kundenproben mit identifizierenden Namen hochzuladen gibt sensible Daten an Dritte preis. Sie zu löschen vernichtet die Beweise und die Chance, Detektionen zu bauen.
Das EDR meldet einen Prozess, der den LSASS-Speicher liest. Warum ist das wichtig und was tun Sie?
LSASS speichert zwischengespeicherte Anmeldedaten und Geheimnisse, daher ist ein unerwarteter Prozess, der seinen Speicher liest, ein Kennzeichen für Anmeldedatendiebstahl (z. B. ein Dump im Mimikatz-Stil). Triagieren Sie den auffälligen Prozess und dessen übergeordneten Prozess, isolieren Sie den Host, um laterale Bewegung zu stoppen, und rotieren Sie die Anmeldedaten, die erfasst worden sein könnten — einschließlich privilegierter und Dienstkonten. Es hat nichts mit Grafik-Rendering oder Speicherplatz zu tun, und es als normal abzutun, kann zur Kompromittierung der gesamten Domäne führen. Die harmlos klingenden Ablenker sind genau die Art, wie Analysten einen aktiven Einbruch übersehen.
Ein Benutzer öffnete ein Office-Dokument und aktivierte Makros; das EDR zeigt anschließend einen von Word erzeugten Kindprozess. Was ist Ihre erste Maßnahme?
Word, das direkt nach dem Aktivieren von Makros einen Kindprozess erzeugt, ist ein klassisches Muster für Erstzugriff per Schaddokument. Isolieren Sie den Host, um die Ausbreitung zu begrenzen, erfassen Sie flüchtige Beweise und untersuchen Sie den erzeugten Prozess, seine Netzwerkaktivität und jegliche Persistenz. Den Benutzer zu bitten, die Datei zu schließen, oder Office zu reparieren, behandelt keine ausführende Nutzlast, die möglicherweise bereits gelaufen ist. Nichts zu tun, weil die Datei per E-Mail kam, ist verkehrt herum — E-Mail ist genau der Lieferweg dieses Angriffs. Erst eindämmen, dann untersuchen.
Unter Windows zeigt eine Warnung eine neue geplante Aufgabe, die PowerShell aus %TEMP% startet. Was ist das wahrscheinlich und Ihre Maßnahme?
Legitime Software führt PowerShell nur selten über eine frisch erstellte geplante Aufgabe aus %TEMP% aus — das ist eine verbreitete Persistenz- und Ausführungstechnik. Untersuchen Sie die Aufgabendefinition, das aufgerufene Skript, den erstellenden Prozess und die Zeitachse, dämmen Sie den Host ein und durchsuchen Sie die Umgebung nach demselben Muster. Updates sehen nicht so aus, blindes Vertrauen in geplante Aufgaben ignoriert eine bekannte TTP, und das Löschen von System32 zerstört das Betriebssystem, ohne etwas gegen die Bedrohung zu tun. Die ersten drei Optionen spiegeln allesamt gefährlich schwaches Urteilsvermögen wider.
Warum sollte ein CISO Incident-Response-Tabletop-Übungen VOR einem Vorfall durchführen?
Tabletops proben die menschliche und entscheidungsbezogene Seite der IR — wer die Befugnis hat, einen Vorfall zu erklären, wie die Kommunikation zwischen Recht/PR/Geschäftsführung verläuft und wo das Playbook bricht — damit Sie diese Entscheidungen nicht zum ersten Mal in einer echten Krise treffen. Es ist weit günstiger, Lücken in einer Übung zu finden als mitten in einer Panne. Sie sind kein leeres Compliance-Häkchen, sie dienen nicht der Schuldzuweisung für vergangene Vorfälle, und sie sind funktionsübergreifend, nicht nur für das SOC — die Führung muss die Entscheidungen üben, die nur sie treffen kann.
Ein wichtiger SaaS-Anbieter meldet eine Datenpanne, die möglicherweise Ihre Daten umfasst. Was sind die ersten Schritte des CISO?
Eine Anbieter-Datenpanne ist auch Ihr Vorfall: die Incident Response auslösen, um einzugrenzen, welche Ihrer Daten und Integrationen exponiert wurden, alle gemeinsam genutzten Secrets, API-Schlüssel und SSO-Vertrauensbeziehungen rotieren, Ihre eigenen regulatorischen Meldepflichten bewerten und den Anbieter zur Offenlegung anhalten. Passives Warten auf den Anbieter gibt die Kontrolle über Ihren eigenen Zeitplan und Ihre Pflichten ab. Eine öffentliche Vertragskündigung ist verfrühte Effekthascherei, bevor Sie Ihre Exposition überhaupt kennen. Anzunehmen, Sie seien nicht betroffen, überspringt genau die Bewertung, die Behörden und Ihre Kunden erwarten.
Du stellst fest, dass CloudTrail (Control-Plane-Audit-Logging) in einem Produktionskonto deaktiviert ist. Warum ist das wichtig und was tust du?
Ohne Control-Plane-Audit-Logs bist du blind, wer auf Cloud-Ebene was getan hat, und Erkennung, Forensik und Compliance hängen alle von diesem Protokoll ab. Aktiviere CloudTrail sofort, organisationsweit, mit Lieferung an einen separaten, zugriffskontrollierten, manipulationssicheren (unveränderlichen) Bucket. Zu sagen, es sei egal, solange nichts schiefläuft, ignoriert, dass du keine Historie hättest, wenn doch etwas schiefläuft. Bis zu einem Vorfall zu warten bedeutet, dass die prägenden frühen Aktionen bereits unprotokolliert und unwiederbringlich sind. Anwendungslogs erfassen keine API-, IAM- oder Konsolenaktivität auf der Control Plane.
Ein Monitoring-Tool meldet einen S3-Bucket als öffentlich, und er enthält Kundendaten-Exporte. Was ist deine ERSTE Aktion?
Öffentliche Kundendaten sind eine aktive Exposition: Behebe zuerst den Zugriff, indem du Block Public Access aktivierst und die Bucket- sowie die IAM-Policy korrigierst, um den laufenden Abfluss zu stoppen. Ziehe danach die Zugriffsprotokolle heran (S3 Server Access Logs / CloudTrail-Datenereignisse), um zu bewerten, was tatsächlich erreicht wurde, und stoße die Breach- und Benachrichtigungsprozesse gemäß Richtlinie an. Ein Ticket für den nächsten Sprint lässt regulierte Daten tagelang offen. Die Daten woanders hinzukopieren erzeugt eine zweite Kopie, lässt aber den Originalbucket offen. Umbenennen ändert nichts an den Berechtigungen.
