Tag IT-Security

Analyse von Censys zeigt das potenzielle Ausmaß von zwei Schwachstellen mit hohem Sicherheitsrisiko

Zuletzt wurden zwei schwerwiegende Sicherheitslücken in Produkten von Microsoft bekannt, die jeweils unterschiedliche, aber gleichermaßen kritische Angriffsflächen betreffen. Eine Analyse von Censys, einem der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, zeigt, wie groß die potenzielle Gefährdung ist. Viele der insgesamt 108.447 potenziell betroffenen Instanzen befinden sich in Mitteleuropa.

Kritische Lücke in SharePoint-Servern

Die Schwachstelle CVE-2025-53770 betrifft Microsoft SharePoint-Server und wird mit einem hohen CVSS-Score von 9,8 als äußerst kritisch eingestuft. Sie ermöglicht die unauthentifizierte Ausführung von Remote Code auf On-Premises-Servern. Über eine Lücke im Endpoint /_layouts/15/ToolPane.aspx können Angreifer schädliche Dateien direkt auf den Server schreiben. Anschließend können sie sensible kryptografische Schlüssel aus den Konfigurationsdateien extrahieren. Mit diesen Schlüsseln lassen sich legitim aussehende, signierte Payloads generieren, die eine vollständige Kontrolle über den Server ermöglichen.

Eine Analyse von Censys zeigt: Anfang August waren 9.762 aktive On-Premises-SharePoint-Server im Internet sichtbar, die potenziell verwundbar sind – ein Großteil davon in Europa. Über die verschiedenen Censys-Plattformen kann gezielt nach potenziell verwundbaren Servern gesucht werden. Für die betroffenen Geräte wurden Informationen zu den Versionen erfasst; anhand der zur Verfügung stehenden Daten ist jedoch nicht feststellbar, ob die erforderlichen Patches erfolgreich auf die Instanzen angewendet wurden. Daher sind auch keine Rückschlüsse darauf möglich, ob die Instanzen tatsächlich anfällig für die Schwachstelle sind.

Schwachstelle in Exchange-Hybrid-Umgebungen

Auch die Sicherheitslücke CVE-2025-53786 sorgt für Aufmerksamkeit. Mit einem CVSS-Score von 8,0 ermöglicht sie es Angreifern mit bestehenden Administratorrechten, ihre Berechtigungen innerhalb der verbundenen Cloud-Umgebung eines Unternehmens auszudehnen. Dies ist aufgrund von gemeinsamen Dienstprinzipalen in Hybridkonfigurationen möglich. Die Sicherheitslücke betrifft nur On-Premises-Exchange-Server, die in einer hybriden Exchange-Bereitstellung konfiguriert sind – also Bereitstellungen, die Exchange-Server mit Exchange Online in Microsoft 365 kombinieren. Eine erfolgreiche Ausnutzung der Schwachstelle kann unbefugte Kontrolle über Exchange-Online-Dienste ermöglichen. Sowohl Microsoft als auch die CISA haben bereits Sicherheitswarnungen mit dringenden Maßnahmen zur Schadensbegrenzung veröffentlicht.

Das Censys Research Team konnte in seiner Analyse insgesamt 98.685 On-Premises-Exchange-Server beobachten, die online erreichbar und potenziell betroffen sind. Auch hier sind zwar Rückschlüsse auf die Versionen der Geräte möglich; ob ein Exchange-Server in einer Hybrid-Umgebung bereitgestellt wird oder welche CU auf eine exponierte Instanz angewendet wurde, ist aber nicht feststellbar. Daher sollten alle diese Instanzen als potenziell anfällig betrachtet werden. Besonders viele Fälle wurden ebenfalls in Mitteleuropa beobachtet.

Erfahren Sie mehr zu den beiden Schwachstellen und den Analysen von Censys: https://censys.com/advisory/cve-2025-53770 und https://censys.com/advisory/cve-2025-53786.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Nachdem der Chief Legal Officer von Microsoft France vor dem französischen Senat zugab, dass US-Behörden möglicherweise auf EU-Daten zugreifen können, die auf Microsoft-Servern gespeichert sind, wurden Bedenken hinsichtlich des Konflikts zwischen den EU-Datenschutzgesetzen und US-Gesetzen wie dem CLOUD Act laut. Dies hat die Besorgnis europäischer Unternehmen erhöht und viele dazu veranlasst, ihre Datensicherheitsstrategien zu überdenken, um die Kontrolle zu behalten und die EU-Datenschutzstandards einzuhalten.

Deutsche Unternehmen sind trotz der Einhaltung strenger EU-Datenschutzvorschriften erheblichen Risiken ausgesetzt, da US-Behörden weiterhin auf Daten amerikanischer Technologieunternehmen zugreifen können, was zu Rechtsunsicherheit und Kontrollverlust über sensible Informationen führt. Die Abhängigkeit von marktbeherrschenden US-Anbietern könnte auch zu kostspieliger Anbieterabhängigkeit, erhöhter betrieblicher Komplexität und geopolitischen Risiken führen, was letztlich das Vertrauen von Kunden und Partnern untergräbt.

Nextcloud ermöglicht deutschen Unternehmen die vollständige Kontrolle und den Schutz ihrer Daten durch eine sichere, DSGVO-konforme Cloud-Lösung, die ausschließlich in Deutschland gehostet wird. So werden sensible Informationen gemäß den strengen Datenschutzgesetzen Deutschlands und der EU geschützt, was den wachsenden Bedenken hinsichtlich Datenhoheit und -sicherheit Rechnung trägt.

