What Is Cyber Threat Hunting?

Das Aufspüren von Cyberbedrohungen ist ein proaktiver Ansatz, um Cyberbedrohungen abzuwehren, die sonst in einem Netzwerk unentdeckt bleiben könnten. Da ständig neue Bedrohungen auftauchen, ist es wichtiger denn je, die richtigen Tools und Techniken zur Erkennung und Neutralisierung von Bedrohungen zu haben.

Worum geht es bei der Bedrohungsabwehr?

Threat Hunting ist die proaktive Suche in Netzwerken und Systemen, um Cyberbedrohungen zu identifizieren und zu isolieren, die automatisierte Sicherheitsmaßnahmen umgangen haben. Im Gegensatz zu herkömmlichen Sicherheitsmaßnahmen, die auf Warnungen und bekannten Signaturen beruhen, beinhaltet die Spurensuche, dass Sicherheitsexperten aktiv Daten, Systemverhalten und Netzwerkverkehr untersuchen, um verborgene Bedrohungen aufzudecken, die möglicherweise bereits in Ihrer Umgebung aktiv sind. Dieser manuelle Prozess kombiniert erweiterte Analysetools, Threat Intelligence und menschliches Fachwissen, um raffinierte Angreifer zu erkennen, die Ihre bestehenden Sicherheitskontrollen umgangen haben.

Warum ist die Bedrohungssuche in der Cybersicherheit wichtig?

Die Cybersicherheitslandschaft hat sich dramatisch verändert. Angreifende entwickeln immer ausgefeiltere Methoden, um in Netzwerke einzudringen und über längere Zeit unentdeckt zu bleiben. Traditionelle Sicherheitstools sind nach wie vor wichtig. Sie basieren jedoch auf bekannten Mustern und Signaturen, sodass Lücken entstehen, die von Advanced Persistent Threats ausgenutzt werden können. Diese raffinierten Angreifer nutzen Techniken, die speziell darauf ausgelegt sind, automatische Erkennungssysteme zu umgehen. So können sie sich in Ihrem Netzwerk festsetzen und unbemerkt Ihre Infrastruktur kartieren, Daten stehlen oder sich für zukünftige Angriffe in Position bringen.

Die finanziellen und betrieblichen Auswirkungen dieser unentdeckten Verstöße können verheerend sein. Laut dem M-Trends-Bericht 2025 von Mandiant betrug die globale durchschnittliche Verweildauer von Angreifenden im Jahr 2024 11 Tage. Einige APT-Angriffe (Advanced Persistent Threats) blieben jedoch monatelang unentdeckt. Tatsächlich blieben mehr als 7% der Angriffe über ein Jahr lang unentdeckt. Threat Hunting schließt diese kritische Lücke, indem proaktiv nach Anzeichen für Kompromittierung gesucht wird, die von automatisierten Systemen übersehen werden.

Unternehmen, die Programme zur Bedrohungsjagd implementieren, berichten von erheblichen Verbesserungen ihres Sicherheitsstatus. Wenn Sicherheitsteams aktiv nach Bedrohungen suchen, anstatt auf Warnungen zu warten, können sie Angriffe erkennen und neutralisieren, bevor sie ihr Ziel erreichen. Dieser proaktive Ansatz deckt auch Schwachstellen in bestehenden Sicherheitskontrollen auf und liefert wertvolle Erkenntnisse, die Ihnen helfen, Ihre gesamte Verteidigungsstrategie zu stärken und zukünftige Angriffe zu verhindern.

Wie funktioniert die Bedrohungssuche?

Threat Hunting ist ein hypothesengesteuerter Untersuchungsprozess, bei dem erfahrene Sicherheitsanalysten aktiv nach Anzeichen für schädliche Aktivitäten suchen, die von automatisierten Systemen nicht erkannt wurden. Sicherheitsteams beginnen damit, Theorien über potenzielle Bedrohungen aufzustellen, die auf Threat Intelligence, ungewöhnlichen Mustern im Systemverhalten oder neuen Angriffstechniken basieren. Anschließend untersuchen sie diese Hypothesen systematisch mit erweiterten Analysetools und manueller Analyse. Dieser Ansatz unterscheidet sich grundlegend von herkömmlichen Sicherheitsmaßnahmen, bei denen auf Warnungen reagiert wird, die von Sicherheitstools generiert werden. Threat Hunter gehen davon aus, dass Angreifer bereits im System sind, und versuchen, ihre Aktivitäten aufzudecken.