Ein kompromittierter Laptop liegt auf Ihrem Schreibtisch, noch eingeschaltet, mit einem laufenden verdächtigen Prozess. Was tun Sie, um Beweise zu sichern?
Folgen Sie der Reihenfolge der Flüchtigkeit. RAM, aktive Netzwerkverbindungen und die Prozesstabelle verschwinden beim Herunterfahren; erfassen Sie sie zuerst, dann erstellen Sie ein forensisches Disk-Image und dokumentieren Hashes sowie eine lückenlose Chain of Custody. Ein sauberes Herunterfahren zerstört speicherresidente Beweise — einschließlich dateiloser Malware und Schlüssel, die nur im RAM existieren. Kopieren-dann-Löschen manipuliert den Tatort und bricht die Integrität. Das Firmen-Antivirus auszuführen verändert das System und kann genau das Artefakt in Quarantäne stellen oder löschen, das Sie analysieren müssen.
Ransomware verschlüsselt gerade jetzt aktiv die Dateifreigaben im gesamten Netzwerk. Was ist Ihre erste Priorität?
Eindämmung schlägt verfrühte Wiederherstellung: Stoppen Sie die Ausbreitung, indem Sie betroffene Segmente isolieren und den Verbreitungsweg kappen — das missbrauchte Dienstkonto deaktivieren, SMB zwischen Segmenten blockieren, den Staging-Host vom Netz nehmen — bei gleichzeitiger Beweissicherung, dann eradieren und wiederherstellen. In ein Netz wiederherzustellen, das noch verschlüsselt, verliert die wiederhergestellten Daten erneut. Das Lösegeld zu zahlen stoppt die laufende Verschlüsselung nicht und birgt rechtliches und Sanktionsrisiko. Allen Maschinen den Strom zu kappen zerstört flüchtige Beweise und kann Dateien mitten im Schreiben beschädigen, was eine saubere Wiederherstellung erschwert.
Sie haben einen kompromittierten Host bestätigt. Das Business verlangt, ihn in 10 Minuten zu löschen und wieder online zu bringen. Wofür setzen Sie sich ein?
Zu eradieren, bevor man den Umfang versteht, lässt den Angreifer auf nicht gefundenen Systemen persistieren und einfach zurückkehren. Jagen Sie schnell die IOCs und gestohlenen Anmeldedaten im gesamten Bestand, identifizieren Sie jeden betroffenen Host und jeden Persistenzmechanismus, und eradieren Sie dann überall gleichzeitig. Einen einzelnen Host zu löschen ist Whack-a-Mole, das den Angreifer warnt und seine anderen Stützpunkte intakt lässt. Ein einwöchiger vollständiger Internet-Blackout ist unverhältnismäßig und schadet dem Business. Nur die Malware-Datei zu löschen ignoriert Persistenz, Lateral Movement und die bereits gestohlenen Anmeldedaten.
Während des Tests finden Sie Indikatoren, dass ein ECHTER Angreifer bereits in der Umgebung des Kunden ist. Was nun?
Eine aktive Intrusion zu entdecken ist ein Out-of-Band-Notfall: Die Rules of Engagement sollten einen Eskalationsweg definieren — lösen Sie ihn sofort aus, sichern Sie Beweise und vermeiden Sie es, einen laufenden Vorfall zu kontaminieren. Weiterzutesten kann den echten Angreifer stören oder genau die Beweise zerstören, die die Responder brauchen. Den Angreifer selbst zu entfernen liegt außerhalb des Scopes, ist riskant und kann ihn warnen. Bis zum Abschlussbericht zu warten könnte Tage anhaltender Datenpanne und Datenverlust bedeuten.
Ihnen fällt auf, dass ein einzelner Host Tausende ungewöhnlicher, langer TXT-Record-DNS-Anfragen an eine einzige Domain stellt. Was ist die wahrscheinlichste Erklärung und Maßnahme?
TXT-Anfragen mit hohem Volumen und hoher Entropie oder lange Subdomains an eine einzige Domain sind eine klassische Signatur für DNS-Tunneling / C2-und-Exfiltration: Daten werden im DNS eingeschmuggelt, um die Egress-Filterung zu umgehen. Erfassen Sie eine Anfragestichprobe zur Analyse, sinkholen oder blockieren Sie die Domain, um den Kanal zu kappen, und pivotieren Sie zum Host, um den verantwortlichen Prozess zu finden. Es als normales Caching oder langsame Website abzutun übersieht eine laufende Exfiltration. Den DNS-Server neu zu starten ändert nichts am kompromittierten Endgerät und stört nur die Namensauflösung.
Ein Benutzer meldet, dass er auf einen Link in einer verdächtigen E-Mail geklickt und sein Passwort auf der Seite eingegeben hat. Was ist Ihre ERSTE Maßnahme?
Gehen Sie davon aus, dass das Passwort bereits kompromittiert ist: Erzwingen Sie ein Zurücksetzen UND machen Sie die aktiven Sitzungen und Token des Kontos ungültig, denn ein Reset allein vertreibt keinen Angreifer, der bereits eine aktive Sitzung oder ein Refresh-Token besitzt. Jagen Sie dann anomale Anmeldungen, MFA-Aufforderungen, Postfachregeln und OAuth-Berechtigungen aus dem Expositionsfenster. Die E-Mail zu löschen oder dem Benutzer zu sagen, er solle sein Passwort „beim nächsten Mal“ ändern, lässt das Konto weit offen. Ein Virenscan adressiert Malware auf dem Endgerät, nicht gestohlene Anmeldedaten in der Cloud.
Unterscheide Credential Stuffing von Password Spraying, einschließlich wie sich beides in den Logs zeigt.
Credential Stuffing spielt bekannte Benutzername:Passwort-Paare aus fremden Datenlecks ab und setzt auf Passwort-Wiederverwendung – hohe Erfolgsrate pro Versuch, oft über viele IPs und Geräte verteilt, um menschlich zu wirken. Password Spraying probiert ein oder zwei gängige Passwörter (wie Winter2026!) über viele Konten, um unter den Sperrschwellen zu bleiben. Stuffing nutzt Wiederverwendung aus; Spraying nutzt schwache gemeinsame Passwörter aus. MFA schlägt beide.
Erkläre die Cyber Kill Chain von Lockheed Martin und wie ein Blue Team sie nutzt.