Die robuste Plattform von Nextcloud verfügt über wichtige Sicherheitsfunktionen wie End-to-End-Verschlüsselung, detaillierte Zugriffskontrollen für Dateien und Ordner, leistungsstarke Auditing-Tools zur Verfolgung von Datenzugriffen und -änderungen sowie regelmäßige Sicherheitsupdates zum Schutz vor neuen Cyber-Bedrohungen.

„Für viele Firmen kann es echt kompliziert sein, eine sichere Cloud-Umgebung einzurichten und zu verwalten“, sagt Oliver Dick, Geschäftsführer bei hosting.de. „Unser Managed Nextcloud Business Service macht das einfacher, indem wir fachkundigen Support bieten und alles in deutschen Rechenzentren hosten, sodass die Datenschutzbestimmungen eingehalten werden und der Betrieb weniger Aufwand verursacht.“

Unternehmen, die Nextcloud ausprobieren wollen, können bei hosting.de eine kostenlose, dauerhafte Nextcloud-Instanz buchen, um sich einen ersten Eindruck zu verschaffen.

Als offizieller Nextcloud Gold Partner verbessert hosting.de die Datensicherheit durch seinen Managed Nextcloud Business Service, der eine benutzerfreundliche Oberfläche für die Dateiverwaltung, Berechtigungseinstellungen und die Zusammenarbeit über verschiedene Geräte hinweg bietet. Der Service unterstützt auch die Automatisierung von Arbeitsabläufen über öffentliche APIs, umfasst einen kompetenten technischen Support vor Ort und ermöglicht es Unternehmen, unter ihrer eigenen Domain zu arbeiten, um mehr Kontrolle zu haben.

Mit mehr als 22 Jahren Erfahrung im Hosting ermöglicht hosting.de Unternehmen jeder Größe die sichere gemeinsame Nutzung und Synchronisierung von Daten unter Einhaltung aller Vorschriften und geschützt vor dem Zugriff durch ausländische Regierungen.

Managed Nextcloud Business Service: https://www.hosting.de/nextcloud/managed-nextcloud-business/

Weitere Infos findest Du unter https://www.hosting.de/

.

Kontakt
hosting.de GmbH
Presse Team
Franzstr. 51
52064 Aachen
0241 – 46 31 44 80
https://www.hosting.de/

Ausgefeilte Malware-Infrastrukturen mit geopolitischem Bezug

Censys, einer der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, analysiert in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei werden exemplarisch zwei hochentwickelte Malware-Kampagnen beleuchtet. Beide Fälle geben Einblicke in die Infrastruktur und Taktik von Angreifern.

Wainscot

Die APT-Gruppe Secret Blizzard steht vermutlich mit Russland in Verbindung und griff gezielt die Command-and-Control-Infrastruktur von Storm-0156 an, ein vermutlich mit Pakistan verbundener Bedrohungscluster. Da Angriffe zwischen Bedrohungsgruppen, die mit Nationalstaaten verbunden sind, selten sind, führte Censys eine genauere Analyse dieser Kampagne durch.

Bei dem Angriff von Secret Blizzard auf storm-0156 wurde eine mutmaßliche Variante der Wainscot-Malware genutzt, um automatisch Daten aus dem angegriffenen System zu exfiltrieren. Interessant ist die mutmaßliche Modifizierung von Wainscot: Das beobachtete infizierte System begann nach der Verbindung direkt mit dem Senden von Dokumenten und Bildern, anstatt wie üblich die eingehende Anfrage zunächst mit einer Check-in-Anfrage zu starten. Ein einzelner mit Wainscot infizierter Host versuchte in unvorhersehbaren Abständen von einer anderen IPv4-Adresse aus, Daten zu exfiltrieren. Bei dem Ziel der Kampagne handelt es sich vermutlich um ein indisches Militärziel in einer ländlichen Konfliktzone. Es ist anzunehmen, dass Wainscot absichtlich modifiziert wurde, um die Exfiltration aus einem Zielsystem mit unzuverlässiger Internetverbindung zu unterstützen, indem Dateien verfolgt und extrahiert werden, sobald eine Internetverbindung besteht.

BeaverTail

Die Malware ist Teil einer Kampagne von mutmaßlich nordkoreanischen Akteuren, die auf den Diebstahl sensibler Informationen und die Vorbereitung weiterer Angriffe abzielt. Die Python-basierte Malware tarnt sich häufig als legitime Videokonferenzsoftware. Nach einer ersten Phase als Infostealer installiert sie InvisibleFerret, ein Tool für Keylogging und Fernsteuerung.

Das Forschungsteam von Censys entdeckte mehrere aktive Kontrollserver mit offenen TCP-Ports. Einige Server dienten ausschließlich der Kommunikation mit infizierten Hosts, andere boten ein Anmeldefenster, vermutlich als Interface zur Steuerung der kompromittierten Systeme. Überschneidende Nutzlasten deuten darauf hin, dass die Angreifer eine vorgeschaltete Proxy-Ebene einsetzen, um ihre Infrastruktur zu verschleiern.

Die Forscher von Censys beobachten bei BeaverTail eine klare Ausrichtung auf Softwareentwickler: Die Täter imitieren Arbeitsweisen von Freelance-Entwicklern, teilen Backdoor-Code auf GitHub und platzieren Loader über Paket-Repositories. Diese gezielte Anpassung erhöht die Erfolgschancen der Kampagnen erheblich. Dabei beruht die Effektivität von BeaverTail weniger auf technischer Komplexität, sondern vielmehr auf der hohen Anpassungsfähigkeit und Beharrlichkeit der Akteure – Eigenschaften, die eine anhaltende Bedrohung darstellen.