Der Prozess basiert stark auf einer umfassenden Datenerfassung und -analyse in Ihrer gesamten Infrastruktur. Threat Hunter untersuchen Protokolle, Netzwerkverkehr, Endpunktdaten und Nutzerverhalten, um Anomalien zu erkennen, die auf eine Kompromittierung hindeuten könnten. Sie nutzen die Sicherheitsautomatisierung, um riesige Datenmengen effizient zu verarbeiten, und wenden gleichzeitig menschliche Intuition und Fachwissen an, um subtile Muster zu erkennen, die Maschinen möglicherweise übersehen. Es geht nicht nur darum, Bedrohungen zu finden. Im Kern geht es beim Threat Hunting darum, die Methoden von Angreifern zu verstehen, die Erkennungsfähigkeiten zu verbessern und den allgemeinen Sicherheitsstatus Ihres Unternehmens durch kontinuierliches Lernen und Anpassen zu stärken.

Der Prozess der Bedrohungssuche: 3 wichtige Schritte

Der Prozess der Bedrohungssuche folgt einem systematischen Ansatz, bei dem Rohdaten in umsetzbare Informationen über potenzielle Bedrohungen in Ihrer Umgebung umgewandelt werden. Die konkrete Umsetzung kann zwar variieren, aber erfolgreiche Kampagnen zur Bedrohungssuche folgen in der Regel drei wesentlichen Phasen, die aufeinander aufbauen und einen umfassenden Workflow für die Untersuchung bilden.

Ein Trigger löst die Suche aus. Das kann eine neue Bedrohungsinformation über aufkommende Angriffstechniken, ungewöhnliche Muster in Ihrer Umgebung oder eine konkrete Besorgnis über gezielte Bedrohungen sein. Während der Vorbereitung definieren die Jäger ihre Hypothese und den Umfang der Untersuchung.

Sie analysieren Sicherheitsdaten und verwenden dabei erweiterte Analysetools, um Protokolle, Netzwerkverkehr und Systemverhalten zu untersuchen. Sie korrelieren Ereignisse aus mehreren Datenquellen, um Muster zu erkennen, die auf schädliche Aktivitäten hindeuten könnten.

Sobald Bedrohungen identifiziert wurden, dokumentieren die Threat Hunter ihre Ergebnisse, ergreifen Eindämmungsmaßnahmen und arbeiten mit Sicherheitsteams zusammen, um die Bedrohung zu beseitigen. Außerdem aktualisieren sie Erkennungsregeln und Sicherheitskontrollen, um ähnliche Angriffe in Zukunft zu verhindern.

Methoden zur Suche nach Bedrohungen

Methoden für das Threat Hunting bieten strukturierte Ansätze zum Aufspüren verborgener Bedrohungen. Dabei werden jeweils unterschiedliche Kombinationen aus Threat-Intelligence-Ressourcen, Analysetechniken und Ermittlungsstrategien genutzt. Sicherheitsteams verwenden in der Regel mehrere Methoden, je nach ihren spezifischen Zielen, den verfügbaren Daten und der Art der Bedrohungen, die sie untersuchen. Diese systematischen Prozesse maximieren die Wahrscheinlichkeit, ausgeklügelte Bedrohungen zu entdecken, und minimieren gleichzeitig den Aufwand für falsche Fährten.

  • Hypothesenbasiertes Hunting beginnt mit fundierten Annahmen über potenzielle Bedrohungen, die auf Threat Intelligence, Branchentrends oder beobachteten Angriffsmustern basieren. Sie entwickeln spezifische Theorien darüber, wie Angreifende ihre Umgebung kompromittieren könnten, und suchen dann nach Beweisen, um diese Hypothesen zu bestätigen oder zu widerlegen.
  • Intelligenzbasierte Suche nutzt Kompromittierungsindikatoren (IOCs) und Threat Intelligence-Feeds, um in Ihrer Umgebung nach bekannten schädlichen Artefakten zu suchen. Dieser Ansatz konzentriert sich auf den Abgleich bestimmter Bedrohungssignaturen, IP-Adressen oder Verhaltensmuster, die mit dokumentierten Angriffen in Verbindung gebracht werden.
  • Auf maschinellem Lernen basierende Suche kombiniert unternehmensspezifisches Wissen mit Machine-Learning-Algorithmen, um Anomalien zu erkennen, die für Ihre Umgebung einzigartig sind. Benutzerdefinierte Modelle lernen normale Verhaltensmuster und kennzeichnen Abweichungen, die auf eine Kompromittierung hindeuten könnten, selbst wenn diese Bedrohungen nicht mit bekannten Signaturen übereinstimmen.