Die Cyber Kill Chain modelliert einen Einbruch als sieben aufeinanderfolgende Stufen: Aufklärung, Bewaffnung, Auslieferung, Ausnutzung, Installation, Command and Control (C2) und Actions on Objectives. Verteidiger ordnen jeder Stufe Erkennungen und Maßnahmen zu; da die Stufen sequenziell sind, stört das Brechen eines einzelnen Glieds – die Phishing-Mail blockieren, das C2 abschalten – den gesamten Angriff. Sie drängt dazu, früh zu erkennen statt erst beim finalen Einbruch.
Erkläre DNS-Datenexfiltration und wie ein Blue Team sie erkennen würde.
DNS-Exfiltration kodiert gestohlene Daten in DNS-Anfragen (z. B. lange Subdomain-Labels an einen vom Angreifer kontrollierten autoritativen Server) und nutzt aus, dass DNS fast immer ausgehend erlaubt und oft unüberwacht ist. Erkenne sie über Anomalien: ungewöhnlich hohes Anfragevolumen zu einer Domain, lange Subdomains mit hoher Entropie, viele eindeutige Subdomains je Eltern-Domain, Missbrauch von TXT/NULL-Records und Anfragen an neu registrierte oder seltene Domains.
Was ist der Unterschied zwischen EDR und herkömmlichem signaturbasiertem Antivirus?
Herkömmliches Antivirus gleicht Dateien mit Signaturen bekannter Malware ab und blockiert oder isoliert sie – gut gegen bekannte Bedrohungen, schwach gegen neuartige oder dateilose Angriffe. EDR zeichnet kontinuierlich das Endpunktverhalten auf (Prozesse, Netzwerk, Registry, Speicher), nutzt Verhaltensanalytik zur Erkennung verdächtiger Aktivität und ermöglicht Respondern, aus der Ferne zu untersuchen, zu jagen und einzudämmen oder zurückzurollen. AV ist Prävention per Signatur; EDR ergänzt Sichtbarkeit, Erkennung und Reaktion.
Was sind die Phasen des Incident-Response-Lebenszyklus, und warum ist die Reihenfolge wichtig?
Das klassische Modell ist PICERL: Vorbereitung, Identifikation (Erkennung), Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. NIST gruppiert es als Vorbereitung; Erkennung und Analyse; Eindämmung, Beseitigung und Wiederherstellung; sowie Aktivität nach dem Vorfall. Die Reihenfolge zählt, weil man den Umfang erfassen und eindämmen muss, bevor man beseitigt, und erst wiederherstellt, wenn die Bedrohung entfernt ist – sonst infiziert man erneut. Es ist eine Schleife, keine Linie: Lessons Learned fließen in die Vorbereitung zurück.
Erkläre den Unterschied zwischen Indicators of Compromise (IOCs) und Indicators of Attack (IOAs).
Ein IOC ist ein forensisches Artefakt dafür, dass bereits etwas Bösartiges passiert ist: ein bösartiger Datei-Hash, eine C2-IP oder -Domain, ein bekannter schädlicher Registry-Schlüssel. Ein IOA ist ein Verhaltenssignal eines laufenden Angriffs, unabhängig von den konkreten Werkzeugen, z. B. ein Word-Dokument, das PowerShell startet und dann ins Internet greift. IOCs sind reaktiv und durch Ändern eines Hashes leicht zu umgehen; IOAs erfassen die Absicht und überstehen Werkzeugwechsel.
Nenne die gängigen Wege, auf denen Malware auf einem Windows-Host über Neustarts hinweg persistiert, und wie du danach jagen würdest.
Persistenz ist, wie Malware Neustarts und Abmeldungen übersteht. Die typischen unter Windows sind Registry-Run/RunOnce-Schlüssel (HKLM und HKCU), geplante Aufgaben und Windows-Dienste, dazu Autostart-Ordner, WMI-Ereignisabonnements und DLL-Hijacks. Du jagst sie mit autoruns/Sysinternals, Sysmon und Ereignisprotokollen – auf der Suche nach unsignierten Binaries, seltsamen Pfaden wie %AppData% und Einträgen, die direkt nach der Erstkompromittierung erstellt wurden.
Erkläre die Reihenfolge der Flüchtigkeit und warum sie die Abfolge der Beweissicherung im DFIR bestimmt.
Die Reihenfolge der Flüchtigkeit ordnet Beweise danach, wie schnell sie verschwinden, sodass man das Fragilste zuerst sichert. Grob: CPU-Register/Cache, dann RAM und Laufzeitzustand (Prozesse, Netzwerkverbindungen, ARP), dann temporäre Dateien/Swap, dann Disk, dann Remote-Logging und Überwachungsdaten, und zuletzt Archivmedien und Backups. Außerdem arbeitet man auf forensischen Kopien, hasht sie und führt eine Beweiskette, damit Beweise zulässig bleiben.
Wo werden Benutzer-Passwort-Hashes unter Windows und unter Linux gespeichert, und warum zielen Angreifer auf diese Dateien?
Unter Windows liegen die Hashes lokaler Konten (NTLM) in der SAM-Hive unter C:\Windows\System32\config\SAM, geschützt solange das OS läuft; lebende Anmeldedaten sitzen im LSASS-Speicher, und Domänen-Hashes liegen in NTDS.dit auf einem Domänencontroller. Unter Linux liegen Hashes in /etc/shadow (nur für root lesbar), während /etc/passwd Kontometadaten enthält. Angreifer stehlen diese, um Passwörter offline zu knacken oder Pass-the-Hash zu betreiben.
Erkläre Process Injection, nenne ein paar Techniken und sage, wie ein Blue Team sie erkennt.
Process Injection führt Angreifercode im Speicherbereich eines legitimen Prozesses aus, sodass die Aktivität sich einfügt und das Vertrauen dieses Prozesses erbt. Klassische Techniken sind DLL-Injection (CreateRemoteThread + LoadLibrary), Process Hollowing (einen harmlosen Prozess suspendiert starten, ihn entladen, bösartigen Code schreiben) und APC-Injection. Verteidiger erkennen sie über EDR-API-Hooks, anomale Eltern/Kind-Beziehungen oder Speicherbereiche (RWX, nicht dateigestützter ausführbarer Speicher) und Sysmon-CreateRemoteThread-Ereignisse.
Was ist Ransomware, und führe mich durch, wie du reagierst, sobald sie aktiv Systeme verschlüsselt.
Ransomware ist Malware, die Daten verschlüsselt (und zunehmend exfiltriert) und dann Zahlung fordert. Im aktiven Fall: betroffene Hosts vom Netzwerk isolieren, ohne sie auszuschalten, wenn du den Speicher bewahren kannst, Umfang, Patient Zero und die Variante bestimmen, Beweise sichern, das Standbein und etwaige Backdoors finden und vertreiben, dann aus bekannt sauberen Offline-Backups wiederherstellen. Zahlen ist ein letztes Mittel und garantiert nie die Wiederherstellung.