Mehr über das konkrete Vorgehen der Forscher bei der Untersuchung der Wainscot- und BeaverTail-Kampagnen erfahren Sie im Blogbeitrag unter https://censys.com/blog/2025-state-of-the-internet-malware-investigations.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Censys, einer der führenden Anbieter im Bereich Attack Surface Management und Threat Intelligence, hat im Rahmen des neuen State of the Internet Reports zentrale Sicherheitsvorfälle aus dem Jahr 2024 zusammengetragen und analysiert. Der Forschungsbericht gibt Einblicke in reale Angriffe, identifizierte Schwachstellen und die Reaktion von Behörden und Industrie auf Bedrohungen im globalen Cyberspace.

Exploits in Cleo MFT: über 1.000 potenziell verwundbare Systeme

Im Dezember 2024 veröffentlichte Cleo Informationen zu zwei kritischen Schwachstellen in seiner Managed-File-Transfer-Lösung: CVE-2024-55956 und CVE-2024-50623. Die Lücken ermöglichten unauthentifizierten Datei-Upload, Download und Remote-Code-Ausführung. Censys entdeckte daraufhin weltweit 1.011 potenziell betroffene Instanzen – rund 70% aller öffentlich erreichbaren Cleo-MFT-Systeme. Die Sicherheitslücken wurden laut Bericht offenbar von Angreifergruppen wie Cl0p und Termite in gezielten Kampagnen missbraucht.

Zero-Day öffnet Tür für DragonForce-Ransomware

Eine weitere kritische Schwachstelle, CVE-2024-55591, betrifft FortiOS- und FortiProxy-Systeme und ermöglicht Angreifern die Umgehung der Authentifizierung. Im März 2025 entdeckte Censys Hinweise auf die aktive Ausnutzung – unter anderem in Form einer öffentlich zugänglichen Dateiablage mit Exploit-Code, die Verbindungen zur DragonForce-Ransomware-Kampagne aufwies.

Strafverfolger schalten weltweit Cobalt Strike-Server ab

Ein weiterer Punkt des Berichts ist die globale Strafverfolgungsaktion „Operation Morpheus“ aus dem Juni 2024. In deren Rahmen wurden insgesamt 593 illegal betriebene Cobalt Strike-Server vom Netz genommen. Censys konnte die Auswirkungen in seinen Scans nachvollziehen: Während die Zahl entdeckter Instanzen zunächst deutlich zurückging, wurde kurz darauf bereits ein erneuter Anstieg registriert – ein Hinweis auf den raschen Wiederaufbau der Infrastruktur durch Cyberkriminelle.

Frühwarnzeichen ernst nehmen – handeln statt warten

Der Bericht macht deutlich: Die Zeitspanne zwischen Bekanntwerden einer Schwachstelle und ihrer aktiven Ausnutzung ist extrem kurz. Gleichzeitig gelingt es Angreifern zunehmend, sich mit Hilfe offener oder öffentlich gewordener Tools (z.B. Exploit-Repositories) schnell und zielgerichtet auf neue Angriffsvektoren einzustellen. Für Unternehmen und Sicherheitsteams liefert der Report wertvolle Erkenntnisse für das Schwachstellenmanagement und Incident Response.

Censys stellt die wesentlichen Erkenntnisse des Forschungsberichts in einer Blogreihe vor und untersucht die Infrastruktur von Angreifern dabei aus unterschiedlichen Blickwinkeln. Mehr über den Forschungsbericht erfahren Sie im Blogbeitrag unter https://censys.com/blog/2025-state-of-the-internet-notable-incidents.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

ManageEngine erweitert AD360 um Funktionen für Risikomanagement und Multifaktorauthentifizierung

ManageEngine, eine Geschäftssparte der Zoho Corporation und führender Anbieter von IT-Management-Lösungen für Unternehmen, erweitert AD360, seine integrierte Plattform für Identity- und Access-Management (IAM), um neue Funktionen für das Management von Identitätsrisiken und MFA für lokale Nutzer. So können IT-Sicherheitsverantwortliche erkennen, wenn Zugriffsrechte erweitert werden und bisher nicht verwaltete, lokale Nutzerkonten effektiver schützen – und damit zwei der von Angreifern weiterhin am häufigsten genutzten identitätsbasierten Angriffsvektoren ausschließen.

Identitäten sind nach wie vor einer der primären Angriffsvektoren, über die moderne Unternehmen angegriffen werden, wie der „2025 Data Breach Investigations Report“ von Verizon zeigt. Laut diesem Report sind missbräuchlich verwendete Anmeldedaten bei 22 Prozent aller sicherheitsrelevanten Vorfälle der primäre Angriffsvektor. Der Report betont zudem, dass missbräuchlich verwendete, unzureichend verwaltete lokale Nutzerkonten und Berechtigungspfade bei mehr als 12.000 der erfassten sicherheitsrelevanten Vorfälle eine wichtige Rolle spielten.

„Mit diesem Update ist ManageEngine AD360 in der Lage, viel mehr zu leisten als eine herkömmliche IAM-Lösung. Schutzmaßnahmen gegen identitätsbasierte Bedrohungen sind ab sofort in zentrale identitätsbasierte Prozesse integriert. Außerdem unterstützt die Lösung unsere Kunden dabei, Identitätsdaten in sicherheitsrelevante Erkenntnisse umzuwandeln. Diese IAM wird dann zur ersten Verteidigungslinie gegen Bedrohungen statt zu einem To-Do auf einer Checkliste“, sagt Manikandan Thangaraj, Vice President von ManageEngine.