Verschiedene Arten der Bedrohungsjagd

Threat Hunting kann je nach den spezifischen Auslösern, den verfügbaren Informationen und den Zielen der Untersuchung verschiedene Formen annehmen. Jede Art der Suche dient unterschiedlichen Zwecken innerhalb Ihrer Sicherheitsstrategie. Effektive Programme zur Bedrohungssuche nutzen in der Regel alle drei der folgenden Ansätze, um einen umfassenden Schutz vor verschiedenen Bedrohungsvektoren zu gewährleisten:

Die strukturierte Suche folgt formalen Frameworks und Methoden, um systematisch nach bestimmten Angriffstechniken oder Verhaltensweisen von Bedrohungsakteuren zu suchen. Diese Suchen verwenden etablierte Verfahren und vordefinierte Indikatoren, um den Untersuchungsprozess zu steuern.


Die unstrukturierte Suche konzentriert sich auf explorative Untersuchungen, die durch Vermutungen, Anomalien oder unerwartete Ergebnisse bei anderen Sicherheitsaktivitäten ausgelöst werden. Sie folgen den Daten, wohin sie sie führen, ohne vorgegebene Pfade oder erwartete Ergebnisse.


Situational Hunting reagiert auf bestimmte organisatorische Kontexte wie Fusionen, hochkarätige Ereignisse oder branchenspezifische Bedrohungskampagnen. Diese Suchen konzentrieren sich auf Bedrohungen, die Ihr Unternehmen unter bestimmten Umständen oder in bestimmten Zeiträumen am wahrscheinlichsten treffen.


Gängige Tools für die Suche nach Bedrohungen

Für eine effektive Bedrohungssuche ist ein ausgeklügeltes Toolkit erforderlich, das Datenerfassung, Analyse und Reaktionsmöglichkeiten kombiniert, damit Sicherheitsteams potenzielle Bedrohungen erkennen und untersuchen können. Diese Tools arbeiten zusammen, um umfassende Transparenz in Ihrer Infrastruktur zu schaffen und es Analysten zu ermöglichen, riesige Mengen an Sicherheitsdaten effizient zu verarbeiten. Unternehmen setzen in der Regel mehrere sich ergänzende Tools ein, um verschiedene Aspekte des Threat Hunting-Prozesses zu unterstützen.

  • SIEM-Plattformen (Security Information and Event Management) aggregieren und korrelieren Sicherheitsdaten aus Ihrer gesamten Umgebung und bieten so eine zentrale Übersicht und erweiterte Analysefunktionen. SIEM-Systeme ermöglichen es Threat Huntern, historische Daten zu durchsuchen, Muster aus verschiedenen Quellen zu identifizieren und Warnungen basierend auf komplexen Korrelationsregeln zu generieren.
  • EDR-Lösungen (Endpoint Detection and Response) bieten einen tiefen Einblick in die Endpunktsicherheit und erfassen detaillierte Telemetriedaten zu Prozessen, Netzwerkverbindungen und Änderungen am Dateisystem. Diese Tools helfen bei der Untersuchung verdächtigen Verhaltens von Endpunkten und der Verfolgung lateraler Bewegungen in Ihrem Netzwerk.
  • Managed Defense-Dienste ergänzen die internen Möglichkeiten zur Bedrohungssuche durch externes Fachwissen und Monitoring rund um die Uhr. Diese Dienste bieten Zugang zu erfahrenen Threat Hunter*innen, die Spezialwissen und fortschrittliche Hunting-Techniken in Ihre Sicherheitsabläufe einbringen.
  • Plattformen für Sicherheitsanalysen und ‑vorgänge nutzen Big-Data-Technologien und maschinelles Lernen, um riesige Mengen an Sicherheitsdaten zu verarbeiten und zu analysieren. Diese Tools helfen bei der Erkennung subtiler Anomalien und Muster, die auf ausgeklügelte Angriffe hindeuten können.

Häufig gestellte Fragen zur Bedrohungssuche

Das Hauptziel des Aufspürens von Bedrohungen ist es, proaktiv komplexe Bedrohungen zu erkennen und zu neutralisieren, die Ihre bestehenden Sicherheitskontrollen umgangen haben, bevor sie Schaden anrichten können. Anstatt darauf zu warten, dass automatisierte Systeme Warnmeldungen generieren, sucht das Threat Hunting aktiv nach verborgenen Bedrohungen. So wird die Verweildauer von Angreifern verkürzt und die potenziellen Auswirkungen von Sicherheitsverstößen minimiert.