Vergleiche statische und dynamische Malware-Analyse, einschließlich der Stärken und Grenzen jeder Methode.
Statische Analyse untersucht ein Sample, ohne es auszuführen – Hashes, Strings, Imports, Header und Disassemblierung –, ist also sicher und vollständig in der Abdeckung, aber durch Packing und Obfuskation besiegbar. Dynamische Analyse zündet das Sample in einer isolierten Sandbox und beobachtet echtes Verhalten – Dateien, Registry, Prozesse, Netzwerk –, was Obfuskation durchschneidet, aber nur zeigt, was in dieser Sitzung läuft, und von sandbox-bewusster Malware umgangen werden kann. Analysten kombinieren beide.
Was ist ein Honeypot, welche Typen gibt es, und welchen Wert bietet er einem Blue Team?
Ein Honeypot ist ein Ködersystem oder -dienst ohne legitimen geschäftlichen Zweck, das bewusst exponiert wird, um Angreifer anzulocken. Da nichts Gutartiges ihn je berühren sollte, ist jede Interaktion ein hochsicherer Alarm. Honeypots mit niedriger Interaktion emulieren Dienste günstig; solche mit hoher Interaktion sind echte Systeme, die reichere Intel liefern, aber mehr Risiko bergen. Honeytokens sind dieselbe Idee, angewandt auf gefälschte Anmeldedaten, Dateien oder Datensätze. Wert: frühe Erkennung, wenige Fehlalarme und Threat Intelligence.
Welche Windows-Ereignis-IDs und -Protokolle würdest du bei der Untersuchung eines Einbruchs zuerst heranziehen?
Das Security-Protokoll ist primär: 4624 erfolgreiche Anmeldung (mit Anmeldetyp), 4625 fehlgeschlagene Anmeldung, 4634/4647 Abmeldung, 4672 spezielle Rechte zugewiesen, 4720 Konto erstellt, 4688 Prozesserstellung (mit Befehlszeile, falls aktiviert) und 4768/4769 Kerberos. Ergänze 7045 Dienstinstallation (System-Protokoll), 4698 geplante Aufgabe erstellt und PowerShell-Skriptblock-Protokollierung (4104). Anmeldetyp und Befehlszeilen-Auditing machen diese Protokolle nützlich.
Wie fügen sich CloudTrail und GuardDuty in Cloud-Logging und -Monitoring ein?
CloudTrail zeichnet jeden API-Aufruf im Konto auf — wer was wann von wo aus getan hat — und liefert dir den maßgeblichen Audit-Trail für Untersuchungen und Compliance. GuardDuty ist ein verwalteter Bedrohungserkennungsdienst, der CloudTrail-, VPC-Flow- und DNS-Logs analysiert, um Funde wie Anmeldedaten-Exfiltration oder Krypto-Mining sichtbar zu machen. CloudTrail ist die zu schützende Quelle der Wahrheit; GuardDuty verwandelt diese Telemetrie in umsetzbare Alarme.
Was ist Perfect Forward Secrecy und warum ist es wichtig?
Perfect Forward Secrecy (PFS) bedeutet, dass jede Sitzung einen einzigartigen Schlüssel aus einem flüchtigen Schlüsselaustausch ableitet, der danach verworfen wird. Stiehlt ein Angreifer später den langlebigen privaten Schlüssel des Servers, kann er zuvor erfassten Verkehr dennoch nicht entschlüsseln, weil dieser Schlüssel nie zur Ableitung der Sitzungsschlüssel diente. Erreicht wird das mit flüchtigem Diffie-Hellman (DHE/ECDHE).
Was ist Phishing, und welche Maßnahmen würden Sie ergreifen, um es zu reduzieren?
Phishing ist Social Engineering, das Menschen dazu verleitet, Anmeldedaten preiszugeben, Geld zu überweisen oder Malware auszuführen, meist über gefälschte E-Mails oder Websites. Die Abwehr ist geschichtet: E-Mail-Filterung und -Authentifizierung (SPF/DKIM/DMARC), MFA zur Begrenzung des Schadens gestohlener Anmeldedaten, Awareness-Schulungen und eine einfache Möglichkeit, verdächtige Nachrichten zu melden.
Was ist ein Zero-Day, und wie verteidigt man sich gegen etwas ohne Patch?
Ein Zero-Day ist eine Schwachstelle, die der Hersteller noch nicht kennt (oder nicht gepatcht hat), sodass die Verteidiger „null Tage“ hatten, um sie zu beheben. Da kein Patch existiert, stützt sich die Abwehr auf geschichtete Maßnahmen, verhaltensbasierte Erkennung, Segmentierung, Least Privilege und schnelle Incident Response statt auf eine Signatur.
Warum sind „gelöschte“ Daten oft noch wiederherstellbar?
Weil „löschen“ die Daten normalerweise nicht beseitigt. Es entfernt die Dateisystem-Metadaten — den Zeiger/den Verzeichniseintrag — und markiert die Blöcke als frei, aber die ursprünglichen Bytes bleiben auf der Platte, bis das Betriebssystem diese Blöcke für neue Daten wiederverwendet. Bis dieses Überschreiben geschieht, können forensische Werkzeuge den Inhalt direkt herausziehen.
Was ist in der Sicherheitserkennung schlimmer: ein False Positive oder ein False Negative?
Aus rein sicherheitstechnischer Sicht ist ein False Negative meist schlimmer: Es bedeutet, dass ein echter Angriff unentdeckt blieb, also gibt es keine Reaktion, keine Eindämmung, und der Vorfall kann unentdeckt schwelen. Aber False Positives sind nicht harmlos — in großer Zahl verursachen sie Alert-Fatigue, bei der Analysten beginnen, Alarme zu ignorieren und den echten zu verpassen. Die richtige Antwort nennt den Kompromiss, nicht nur einen Gewinner.
Wenn eine Website das Schloss / HTTPS anzeigt, ist sie dann sicher?
Nein. Das Schloss bedeutet, dass der Transport verschlüsselt und das Zertifikat für diese Domain gültig ist — es sagt nichts darüber aus, ob der Betreiber ehrlich oder der Inhalt bösartig ist. Kostenlose, automatisierte Zertifikate führen dazu, dass Phishing- und Malware-Seiten fast immer ebenfalls ein einwandfrei gültiges Schloss haben. HTTPS schützt den Kanal, nicht das Ziel.
Wie etablieren Sie eine Baseline des Normalzustands, und wie hilft sie bei der Erkennung von Anomalien?