Während sich die meisten IAM-Lösungen auf die Gestaltung und Durchsetzung von Sicherheitsrichtlinien fokussieren, bietet AD360 zusätzlich Einblicke in potenzielle Schwachstellen durch eine Analyse von Angriffspfaden und eine lokale Anwendung von MFA-Richtlinien. So können Unternehmen auch solche Schwachstellen schließen, die oftmals unentdeckt bleiben – ein wichtiger Schritt, um Identitätsmanagement von nur einer weiteren Schutzebene in eine aktive Sicherheitsmaßnahme zu transformieren.

Die neuen Funktionen im Überblick:

– Identity Risk Exposure Management: Die Lösung bietet eine grafische Darstellung von erweiterten Zugriffsberechtigungspfaden im Active Directory (AD), priorisiert dabei automatisch potenziell riskante Konfigurationen und gibt Empfehlungen für Schutzmaßnahmen. AD-Objekte werden dabei grafisch als Knoten modelliert und die Erweiterung von Berechtigungen als Linien – so können auch mehrstufige Angriffe in Echtzeit visualisiert werden und IT-Security-Teams erhalten zudem konkrete Vorschläge, um diese Schwachstellen zu schließen.

– MFA für lokale Nutzerkonten: Diese Funktion erweitert adaptive MFA auf lokale Nutzerkonten auf nicht mit einer Domäne verbundenen Servern sowie in DMZ- und Testumgebungen und schützt so vor Credential Stuffing oder Persistenzangriffen.

– Machine Learning-gestützte Zugriffsempfehlungen: Während der Bereitstellung und Überprüfung von Zugriffsrechten analysiert die Lösung auf Machine Learning-Basis Berechtigungsmuster und empfiehlt Anpassungen dieser, um Zugriffrechte mit den geringstmöglichen Berechtigungen zu implementieren.

ManageEngine hat außerdem das Zugriffszertifizierungsmodul der AD360-Lösung verbessert, das ab sofort auch zusätzliche Berechtigungen für umfassendere Überprüfungen bietet und vorhandene Risk-Assessment-Funktionalitäten um neue Indikatoren für verbesserte Überwachung von Identitätsrisiken in AD- und Microsoft 365-Umgebungen erweitert. Diese Verbesserungen optimieren das Compliance-Reporting sowie Access-Governance-Prozesse im gesamten Unternehmen. Die neuen Funktionen unterstützen NIST SP 800-207 für Zero Trust-Architekturen, erfüllen die Anforderung 8 der PCI DSS Version 4.0 und vereinfachen so die Einhaltung von SOX-, HIPAA- und DSGVO-Auflagen.

Weitere Informationen zum Management von Identitätsrisiken per AD360 finden Sie hier (https://www.manageengine.com/products/self-service-password/) und weitere Informationen zu den MFA-Funktionen für lokale Nutzer hier (https://www.manageengine.com/products/self-service-password/).

Über AD360
ManageEngine AD360 ist eine einheitliche Identitätsplattform, die Menschen, Technologien und Nutzererlebnisse nahtlos miteinander verknüpft und Unternehmen umfassende Transparenz und Kontrolle über ihre Identitätsinfrastrukturen bietet. Sie umfasst automatisiertes Life Cycle Management, sicheres Single-Sign-On (SSO), adaptive Multifaktorauthentifizierung (MFA) sowie risikobasierte Governance-, Auditing- und Compliance-Funktionen und Identitätsanalysen über eine zentrale, intuitive Bedienoberfläche.

Durch umfangreiche, sofort einsetzbare Integrationen und Unterstützung für benutzerdefinierte Konnektoren lässt sich AD360 problemlos in bestehende IT-Ökosysteme integrieren, um die Sicherheit im gesamten Unternehmen zu verbessern und identitätsbasierte Prozesse zu optimieren. AD360 wird von führenden Unternehmen aus den Branchen Gesundheitswesen, Finanzen, Bildung und öffentlicher Verwaltung genutzt und vereinfacht das Identity Management, steigert die Sicherheit und gewährleistet die Einhaltung sich kontinuierlich ändernder gesetzlicher Auflagen.

Mehr Informationen finden Sie unter https://www.manageengine.com/active-directory-360/ .

Über ManageEngine
ManageEngine ist eine Geschäftssparte der Zoho Corporation und bietet sowohl internationalen Unternehmen als auch Managed-Services-Provider umfassende On-Premises- und Cloud-basierte Lösungen für die Bereiche IT- und Sicherheits-Management. Sowohl etablierte Unternehmen als auch Start-ups – darunter neun von zehn Fortune-100-Unternehmen – setzen auf die Echtzeit-IT-Management-Tools von ManageEngine, um den Betrieb ihrer IT-Infrastruktur zu optimieren, einschließlich Netzwerke, Server, Anwendungen, Endpoints und vielem mehr. ManageEngine verfügt über 18 Rechenzentren, 20 Standorte und einem Netz von mehr als 200 Vertriebspartnern weltweit, um Unternehmen dabei zu unterstützen, ihre Geschäftsprozesse und ihre IT aufeinander abzustimmen.

Firmenkontakt
ManageEngine (Kontakt: PR-Agentur)
Sven Kersten-Reichherzer
Sendlinger Straße 42A
80331 München
+49 89 211 871 36
https://www.manageengine.com/de/

Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42A
80331 München
+49 89 211 871 36

Home Page

Aktiengesellschaft als Grundlage für globale Expansion

Ramon Weil, Founder & CEO, und ab sofort auch Vorstandsvorsitzender der SECUINFRA Cyber Defense AG (Bildquelle: SECUINFRA)

Die SECUINFRA GmbH geht den nächsten Schritt auf ihrem Wachstumspfad und firmiert künftig unter dem Dach der neu gegründeten SECUINFRA Cyber Defense AG. Die Holdinggesellschaft mit einem Gründungskapital von 1.500.000 Euro bildet das strategische Fundament für die internationale Expansion des Berliner Unternehmens, das seit 2010 auf die Erkennung, Analyse und Abwehr von Cyberangriffen spezialisiert ist.

„Mit der Gründung der SECUINFRA Cyber Defense AG gehen wir den nächsten Schritt auf dem Weg zum führenden deutschen Cyber Defense Unternehmen“, sagt Ramon Weil, Founder und CEO von SECUINFRA und künftig auch Vorstandsvorsitzender der neuen Aktiengesellschaft.

Cyber Defense Made in Germany
Die SECUINFRA Cyber Defense AG bildet die Basis einer Holdingstruktur, unter deren Dach die bestehende SECUINFRA GmbH sowie künftige Landesgesellschaften gebündelt werden. Damit verfolgt das Unternehmen eine klare Wachsstumsstrategie: Schritt für Schritt soll ein international erfolgreicher Cyber Defense Champion entstehen – mit Wurzeln in Deutschland, aber weltweiten Ambitionen. Ziel ist es, „Cyber Defense Made in Germany“ überall populär zu machen und in neue Märkte zu exportieren.

In den kommenden Jahren plant SECUINFRA daher den weiteren Ausbau seiner Position in der DACH-Region sowie in Skandinavien. Bereits heute ist SECUINFRA neben Deutschland auch in Österreich und Dänemark mit Kunden und Mitarbeitenden präsent. 2026 sollen dort eigene Landesgesellschaften gegründet und die lokalen Teams weiter gestärkt werden. Erst im April 2025 hatte das Unternehmen eine weitere Expansion nach Schweden angekündigt. Auch die Entwicklung des Geschäfts in der Schweiz sowie in Norwegen, Finnland und Island steht auf der Agenda. Darüber hinaus nahm der Cybersecurity-Spezialist in diesem Jahr erstmals an der GISEC (Gulf Information Security Expo and Conference) in Dubai teil, was klare Bestrebungen in Richtung der Mitgliedsstaaten des Golf-Kooperationsrates (GCC) erkennen lässt. Trotz dieser ambitionierten Wachstumspläne bleibt SECUINFRA seinen Grundsätzen treu, wie Ramon Weil betont: „Wir wachsen weiter, aber wie immer mit Bedacht, Schritt für Schritt und ohne externe Investoren. Denn der Aufbau eines global erfolgreichen Unternehmens ist kein Sprint, sondern ein Marathon.“

Der Aufsichtsrat der neuen SECUINFRA Cyber Defense AG setzt sich wie folgt zusammen:
– Jens Mebus: Steuerberater
– Dr. Steffen Guber: Jurist
– Jesko Borczanowski: Unternehmer

Damit vereint die neue Gesellschafterstruktur jede Menge Fachkompetenz und Erfahrung aus Wirtschaft und Recht. Ramon Weil wird dem Vorstand der SECUINFRA Cyber Defense AG vorstehen und ist für die Gesamtleitung der AG verantwortlich.

SECUINFRA, Experte und Partner für Cyber Defense, hat sich seit 2010 auf die Erkennung, Analyse sowie Abwehr von Cyberangriffen spezialisiert. Die Kernkompetenz liegt in den Bereichen Managed Detection & Response (MDR) und Incident Response (IR). Mittels MDR erkennt und analysiert SECUINFRA 365 Tage im Jahr, rund um die Uhr Cyberangriffe auf Unternehmen und wehrt diese ab, bevor hoher Schaden entsteht. Das Incident Response Team hilft Unternehmen bei der Bewältigung von Cyberangriffen. Weiterhin unterstützt SECUINFRA Unternehmen beim Aufbau und Betrieb von Security Operations Centern (SOC) und Cyber Detection and Response Centern (CDRC).

Firmenkontakt
SECUINFRA Cyber Defense AG
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748

Start

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748
https://www.frankemedia.com/

Neuer Forschungsbericht analysiert Malware-Instanzen

Censys, einer der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, hat für seinen jährlichen Forschungsbericht die Infrastrukturen von Angreifern bei Cyberangriffen untersucht. Gegenstand der Untersuchung sind Command-and-Control-Infrastrukturen (C2) und weitere Tools, die Hacker für den Angriff und die Kompromittierung von Systemen nutzen.

C2-Infrastrukturen werden als Teil von Malware- oder Botnet-Operationen für die Verwaltung und Kommunikation mit kompromittierten Geräten verwendet. So können Angreifer mehrere kompromittierte Geräte aus der Ferne überwachen, Befehle erteilen, Daten exfiltrieren und Aktionen koordinieren. Neben C2 und anderer Malware untersucht der Censys State of the Internet Report 2025 auch die Nutzung kompromittierter privater Netzwerkgeräte. Angreifer setzen diese ein, um den Angriffsverkehr über einen Proxy zu leiten und unentdeckt zu bleiben.

2.906 Malware-Instanzen entdeckt, Deutschland weltweit auf Platz 6

Für den Forschungsbericht wurden Angriffe und Malware-Instanzen zwischen Dezember 2024 und Mai 2025 untersucht. Während des sechsmonatigen Untersuchungszeitraums wurden durchschnittlich 2.906 Malware-Instanzen für jeden untersuchten Tag entdeckt, mit der höchsten Anzahl von Angriffen Mitte Dezember. Anfang Januar 2025 gab es nach diesem Peak in den erkannten Malware-Angriffen einen Rückgang um 14 %.

Zu den am häufigsten beobachteten Malware-Arten gehören unter anderem Fortra Cobalt Strike, VIPER, Silver und Remcos. Von den beobachteten C2-Infrastrukturen macht Cobalt Strike insgesamt 34 % aus. Die Abnahme an entdeckten Malware-Instanzen im Januar dürfte so auch hauptsächlich auf den Rückgang der Cobalt Strike-Instanzen in diesem Zeitraum zurückzuführen sein.

In China und den USA wurden die meisten schädlichen Infrastrukturen beobachtet – zusammen beherbergen beide Länder 55 % der Malware. Insgesamt wurden Malware-Instanzen in 62 Ländern beobachtet, Deutschland liegt in den Top 10 auf Platz sechs mit 123 erkannten Infrastrukturen von Angreifern. Die hohe Konzentration bösartiger Infrastrukturen in China und den USA ist vermutlich unter anderem auf die Verfügbarkeit von Hosting-Anbietern zurückzuführen. Die größten Konzentrationen an Malware in Netzwerken sind bei zwei in China und einem in den USA ansässigen Anbieter zu beobachten.

Censys stellt die wesentlichen Erkenntnisse des Forschungsberichts in einer Blogreihe vor und untersucht die Infrastruktur von Angreifern dabei aus unterschiedlichen Blickwinkeln. Mehr über den Forschungsbericht erfahren Sie im ersten Blogbeitrag unter https://censys.com/blog/2025-sotir-intro.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Ende Juni wurde in den USA durch das Ministerium für Innere Sicherheit der Vereinigten Staaten eine „erhöhte Bedrohungslage“ für Cyberangriffe durch „pro-iranische Hacktivisten“ ausgerufen. Wenige Tage später folgte eine Warnung von CISA, FBI und NSA. In der Warnung wurden Betreiber kritischer Infrastrukturen und andere Netzwerkadministratoren aufgefordert, auf der Hut vor möglichen gezielten Aktivitäten iranischer Bedrohungsakteure zu sein.

In Anbetracht dieser Warnungen hat Censys, einer der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, unterschiedliche aus dem Internet erreichbare ICS-Gerätetypen untersucht. Die untersuchten Geräte wurden bereits zuvor von iranischen Bedrohungsakteuren angegriffen oder sind für diese bekanntermaßen von Interesse. Untersucht wurde zwischen Januar und Juni 2025 die Cyber Exposure der folgenden Gerätetypen:
– Unitronics Vision PLCs (wird zur Steuerung industrieller Anlagen wie z.B. Förderbänder, Pumpen, Ventile oder Roboter verwendet);
– Orpak SiteOmat (automatisches Tankstellen-Managementsystem);
– Red Lion (wird für die industrielle Kommunikation und Fernüberwachung verwendet, insbesondere mit dem Fokus auf IIoT);
– Tridium Niagara Framework (wird für die Integration, Automatisierung und Visualisierung von Gebäudesystemen, Energieinfrastruktur und industriellen Anlagen verwendet).

Das Ergebnis der Untersuchung: Bei fast allen untersuchten Geräten konnte Censys einen Anstieg der aus dem Internet erreichbaren Geräte zwischen 4,5 % und 9,2 % feststellen. Nur bei Orpak SiteOmat ging die Exposure zurück, um fast 25 %. Von den untersuchten Geräten und Softwares ist SiteOmat das am wenigsten häufig beobachtete aus dem Internet erreichbare System. Tridium Niagara ist in der Untersuchung der Gerätetyp mit der höchsten Exposure insgesamt sowie mit dem höchsten Anstieg der erreichbaren Devices. Der größte Anstieg der erreichbaren Systeme dieses Gerätetyps war in Deutschland, Schweden und Japan zu beobachten. In Deutschland wurden 405 exponierte Hosts dieses Systems beobachtet.

Auch in puncto Authentifizierung zeigt die Untersuchung wichtige Ergebnisse: In Unitronics und Orpak SiteOmat werden mindestens zwei der vier Systeme mit Standard-Anmeldeinformationen ausgeliefert oder wurden zumindest früher so ausgeliefert. Diese standardmäßigen Authentifizierungen sind leicht online abrufbar und machen den Zugang zu den Systemen für einen Angreifer einfach. Betreiber sollten daher immer die Standardpasswörter ändern und Maßnahmen ergreifen, um diese Interfaces aus dem Internet zu entfernen.

Erfahren Sie mehr über die Untersuchung von Censys und erhalten Sie einen tieferen Einblick in die Ergebnisse: https://censys.com/blog/ics-iran-exposure-of-previously-targeted-devices.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Staatliche IT-Systeme proaktiv schützen

Harald Röder, Senior Solutions Engineer D-A-CH & Central Europe bei Censys

Ein erfolgreicher Cyberangriff auf eine Behörde kann weitreichende Folgen haben, von der Lahmlegung kommunaler IT-Systeme bis zum Ausfall kritischer Infrastrukturen. Dienste und Systeme können über Wochen gestört sein, zudem droht der Verlust vertraulicher Daten. Um solchen Szenarien nicht schutzlos ausgeliefert zu sein, braucht es eine starke und vorausschauende Cybersicherheitsstrategie. Threat Hunting ist dafür ein entscheidender und zentraler Baustein. Als proaktiver Ansatz zur Suche nach bisher unbekannten Schwachstellen und Sicherheitslücken gibt Threat Hunting Behörden die Möglichkeit, potenzielle Angreifer und Bedrohungen schon in einem frühen Stadium zu identifizieren und auszubremsen.