Ein Security Operations Center (SOC) überwacht und beantwortet Sicherheitswarnungen, die von automatisierten Systemen generiert werden, und konzentriert sich dabei auf bekannte Bedrohungen und etablierte Muster. Beim Aufspüren von Bedrohungen wird dagegen proaktiv nach unbekannten Bedrohungen gesucht, die keine Warnungen auslösen. Dabei werden hypothesengesteuerte Untersuchungen eingesetzt, um komplexe Angriffe aufzudecken, die von SOC-Tools möglicherweise übersehen werden.

Sie sollten in allen kritischen Assets und Datenquellen Ihrer Umgebung nach Bedrohungen suchen und dabei Systeme mit hohem Wert, privilegierte Konten und Netzwerksegmente, die sensible Daten verarbeiten, priorisieren. Konzentrieren Sie Ihre Suche auf Bereiche, in denen ein Kompromiss die größten Auswirkungen hätte, darunter Cloud-Infrastruktur, Identitätssysteme und Endpunkte mit Zugriff auf kritische Ressourcen.

Ja, Google Cloud Security bietet mit Mandiant Threat Defense umfassende Funktionen zur Bedrohungssuche. Sicherheitsexperten suchen rund um die Uhr proaktiv nach Bedrohungen. Unsere Dienste kombinieren fortschrittliche Threat Intelligence, bewährte Methoden zur Spurensuche und umfassendes Fachwissen, um Unternehmen bei der Erkennung und Abwehr komplexer Bedrohungen zu unterstützen.

Wo kommt die Bedrohungsabwehr ins Spiel?

Die Bedrohungssuche lässt sich nahtlos in Ihre umfassendere Cybersicherheitsstrategie einbinden und ergänzt automatisierte Erkennungssysteme und Prozesse zur Reaktion auf Vorfälle, um eine mehrschichtige Sicherheit zu schaffen. SIEM-Plattformen und andere Sicherheitstools generieren zwar Warnungen basierend auf bekannten Mustern, aber Threat Hunting schließt die kritische Lücke, indem aktiv nach Bedrohungen gesucht wird, die diese automatisierten Systeme nicht auslösen. Dieser Ansatz funktioniert parallel zu Ihren bestehenden Sicherheitsmaßnahmen und bietet eine zusätzliche Schutzebene gegen raffinierte Angreifende, die speziell Techniken entwickeln, um der Erkennung zu entgehen.

Diese Praxis passt nahtlos in den Workflow für Sicherheitsvorgänge und schließt die Lücke zwischen Prävention und Reaktion. Threat Hunter arbeiten mit Sicherheitsuntersuchungsteams zusammen, um Kontext für Warnungen zu liefern, verdächtige Aktivitäten zu validieren und verwandte Bedrohungen aufzudecken, die sonst unbemerkt bleiben könnten. Bei der Integration in SOAR-Plattformen können die Ergebnisse der Bedrohungsjagd automatisierte Workflows zur Reaktion auslösen, die Eindämmung und Behebung beschleunigen und gleichzeitig eine konsistente Behandlung ähnlicher Bedrohungen in der Zukunft gewährleisten. Diese Integration verwandelt die Bedrohungssuche von einer isolierten Aktivität in einen Kraftmultiplikator, der jeden Aspekt Ihrer Sicherheitsabläufe verbessert.

Welche Messwerte sollten Sie verwenden, um die Bedrohungssuche zu verfolgen?

Um die Effektivität Ihres Threat-Hunting-Programms zu messen, müssen Sie sowohl operative Messwerte, die die Hunting-Aktivität zeigen, als auch Ergebnis-Messwerte erfassen, die den tatsächlichen Wert für Ihr Unternehmen aufzeigen. Erfolgreiche Programme überwachen Indikatoren wie die Anzahl der erstellten neuen Erkennungsregeln, die Anzahl der entdeckten bisher unbekannten Bedrohungen und die Verbesserung der durchschnittlichen Erkennungszeit. Anhand dieser Messwerte können Sie erkennen, ob Ihre Jagdversuche echte Bedrohungen aufdecken und im Laufe der Zeit zu stärkeren Sicherheitsmaßnahmen beitragen.