Eine Baseline ist ein Modell des normalen Verhaltens für einen Host, Benutzer, ein Konto oder ein Netzwerksegment — welche Prozesse laufen, wer sich von wo und wann anmeldet, typische Datenmengen, normale Beaconing-Intervalle. Sobald man den Normalzustand kennt, werden Anomalien (seltene Eltern-Kind-Prozesspaare, erstmals gesehene Binärdateien, Anmeldungen zu ungewöhnlichen Zeiten, ungewöhnlicher Datenabfluss) als Abweichungen erkennbar. Baselining ist die Grundlage der Anomalieerkennung, erfordert aber genügend saubere Historie und einen sorgfältigen Umgang mit legitimen Änderungen, um nicht in Fehlalarmen zu ertrinken.
Wie würden Sie in der Netzwerktelemetrie nach C2-Beaconing jagen?
C2-Beaconing ist das periodische Einchecken, das ein Implantat bei seinem Controller durchführt. Jagen Sie es in Netzwerk-/Proxy-/DNS-Telemetrie, indem Sie nach Regelmäßigkeit suchen: Verbindungen zu einem Ziel in nahezu festen Intervallen (selbst mit Jitter), kleine, gleichförmige Anfragen, niedrige Verhältnisse von eingehenden zu ausgehenden Daten, langlebige seltene Ziele sowie verdächtige TLS/JA3-Fingerabdrücke oder merkwürdige User-Agents. Das Signal ist der Rhythmus und die Seltenheit des Ziels, nicht der Payload — der in der Regel verschlüsselt ist.
Wie entscheiden Sie, welche Logquellen und Telemetrie Sie benötigen, um wirksam zu jagen?
Beginnen Sie bei den Techniken, die Sie erkennen wollen, und arbeiten Sie rückwärts zur Telemetrie, die sie offenbart — ATT&CKs Datenquellen-Mapping hilft. In der Praxis sind die wertvollsten Quellen die Endpoint-Telemetrie zu Prozessen/Befehlszeilen und Modul-Ladevorgängen (EDR/Sysmon), Authentifizierungs- und Identitätslogs, DNS und Proxy-/Netzwerkflüsse sowie Cloud-Control-Plane-Logs. Anschließend prüfen Sie, was Sie tatsächlich sammeln und aufbewahren, gegen das, was jede Technik benötigt, und decken so Sichtbarkeitslücken auf. Eine Technik, die in keinem Log sichtbar ist, ist noch nicht jagbar.
Führen Sie mich durch den Lebenszyklus einer Erkennung, von der Idee bis zur gepflegten Regel.
Detection Engineering behandelt Erkennungen als Softwareprodukt mit einem Lebenszyklus: eine abzudeckende Bedrohung oder Technik identifizieren, Telemetrie und Verhalten erforschen, die Regel entwickeln, sie gegen Echt-Positiv- und gutartige Daten testen, sie bereitstellen (oft gestaffelt), per Adversary-Emulation validieren, dann fortlaufend auf Fehlalarme abstimmen und Regeln ausmustern, die sich nicht mehr lohnen. Jede Phase wird dokumentiert und versioniert, und die Abdeckung wird gegen ein Rahmenwerk wie ATT&CK verfolgt.
Was sind Living-off-the-Land-Binaries (LOLBins), und wie würden Sie ihren Missbrauch aufspüren?
LOLBins (Living-off-the-Land-Binaries) sind legitime, signierte, vorinstallierte Systemwerkzeuge — wie certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — die Angreifer missbrauchen, um herunterzuladen, auszuführen oder zu persistieren, während sie sich in die normale Administratortätigkeit einfügen. Da die Binärdatei selbst vertrauenswürdig ist, kann man nicht auf die Datei erkennen; man erkennt auf den Kontext: anomale Befehlszeilenargumente, ungewöhnliche Elternprozesse, unerwartete Netzwerkverbindungen von diesen Werkzeugen sowie Ausführung aus merkwürdigen Pfaden oder durch merkwürdige Benutzer.
Erklären Sie die Pyramid of Pain und wie sie bestimmt, wo Sie den Erkennungsaufwand investieren.
Die Pyramid of Pain ordnet Indikatortypen danach, wie aufwendig es für einen Angreifer ist, sie zu ändern, sobald Sie darauf erkennen. Hashes sind trivial zu verändern (unten), dann IP-Adressen, Domainnamen, Netzwerk-/Host-Artefakte, Werkzeuge und schließlich TTPs an der Spitze — die ein Angreifer nur ändern kann, indem er sein Verhalten grundlegend umrüstet. Auf höheren Ebenen zu erkennen verursacht mehr «Schmerz» und ist dauerhafter, daher investieren reife Programme den Erkennungsaufwand eher in Verhalten und TTPs als nur in IOCs.
Wie würden Sie einen TTP-basierten Threat Hunt mit MITRE ATT&CK strukturieren, und was macht einen guten Hunt aus?
TTP-basiertes Hunting nutzt MITRE ATT&CK als Karte: Wählen Sie eine für Ihr Bedrohungsmodell relevante Technik (idealerweise eine mit schwacher Abdeckung), bilden Sie eine konkrete Hypothese, wie sie in Ihrer Telemetrie erscheinen würde, identifizieren Sie die Datenquellen, die sie offenbaren, fragen Sie ab und analysieren Sie die Treffer. Ein guter Hunt ist abgegrenzt, hypothesengetrieben, an ein echtes Angreiferverhalten gebunden, wiederholbar und erzeugt ein dauerhaftes Ergebnis — eine neue Erkennung, eine dokumentierte Abdeckungslücke oder den Nachweis, dass die Technik nicht vorhanden ist — unabhängig davon, ob er eine Kompromittierung findet.
Was ist User and Entity Behaviour Analytics (UEBA), und welche Bedrohungen fängt es ab?
UEBA (User and Entity Behaviour Analytics) erstellt Verhaltens-Baselines für Benutzer und Entitäten (Hosts, Dienstkonten, Geräte) und nutzt Statistik oder maschinelles Lernen, um Abweichungen als Risiko zu bewerten. Es glänzt bei Bedrohungen ohne saubere Signatur: kompromittierte Anmeldedaten, Insider- Missbrauch und laterale Bewegung — z. B. ein Benutzer, der plötzlich auf Systeme zugreift, die er nie berührt, zu ungewöhnlichen Zeiten oder anomale Datenmengen bewegt. Es ergänzt die regelbasierte Erkennung, statt sie zu ersetzen, und braucht Abstimmung, um Fehlalarme durch legitime Verhaltensänderungen zu vermeiden.
Was ist Threat Hunting, und wie unterscheidet es sich vom Warten auf Alarme?
Threat Hunting ist die proaktive, hypothesengetriebene Praxis, Telemetrie nach Aktivitäten eines Angreifers zu durchsuchen, die vorhandene Erkennungen verpasst haben. Anders als das Alarm-Triage — das reaktiv ist und darauf wartet, dass ein Werkzeug auslöst — beginnt das Hunting mit einer Frage («wenn ein Angreifer X täte, welche Spuren würde ich sehen?»), prüft sie gegen die Daten und findet entweder etwas oder erzeugt eine neue Erkennung. Es geht davon aus, dass Prävention und Alarme unvollkommen sind und ein entschlossener Angreifer bereits drinnen sein könnte.
Was ist Sigma, und wie würdest du einen Hunt-Befund in eine portable Detection-Regel verwandeln?
Sigma ist ein offenes, herstellerneutrales YAML-Format zur Beschreibung von SIEM-Detections. Du definierst eine logsource (Produkt/Kategorie, z. B. Windows process_creation), einen detection-Block mit benannten Selektionen von Feld/Wert-Treffern und eine condition, die sie kombiniert. Ein Konverter (wie sigma-cli/pySigma) übersetzt die Regel in die Abfragesprache deines tatsächlichen Backends — Splunk, Sentinel, Elastic —, sodass eine Regel portabel ist. Sie trägt außerdem Metadaten: title, level, status, False Positives und ATT&CK-Tags.
Definieren Sie die gängigen Malware-Kategorien und erklären Sie, wie Sie ein Sample anhand seines Verhaltens klassifizieren.
Man klassifiziert danach, wofür das Sample gebaut ist, beobachtet aus seinem Verhalten und seinen Fähigkeiten. Ein Dropper trägt eine Payload und schreibt sie auf die Festplatte; ein Loader holt oder injiziert die nächste Stufe, oft nur im Speicher; ein RAT gibt einem Operator interaktive Fernsteuerung; ein Wiper zerstört Daten oder Boot-Records ohne Wiederherstellungsabsicht; Ransomware verschlüsselt Dateien und fordert Zahlung. Echte Samples kombinieren oft Rollen — ein Loader, der ein RAT ausliefert — daher beschreibt man die Fähigkeitskette, statt ein einziges Etikett zu erzwingen, und ordnet jedes Verhalten ATT&CK-Techniken zu.
Wann greifen Sie zu Ghidra oder IDA statt zu einem Debugger wie x64dbg, und wie ergänzen sie sich?
Ein Disassembler wie Ghidra oder IDA liefert die vollständige statische Karte: Querverweise, dekompilierten Pseudocode und jeden Codepfad, ob er ausgeführt wird oder nicht. Ein Debugger wie x64dbg lässt Sie das Sample kontrolliert ausführen — Haltepunkte setzen, Register und Speicher prüfen, die Entschlüsselung beobachten und den Pfad verfolgen, den der Code mit echten Eingaben tatsächlich nimmt. Man liest Struktur und Absicht statisch, hängt dann den Debugger an, um aufzulösen, was die statische Analyse nicht kann: zur Laufzeit entschlüsselte Strings, dynamisch aufgelöste APIs, gepackte Payloads und welchen Zweig eine Bedingung nimmt. Beide zusammen schließen ihre gegenseitigen Lücken.
Was sind die Anzeichen für Command-and-Control-Beaconing, und wie extrahiert man C2-Indikatoren aus einem Sample?
Command-and-Control-Beaconing ist der Implant, der periodisch nach Hause ruft, um Anweisungen zu erhalten. Man erkennt es an regelmäßigen, volumenarmen ausgehenden Rückrufen in etwa festem Intervall — oft mit Jitter, um nicht mechanisch zu wirken — zu einer kleinen Menge von Zielen, häufig über HTTP/HTTPS oder DNS mit kodierten oder verschlüsselten Payloads und einem unverwechselbaren User-Agent- oder URI-Muster. Indikatoren extrahiert man statisch, indem man Domains, IPs, URIs und Schlüssel aus Strings und Konfigurationsblöcken zieht, und dynamisch, indem man das Sample gegen ein gefälschtes Netzwerk detoniert und die tatsächlichen Rückrufe erfasst, dann ordnet man das Verhalten ATT&CK zu und speist die IOCs in die Erkennung ein.
Was sind Packer und Obfuskation, und wie erkennt man sie in einem Binary?
Packen komprimiert oder verschlüsselt die eigentliche Payload und stellt ihr einen Stub voran, der sie zur Laufzeit in den Speicher entpackt; Obfuskation transformiert Code oder Daten, um dem Lesen und Signaturen zu widerstehen. Packen erkennt man an hoher Sektionsentropie nahe 8,0, einer winzigen oder nur aus dem Stub bestehenden Importtabelle, ungewöhnlichen oder schreib-ausführbaren Sektionsnamen wie UPX0, einem Einsprungpunkt außerhalb von .text, einer großen virtuellen Größe gegenüber einer kleinen Rohgröße sowie Detektoren wie Detect It Easy oder PEiD. Keines davon ist allein schlüssig, daher wägen Analysten mehrere Signale zusammen ab und bestätigen, indem sie das Entpacken zur Laufzeit beobachten.
Führen Sie mich durch das Windows-PE-Dateiformat und welche Teile Sie beim Triage eines Samples untersuchen.
Eine PE-Datei beginnt mit dem DOS-Header und seinem e_lfanew-Zeiger auf die PE/NT-Header, die den File Header und den Optional Header enthalten (Einsprungpunkt, Image Base, Subsystem). Sie ist in Sektionen unterteilt — .text für Code, .data, .rdata, .rsrc für Ressourcen — jede mit virtueller Adresse und Rohgröße. Beim Triage liest man die Importtabelle nach verdächtigen APIs, die Sektionstabelle nach seltsamen Namen und hoher Entropie, die auf Packen hindeuten, den Timestamp und den Rich Header, eingebettete Ressourcen und jede digitale Signatur. Diskrepanzen zwischen diesen verraten viel, noch bevor man die Datei ausführt.
Erklären Sie gängige Prozessinjektions-Techniken und die API- und Verhaltenssignaturen, die sie verraten.
Prozessinjektion führt bösartigen Code in einem anderen Prozess aus, um sich zu verstecken und dessen Vertrauen zu erben. Die klassische Remote-Injektion reserviert Speicher in einem Ziel mit VirtualAllocEx, schreibt eine Payload per WriteProcessMemory und führt sie mit CreateRemoteThread aus. Varianten umfassen DLL-Injektion per LoadLibrary, Process Hollowing, das einen suspendierten legitimen Prozess aushängt und sein Image ersetzt, APC-Injektion, die Code in einen Thread einreiht, und reflektives oder manuell gemapptes Laden, das LoadLibrary ganz vermeidet. Man erkennt sie an den verräterischen API-Sequenzen, RWX-Speicher in einem normalerweise sauberen Prozess, Threads ohne Backing-Datei auf der Festplatte und Eltern-Kind-Anomalien.
Beschreibe, wie du ein isoliertes Labor aufbaust, um Live-Malware sicher zu analysieren.
Ein sicheres Labor isoliert die Malware von allem, das sie schädigen könnte. Du führst Samples in wegwerfbaren VMs auf einem Hypervisor aus, erstellst saubere Snapshots, sodass du nach jeder Detonation zurücksetzen kannst, und kappst echten Netzwerkzugang über ein Host-Only-Netzwerk mit simuliertem Internet (INetSim oder FakeNet) oder ein air-gapped Segment. Du trennst die Analyse-Maschine von einem kontrollierten Gateway, analysierst nie auf deinem Alltags-Host, härtest gegen VM-Escape, behandelst Samples als passwortgeschützte ZIPs und hältst Werkzeuge und Indikatoren von der Detonations-VM fern. Das Ziel ist, echtes Verhalten zu beobachten und zugleich zu garantieren, dass das Sample weder die Produktion noch das Internet erreichen kann.
Wie erkennt und umgeht Malware Analyse-Sandboxes, und wie wirkst du dem entgegen?
Sandbox-bewusste Malware prüft, ob sie beobachtet wird, bevor sie sich fehlverhält. Sie sucht nach VM- und Hypervisor-Artefakten (Treiber, MAC-Präfixe, Registry-Schlüssel, CPUID), nach Analyse-Werkzeugen und Debuggern (Prozessnamen, IsDebuggerPresent, Timing des Single-Steppings) und nach Anzeichen eines echten Benutzers (wenige Prozesse, keine zuletzt verwendeten Dokumente, keine Mausbewegung, niedrige Uptime, kleine Festplatte). Sie kann mit langen Sleeps verzögern oder nur an einem bestimmten Datum, in einer bestimmten Sprache oder Domäne auslösen. Analysten wirken dem entgegen, indem sie die VM so härten, dass sie echt aussieht, die Prüfungen herauspatchen, Sleeps vorspulen, Benutzeraktivität simulieren und das Verhalten mit statischem Disassembly bestätigen.
Führe mich durch deine zentralen Werkzeuge für statische gegenüber dynamischer Malware-Analyse und wann du jedes einsetzt.
Statische Werkzeuge lesen das Sample im Ruhezustand: PEStudio, CFF Explorer und pefile für Header und Imports, FLOSS und strings für eingebetteten Text, capa für das Mapping von Fähigkeiten und Ghidra oder IDA für Disassembly. Dynamische Werkzeuge beobachten es bei der Ausführung in einer isolierten VM: Procmon und Process Hacker für Host-Aktivität, Wireshark und INetSim oder FakeNet für ein gefälschtes Netzwerk, Regshot für Vorher/Nachher-Diffs und x64dbg für kontrolliertes Stepping. Der Workflow ist: statisch triagieren, dynamisch detonieren und dann zum Disassembler zurückkehren, um Verhaltenslücken zu füllen.
Beschreibe, wie du ein gepacktes Sample entpackst, um den ursprünglichen Code zu erreichen.
Entpacken stellt den ursprünglichen Code wieder her, den der Packer verborgen hat. Für bekannte Packer nutzt du den passenden Unpacker oder einen Emulator. Für eigene Packer entpackst du manuell: Führe das Sample in einem Debugger aus, lass den Stub die Payload in den Speicher dekomprimieren, finde den Moment, in dem er zum ursprünglichen Entry Point springt (oft durch Breakpoint auf Speicher, der ausführbar wird, oder auf den Tail-Jump), dumpe dann das Prozess-Image aus dem Speicher und baue die Import Address Table mit einem Werkzeug wie Scylla oder PE-sieve wieder auf. Das Ergebnis ist eine lauffähige oder analysierbare PE, die die echte Payload enthält.
Erklären Sie, wie YARA-Regeln funktionieren und was eine Regel wirksam macht statt fragil oder rauschanfällig.
Eine YARA-Regel besteht aus einem meta-Block, einem strings-Abschnitt (Text-, Hex- oder Regex-Muster mit Wildcards und Sprüngen) und einer Bedingung, die diese Treffer mit boolescher und Zähllogik kombiniert. Eine wirksame Regel stützt sich auf etwas Dauerhaftes und Unverwechselbares — einen einzigartigen Code-Stub, einen Mutex-Namen, einen Konfigurationsmarker oder eine ungewöhnliche Import-Kombination — statt auf Werte, die ein Angreifer trivial ändert wie einen einzelnen Hash oder einen generischen String. Man wägt Spezifität gegen Fehlalarme ab, testet gegen einen sauberen Korpus und dokumentiert die Regel, damit andere ihr vertrauen und sie pflegen.
Erläutern Sie mir den Prozess der digitalen Forensik und Incident Response.
DFIR folgt einem disziplinierten Prozess: Identifikation (Vorfall bestätigen und eingrenzen), Sicherung (Beweise nach Order of Volatility bewahren, mit forensischen Images und Hashes), Analyse (Zeitachse, Grundursache, Umfang der Kompromittierung) und Reporting (Befunde für technische und juristische Zielgruppen). Die Chain of Custody dokumentiert, wer jedes Artefakt wann angefasst hat, damit die Beweise standhalten, falls sie je vor Gericht landen. Bewahren vor Beheben.
Wie funktioniert traceroute, und welche Rolle spielt das TTL-Feld?
Traceroute entdeckt die Router zwischen Ihnen und einem Ziel, indem es das TTL-Feld ausnutzt. Es sendet Pakete mit TTL=1, dann 2, dann 3 und so weiter. Jeder Router verringert die TTL; erreicht die TTL null, verwirft dieser Router das Paket und gibt eine ICMP-Time-Exceeded-Nachricht zurück, die seine Adresse offenbart. Durch das schrittweise Erhöhen der TTL bildet traceroute jeden Hop der Reihe nach ab, bis das Ziel erreicht ist.
Was ist eine DMZ in der Netzwerkarchitektur, und warum würde man eine einsetzen?
Eine DMZ (demilitarisierte Zone) ist ein Netzsegment, das zwischen dem nicht vertrauenswürdigen Internet und dem vertrauenswürdigen internen Netz sitzt und öffentlich erreichbare Dienste wie Web-, Mail- und DNS-Server beherbergt. Firewall-Regeln lassen das Internet die DMZ erreichen, beschränken aber den Zugriff der DMZ auf das interne Netz streng. Das Ziel ist Eindämmung: wird ein öffentlicher Server kompromittiert, steckt der Angreifer in der Pufferzone fest, statt im LAN zu landen.
Führen Sie mich durch Kerberoasting — wie es funktioniert, warum es möglich ist und wie Verteidiger es stoppen.
Jeder authentifizierte Domänenbenutzer kann ein Kerberos-Service-Ticket (TGS) für jedes Konto mit einem SPN anfordern. Dieses Ticket ist mit dem NTLM-Passwort-Hash des Dienstkontos verschlüsselt, sodass Sie es extrahieren und das Passwort offline knacken — kein privilegierter Zugriff zu Beginn nötig, und es ist nahezu lautlos.
Erklären Sie Reverse Shells im Vergleich zu Bind Shells und wann Sie welche wählen würden.
Eine Bind Shell öffnet einen lauschenden Port auf dem Ziel und wartet, dass Sie sich verbinden. Eine Reverse Shell lässt das Ziel ausgehend zu einem von Ihnen kontrollierten Listener verbinden. Reverse Shells gewinnen meist, weil ausgehender Verkehr eingehende Firewall-Regeln und NAT umgeht.
Erkläre mir, wie du einen frisch aufgesetzten, internetzugänglichen Linux-Server härten würdest.
Angriffsfläche reduzieren (ungenutzte Pakete/Dienste entfernen), SSH nur per Schlüssel und ohne Root-Login erzwingen, das System gepatcht halten, eine Default-Deny-Firewall betreiben, die nur nötige Ports freigibt, geringste Rechte über sudo und Dateirechte durchsetzen, auditd und zentrales Logging aktivieren sowie Integritätsüberwachung plus ein MAC wie SELinux oder AppArmor ergänzen.
Beide beinhalten fehlgeschlagene Logins. Wie würden Sie in Ihren Logs einen Brute-Force-Angriff von einem Password Spray unterscheiden?
Brute Force zielt auf ein einzelnes Konto mit vielen Passwortversuchen, daher sieht man viele Fehlschläge auf einen Benutzernamen konzentriert. Password Spray dreht das um: ein oder wenige gängige Passwörter über viele Konten probiert, langsam und unauffällig, sodass jedes Konto nur ein paar Fehlschläge sieht. Das Erkennungssignal ist das Verhältnis von Konten zu Fehlschlägen und das Timing, nicht die reine Anzahl der Fehlschläge.
Warum sind DNS-Logs für die Detektion nützlich, und welche Bedrohungen kann man darin finden?
Fast alles berührt DNS, daher offenbaren DNS-Logs Bedrohungen, die andere Quellen verpassen: Command-and-Control-Beaconing (regelmäßige Callbacks zu einer Domain), DNS-Tunneling und -Exfiltration (hohes Volumen langer, kodierter Subdomains) sowie algorithmisch generierte (DGA) Domains. Man erkennt sie über Muster wie Abfrageregelmäßigkeit, Entropie, Record-Typen und Volumen statt über eine einzelne verdächtige Abfrage.
Ein Angreifer hat auf einem Host Fuß gefasst. Nach welchen Anzeichen von Lateral Movement würden Sie jagen?
Lateral Movement bedeutet, dass ein Angreifer einen Fußabdruck nutzt, um andere Systeme zu erreichen. Anzeichen sind unerwartete Netzwerk-Logons (Typ 3) und RDP (Typ 10), Zugriff auf Admin-Shares wie C$ und ADMIN$, Remote-Ausführungstools wie PsExec, WMI und WinRM, Pass-the-Hash-Muster und ein normalerweise lokales Konto, das sich plötzlich an vielen Hosts authentifiziert.
Wie würden Sie das MITRE-ATT&CK-Framework nutzen, um Ihre Detektionsabdeckung zu verbessern?
ATT&CK ist eine Wissensbasis realer gegnerischer Taktiken und Techniken. In einem SOC bildet man jede Detektionsregel auf die Techniken ab, die sie abdeckt, baut eine Abdeckungskarte (oft mit dem ATT&CK Navigator) und priorisiert dann das Schließen von Lücken danach, welche Techniken für das eigene Bedrohungsmodell am relevantesten sind und auf welche man keinerlei Sichtbarkeit hat.
Ein Nutzer meldet eine verdächtige E-Mail. Führen Sie mich durch Ihr sicheres Triage-Vorgehen.
Prüfen Sie die E-Mail sicher ohne zu klicken: Header und Absender-Authentifizierung (SPF/DKIM/DMARC) checken, URLs und Anhänge in einer Sandbox oder mit Reputations-Tools inspizieren, dann den Umfang bestimmen — wer sie sonst erhielt, ob jemand klickte oder Zugangsdaten eingab. Je nach Befund remediieren: E-Mail purgen, Indikatoren blockieren und kompromittierte Zugangsdaten zurücksetzen.
Ein SIEM-Alert wird wegen eines verdächtigen Logins ausgelöst. Führen Sie mich durch Ihr Triage-Vorgehen.
Bestätigen Sie vor dem Handeln, dass der Alert echt ist: Lesen Sie, was ausgelöst wurde und warum, dann reichern Sie an — wer ist der Benutzer, sind Quell-IP/Geo/Gerät erwartbar, ist es Impossible Travel, gab es zuvor Fehlschläge? Klassifizieren Sie als echten oder falschen Treffer, eskalieren oder dämmen Sie ein, wenn echt (Sitzung deaktivieren, MFA-Reset erzwingen), und dokumentieren Sie alles, damit der nächste Analyst Ihrer Argumentation folgen kann.
Erklären Sie mir, was die Windows-Event-IDs 4624, 4625 und 4688 bedeuten und wie Sie sie in einer Untersuchung nutzen würden.
4624 ist ein erfolgreicher Logon, 4625 ein fehlgeschlagener Logon und 4688 eine Prozesserstellung. In einer Untersuchung nutzen Sie 4625, um Credential-Angriffe aufzuspüren, 4624 (mit seinem Logon-Typ und der Quelle), um einen erfolgreichen Zugriff und dessen Zustandekommen zu bestätigen, und 4688, um zu sehen, was tatsächlich ausgeführt wurde, idealerweise mit aktiviertem Kommandozeilen-Auditing.
Erhalte 100 Cybersecurity-Interviewfragen + Antworten
Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.
Kein Spam. Jederzeit abbestellbar.