Kommentar von Harald Röder, Senior Solutions Engineer D-A-CH & Central Europe bei Censys

Threat Hunting ist die gezielte Suche nach bisher unentdeckten und unbekannten Bedrohungen innerhalb und außerhalb der eigenen IT-Infrastruktur. Auf Basis von automatisierten Analysen und Warnmeldungen können IT-Security-Teams Datenquellen wie den Traffic im Netzwerk, Protokolle oder Metadaten systematisch auswerten und bewerten, um verdächtige Aktivitäten frühzeitig zu erkennen. Als proaktiver Ansatz ergänzt Threat Hunting andere Strategien für die Cybersicherheit und verbessert die Fähigkeit, unbekannte Bedrohungen und selbst ausgeklügelte Angriffe rechtzeitig zu erkennen und einzudämmen.

Warum Threat Hunting für Behörden entscheidend ist

Hacker und Cyberangriffe entwickeln sich ständig weiter – von Ransomware-Gruppen bis zu staatlich-motivierten Advanced Persistent Threats (APTs). Diese Akteure setzen dynamische Infrastrukturen ein, nutzen Lücken in Cloud-Konfigurationen und handeln in einem Umfang, der selbst für Behörden mit großen IT-Security-Teams eine Herausforderung darstellen kann. In dieser Bedrohungslandschaft reicht es nicht mehr, auf Warnungen zu reagieren und zu handeln, wenn es schon zu spät ist. Daher sollten Behörden aller Art auf Threat Hunting setzen, um Bedrohungen proaktiv zu erkennen: Dann können aufkommende Bedrohungen untersucht, Indicators of Compromise (IOCs) validiert und gegnerische Infrastrukturen im globalen Internet kartiert werden – mit hohen Geschwindigkeiten und in Echtzeit.

Was eine gute Threat Hunting-Lösung für Behörden auszeichnet

Threat Hunting sollte nahtlos in bestehende Sicherheitsabläufe integriert werden können -automatisiert, skalierbar und mit klaren Schnittstellen zu bestehenden Tools und Arbeitsabläufen. Automatisierte Analysen, kombiniert mit menschlichem Fachwissen von erfahrenen IT-Teams, vereinfachen komplexe Untersuchungen. Dies ermöglicht auch die effiziente Verwaltung und Überwachung von umfangreichen IT-Umgebungen.

Threat Hunting-Lösungen können Behörden unter anderem bei folgenden Aufgaben unterstützen:
– proaktive Identifizierung von bösartigen Infrastrukturen, einschließlich C2-Servern und kompromittierten Hosts;
– Analyse von globalen Internet-Intelligence-Daten mit Hilfe von Pivots auf Basis von Indikatoren wie JA3, JA4+, JARM und TLSH;
– verhaltensbasiertes Tracking von Angreifern in Echtzeit mit Fingerprints und angereichertem Kontext;
– Beschleunigung von Untersuchungen mit Live Discovery für die Aufdeckung von bisher unbekannten Konfigurationen in Echtzeit und Live Rescan für die Validierung vorhandener Dienste und die Erkennung von Abweichungen bei Konfigurationen;
– Visualisierung historischer und neuer Bedrohungen durch interaktive Dashboards und Zeitleisten;
– Automatisierung von Workflows für die Erkennung mit kontextbezogenen Metadaten und konfigurationsbasierten Hashes;
– Internet-weite Analyse von Ports, Protokollen, Zertifikaten und Host-Metadaten für einen detaillierten Einblick in die Infrastruktur;
– Cloud-unabhängige Abdeckung mit umfassender Sichtbarkeit in AWS-, Azure-, GCP-, Hybrid- und On-Premises-Umgebungen – denn Angriffsflächen machen nicht an Netzwerkgrenzen halt.

Wie Threat Hunting die Cybersicherheit stärkt

Threat Hunting verleiht der Cyberabwehr von Behörden neue Qualitäten. Der Anwendungsbereich ist dabei breit gefächert: Threat Hunting unterstützt die Incident Response, indem es konkrete Indikatoren für Angriffe liefert, bevor ein Angriff eskaliert. Im Kontext von Red Teaming kann Threat Hunting genutzt werden, um eigene Abwehrmechanismen unter realistischen Bedingungen zu testen. Zudem eignet sich der Ansatz zur Erkennung von APT-Infrastrukturen und unterstützt den Schutz von besonders sensiblen Bereichen wie OT-Netzwerken oder kritischen Infrastrukturen mit erweiterten Möglichkeiten für die Erkennung von Angriffen und Schwachstellen.

Threat Hunting ermöglicht unter anderem:
– Verkürzung der Erkennungs- und Reaktionszeit: Die frühzeitige Erkennung verdächtiger Aktivitäten- etwa durch ungewöhnliche Nutzung von Ports oder sich häufende fehlgeschlagene Authentifizierungen – kann die Zeit bis zur Identifikation und Eindämmung eines Angriffs erheblich reduzieren. So wird die potenzielle Schadensdauer erheblich verkürzt.
– Steigerung der Genauigkeit und Relevanz von Threat Intelligence: Erkenntnisse des Threat Hunting lassen sich in bestehende Threat-Intelligence-Daten integrieren und erhöhen deren Aussagekraft. So können Behörden eigene und kontextbasierte Indikatoren gewinnen, die auf ihre Infrastruktur zugeschnitten sind.
– Fokus auf tatsächlich gefährdete Infrastrukturen: Durch die gezielte Untersuchung eigener Systeme und Assets wie Domains, IP-Adressräume, TLS-Zertifikate oder offene Services lässt sich erkennen, welche Komponenten aktuell im Fokus von Angreifern stehen. Das erlaubt eine risikobasierte Priorisierung von Schutzmaßnahmen.
– Erkennung von TTPs: Moderne Bedrohungsakteure verändern kontinuierlich ihre Werkzeuge und Methoden. Mit Threat Hunting lässt sich ein Verständnis dafür entwickeln, welche TTPs (Tactics, Techniques, Procedures) Angreifer anwenden. Dadurch lassen sich neue oder veränderte TTPs frühzeitig identifizieren – insbesondere dann, wenn sie sich geschickt tarnen oder legitime Tools zweckentfremden. Dadurch können nicht nur akute Risiken bekämpft, sondern auch Infrastrukturen vorausschauend angepasst werden.

Fazit

Threat Hunting sollte ein wichtiger Bestandteil der Cybersecurity-Strategie von Behörden sein. In Kombination mit einer internetweiten Analyse von Infrastrukturen wird Threat Hunting zum mächtigen Werkzeug, um Angriffsketten zu unterbrechen und Behörden und öffentliche Einrichtungen resilienter gegen Cyberangriffe zu machen. Behörden, die diesen Ansatz implementieren, erhöhen ihre digitale Souveränität und wappnen sich zielgerichtet gegen die digitalen Bedrohungen von heute und morgen.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Proaktive Cybersicherheit statt reaktiver Maßnahmen

Harald Röder, Senior Solutions Engineer D-A-CH & Central Europe bei Censys

Cyberangriffe entwickeln sich stetig weiter und werden durch Automatisierungen immer ausgefeilter und schwerer zu erkennen. Ein reaktiver Sicherheitsansatz reicht dabei schon längst nicht mehr aus, da nur bekannte Bedrohungen erkannt werden – und das häufig erst, wenn es bereits zu spät und der Schaden schon eingetreten ist. Daher ist es wichtig, einen proaktiven Ansatz für die Cybersecurity zu wählen. Threat Hunting unterstützt bei der aktiven Identifizierung von bislang unbekannten Bedrohungen und Schwachstellen.

Kommentar von Harald Röder, Senior Solutions Engineer D-A-CH & Central Europe bei Censys

Klassische Cybersecurity-Lösungen arbeiten regel- oder verhaltensbasiert und schlagen Alarm, wenn bestimmte Muster erkannt werden. Diese basieren jedoch auf bekannten Bedrohungen, die bereits in der Vergangenheit aufgetreten sind. Angriffe, die noch nicht dokumentierte Schwachstellen ausnutzen oder neue Wege gehen, bleiben so unerkannt. Viele moderne Angriffe finden zudem über einen längeren Zeitraum statt. Bei Advanced Persistent Threats (APT) etwa schleusen sich Angreifer unbemerkt in ein Unternehmensnetzwerk ein, beobachten Prozesse und sammeln gezielt Informationen – häufig über Monate hinweg. Oft bleiben solche Angriffe unentdeckt, bis der finale Schaden eintritt.

Im Gegensatz zu klassischen Security-Lösungen ist Threat Hunting eine proaktive und vorbeugende Verteidigungsmaßnahme: So lassen sich Bedrohungen, Sicherheitslücken und Schwachstellen aufdecken, die von anderen Sicherheitssystemen nicht erkannt werden. Anstatt auf Alarme zu warten, können beim Threat Hunting Netzwerke, Systeme und Protokolle proaktiv nach verdächtigen Aktivitäten durchsucht werden. Threat Hunting wartet als proaktiver Sicherheitsansatz nicht auf Warnmeldungen, sondern sucht aktiv nach bislang unentdeckten Bedrohungen. So können versteckte Bedrohungen aufgespürt werden, bevor ernsthafter Schaden auftreten kann.

Die Rolle von Threat Hunting

Threat Hunting zeichnet die Fähigkeit aus, auffällige Verhaltensmuster in großen Datenmengen zu erkennen und gezielt nach Hinweisen auf Angriffe zu suchen – noch bevor es zu einem Vorfall kommt. Für erfolgreiches Threat Hunting müssen Verdachtsmomente gezielt überprüft werden; dabei sollten auch Erkenntnisse zu aktuellen Angriffsmuster auf Basis von Threat Intelligence in die Bewertung miteinfließen. Wichtig ist zudem, die eigene IT-Infrastruktur sowie normale Verhaltensmuster in Netzwerken genau zu kennen und alles kontextbasiert zu bewerten.

Erfolgreiches Threat Hunting erfordert eine Kombination aus geeigneten Tools und erfahrenem Personal sowie strategischer Verankerung im Unternehmen: Automatisierte Systeme können große Datenmengen effizient durchsuchen, die Interpretation der Muster und Kontexte bleibt eine Stärke der Menschen. Automatisierte Analysen können Hinweise liefern, die dann durch erfahrene Analysten mit Know-how und Expertise bewertet werden. Tools helfen vor allem dabei, Anomalien zu identifizieren, die auf den ersten Blick nicht erkannt werden können.

Wenn Anomalien, Bedrohungen und Schwachstellen frühzeitig erkannt werden, lassen sich Sicherheitslücken schließen und die Zeitspanne verkürzen, in der sich Angreifer unbemerkt im Netzwerk aufhalten. Außerdem können nicht nur akute Angriffe, sondern auch systematische Schwächen in der IT-Sicherheit erkannt werden. Die kontinuierliche Auseinandersetzung mit potenziellen Bedrohungen verbessert zudem Prozesse und Reaktionszeiten. Regelmäßiges Threat Hunting schafft des Weiteren ein tieferes Verständnis der eigenen IT-Umgebung, was eine wichtige Grundlage für eine schnelle Reaktion im Ernstfall ist.

Fazit

Threat Hunting sollte ein wichtiger Bestandteil von Strategien für die IT-Security sein. Weil Angriffe immer komplexer, gezielter und unauffälliger werden, ist die aktive Suche nach Bedrohungen elementar. Schließlich geht es nicht mehr darum, ob man angegriffen wird – sondern darum, wie schnell man Angriffe erkennt und wie schnell man darauf reagieren kann.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite