13.11.2025

Kenne Deinen Feind

Dank CrowdStrike kennst Du ab jetzt Deine potenziellen Angreifer

Besser wissen, wer der Gegner ist

Hacker sind Gespenster. Jedenfalls kommt es uns oft so vor. Gesichtslos, oft namenlos geistern sie als unbekannte Bedrohung durch das Internet. Doch CrowdStrike hat nun ein spannendes Tool auf den Markt gebracht, dass das nun ändert. Wir zeigen, was das Tool kann und warum es wichtig ist, seine Gegner zu kennen.

Bitte einmal die Augen zu machen und einen Hacker vorstellen. Hat er einen Hoodie auf? Sitzt er in einem dunkeln Keller? Dass diese Klischees nichtzutreffend sind und das vor allem große Hacker-Gruppen eher wie Unternehmen aufgebaut sind, ist längst bekannt. Dennoch haben Cyber-Kriminelle etwas ungreifbares, fast mystisches.

Ende des Mysteriums

Nun hat sich CrowdStrike aufgemacht, diese Gruppen zu entmystifizieren. Unter https://www.crowdstrike.com/adversaries/ bieten die Endpoint-Protection-Experten ein kostenloses Tool an, womit jedes Unternehmen herausfinden kann, wer ihn eigentlich bedroht.

Einfach die eigene Branche, Unternehmensgröße und das eigene Land eingeben und schon weiß man, welche Gruppen für die eigene Organisation die größte Gefahr sind. Und noch viel wichtiger als einen Namen zu haben, liefert CrowdStrike die Information mit, wie diese Gruppen vorgehen und was ihre Ziele sind.

Jetzt kenne ich meinen Feind, aber was bringt mir das?

Aber warum ist es so wichtig zu wissen, wer die Angreifer da draußen sind? Weil es der eigenen Verteidigung auf so vielen Ebenen hilft:

  1. Unterschiedliche Angreifer = unterschiedliche Zielsetzungen und TTPs
    Threat-Actor-Gruppen unterscheiden sich hinsichtlich Motivation (Financial Gain, Espionage, Hacktivism, Sabotage) und in ihren Tactics, Techniques and Procedures (TTPs).
    Effektive Verteidigung erfordert eine Abbildung der Angreiferprofile auf Frameworks wie MITRE ATT&CK, um detection use cases und preventive controls gezielt auf relevante TTPs zu mappen.
    Ohne dieses Wissen bleiben Abwehrmaßnahmen generisch und ineffizient.

  2. Threat Intelligence ermöglicht risikobasierte Priorisierung
    Ressourcen in Security Operations (Budget, Personal, Detection Capacity) sind begrenzt.
    Die Kenntnis der wahrscheinlichsten Angreifergruppen und deren Modus Operandi erlaubt eine Priorisierung nach Threat Likelihood und Business Impact.
    So werden Security Controls und Monitoring-Ressourcen dort konzentriert, wo das größte Risiko besteht — etwa Anti-Exfiltration bei APT-Akteuren oder Ransomware-Schutz bei finanziell motivierten Gruppen.

  3. Maßgeschneiderte Kontrollen sind effektiver und effizienter
    Allgemeine Security-Maßnahmen helfen, sind aber oft teuer und nicht überall gleich wirksam.
    Maßnahmen, die auf die erwarteten Angriffsvektoren und -werkzeuge abgestimmt sind (z. B. EDR-Feintuning, Netzwerksegmentierung, spezielle Proxy-Regeln), erhöhen die Wirksamkeit pro eingesetztem Euro/Arbeitsstunde.

  4. Schnellere Erkennung und Reaktion reduziert Schaden
    Threat-Actor-spezifische Indicators of Compromise (IOCs) und Indicators of Behavior (IOBs) sind oft bereits durch Threat-Intelligence-Feeds bekannt.
    SOCs können durch proaktive Detection Engineering und Threat Hunting MTTD und MTTR deutlich senken.
    Verkürzte Dwell-Time führt direkt zu weniger Datenabfluss, keinen Ransom-Zahlungen und geringeren Recovery-Kosten.

  5. Bessere Incident-Response & Forensik
    Kenntnis der Toolchains, Persistence-Mechanismen und Command-and-Control-Infrastrukturen der relevanten Gruppen beschleunigt forensische Analysen.
    Incident-Response-Teams können Hypothesen schneller validieren, Beweismaterial gerichtsfest sichern und gezielte Containment-Maßnahmen einleiten.
    Das reduziert sekundäre Schäden und unterstützt auch Attribution und Post-Incident Reporting.

  6. Compliance, Versicherung und Stakeholder-Management
    Moderne Cyber-Risk-Frameworks (z. B. ISO 27005, NIS2, DORA, TISAX) fordern risikobasierte Schutzkonzepte.
    Die Einbindung von Threat-Actor-Intelligence in das Enterprise-Risk-Management verbessert Audit-Fähigkeit, Versicherungsprämien und das Vertrauen von Stakeholdern.
    Nachweisbare Threat Modeling Practices werden zunehmend als Due Diligence-Kriterium gewertet.

  7. Risikomanagement & strategischer Vorteil
    Kontinuierliche Beobachtung relevanter Threat-Actor-Gruppen ermöglicht proaktives Attack Surface Management, Lieferkettenabsicherung und gezielte Awareness-Kampagnen.
    Unternehmen mit solcher Cyber-Threat-Intelligence (CTI)-Integration sind resilienter, reduzieren Business Downtime und sichern sich so einen strategischen Vorteil im Markt.
    Sicherheit wird vom Kostenfaktor zum Enabler für Stabilität und Vertrauen.

Webcast:

Genau zu diesem Thema findet am 25.11.2025 ein WebCast zusammen mit CrowdStrike statt. Lust, mehr über Deine Feinde und wie man diese am besten abwehrt zu erfahren? Dann melde Dich hier gleich an.

zurück zur Newsübersicht

Zurück

DAS KÖNNTE DICH AUCH INTERESSIEREN

04.12.2025

Managed Security Services

Ein Incident zeigt schnell, dass Updates, Policies oder Threat-Intelligence-Daten nicht Schritt gehalten haben.

MEHR
27.11.2025

Vulnerability Management

Der einzige Weg, um mit den Angreifern Schritt zu halten.

MEHR
19.11.2025

Identity & Access Management

Entdecke, wie Identity & Access Management Unternehmen hilft, Risiken zu minimieren.

MEHR