Über das Zählen von Vorfällen und Warnungen hinaus konzentrieren sich aussagekräftige Messwerte für die Bedrohungssuche auf die Qualität und Relevanz der Entdeckungen. Sie können die Anzahl der erkannten und behobenen Sicherheitslücken mit hoher Priorität, die von den Threat Huntern aufgedeckten Lücken in der Sicherheitsabdeckung und die Fehlalarmrate verfolgen, die mit der Verbesserung der Erkennungsregeln sinkt. Außerdem sollten Sie messen, wie die Jagdaktivitäten zur Entwicklung von Threat Intelligence beitragen, einschließlich neuer Indikatoren für Kompromittierung und identifizierter Angriffsmuster, die Ihrem Unternehmen bisher nicht bekannt waren.

Die wichtigsten Messwerte zeigen, wie die Bedrohungssuche das Risiko verringert und Ihre Sicherheitslage verbessert. Behalten Sie die Verringerung der Verweildauer von Angreifern, den Prozentsatz der durch Hunting erkannten Vorfälle im Vergleich zu automatisierten Warnungen und die Anzahl der Verbesserungen der Sicherheitskontrollen im Blick, die auf der Grundlage von Hunting-Ergebnissen umgesetzt wurden. Diese Messungen helfen, weitere Investitionen in die Fähigkeiten zur Bedrohungssuche zu rechtfertigen, und leiten die Programmoptimierung, indem sie hervorheben, welche Suchmethoden und Schwerpunkte den größten Nutzen bringen.

Wichtige Fähigkeiten für ein erfolgreiches Team zur Bedrohungsjagd

Für ein effektives Team zur Bedrohungssuche braucht es Fachleute mit unterschiedlichen technischen Fähigkeiten und analytischen Kompetenzen, die zusammenarbeiten können, um komplexe Bedrohungen aufzudecken. Erfolgreiche Threat Hunter kombinieren fundierte technische Kenntnisse über Netzwerkprotokolle, Betriebssysteme und Angriffstechniken mit ausgeprägten analytischen Fähigkeiten und der Fähigkeit zur Mustererkennung. Sie müssen wissen, wie sich legitime Systemaktivitäten von schädlichem Verhalten unterscheiden, und die Neugier besitzen, Anomalien zu untersuchen, die andere möglicherweise übersehen.

Technische Fachkenntnisse sind ein Muss, einschließlich Kenntnisse in Datenanalyse, Scripting-Sprachen und Sicherheitstools. Sie müssen sich mit Methoden für Cyberangriffe und Taktiken von Bedrohungsakteuren auskennen und in der Lage sein, Angriffsketten aus fragmentierten Beweisen in mehreren Systemen zu rekonstruieren. Neben technischen Fähigkeiten zeichnen sich effektive Threat Hunter durch Beharrlichkeit bei der Verfolgung komplexer Ermittlungsstränge, Kreativität bei der Entwicklung neuer Erkennungsmethoden und Kommunikationsfähigkeiten aus, um die Ergebnisse sowohl technischen als auch Führungskräften zu vermitteln. Die Mandiant-Dienste zur Bedrohungssuche sind ein Beispiel für diese Fähigkeiten. Sie bringen erfahrene Fachleute zusammen, die ihre Praxiserfahrung in der Reaktion auf Vorfälle mit fortschrittlichen Suchtechniken kombinieren, um Unternehmen dabei zu helfen, versteckte Bedrohungen aufzudecken und zu neutralisieren.

Mit Google Cloud Security die Suche nach Bedrohungen starten

Mit Google Cloud Security können Unternehmen erstklassige Funktionen zur Bedrohungssuche über Mandiant Threat Defense implementieren. Dabei werden innovative Technologien mit dem Fachwissen von Sicherheitsexperten kombiniert. Unsere Threat-Hunting-Teams nutzen beispiellose Bedrohungsinformationen, die sie aus Incident-Response-Einsätzen weltweit gewinnen. So erhalten Sie einzigartige Einblicke in die neuesten Angriffstechniken und aufkommenden Bedrohungen, die auf Ihre Branche abzielen. Mit der proaktiven Bedrohungssuche rund um die Uhr können Sie mit Google Cloud Security komplexe Bedrohungen schneller erkennen und darauf reagieren. Gleichzeitig bauen Sie Ihre internen Sicherheitskapazitäten durch Wissensvermittlung und gemeinsame Untersuchungen aus.

Arbeiten wir zusammen

Wenden Sie sich an unsere Cybersecurity-Experten.
Weitere Informationen zur Suche nach Bedrohungen mit Mandiant

Gleich loslegen

Profitieren Sie von einem Guthaben in Höhe von 300 $, um Google Cloud und mehr als 20 immer kostenlose Produkte kennenzulernen.

Google Cloud
DocsSupport
Console
Anmelden
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud