IT-Sicherheitsmonitoring

Ein wirksames IT-Sicherheitsmonitoring erkennt verdächtige Aktivitäten, bevor daraus ein Vorfall wird. Die hier zusammengestellten Kriterien und Schwellenwerte helfen dabei, sicherheitsrelevante Vorgänge im IT-Betrieb frühzeitig zu identifizieren – und gezielt darauf zu reagieren.

Die Liste basiert auf bewährten Praktiken aus der Informationssicherheit und dient als Orientierung für Organisationen, die ihre IT-Systeme sinnvoll und risikobasiert überwachen wollen.

🔐 Benutzer- & Anmeldeereignisse

1. Anomalie bei fehlgeschlagenen Logins (User-ID)
   • Bedingung: ≥6 fehlgeschlagene Anmeldeversuche in 5 Minuten bei einer Benutzer-ID
   • Verstärkung der Alarmstufe, wenn:
     • kein erfolgreicher Login danach erfolgt
     • Zeitpunkt außerhalb üblicher Arbeitszeiten liegt (z. B. 18–6 Uhr)
     • Anmeldeversuche von unbekannter oder geolokal auffälliger IP erfolgen
   • Tool: SIEM, UEBA, IAM
2. Anomalie bei fehlgeschlagenen Logins (IP-basiert)
   • Bedingung: ≥10 fehlgeschlagene Anmeldeversuche von einer IP in 3 Minuten
   • Verstärkung der Alarmstufe, wenn:
     • auf mehrere verschiedene Benutzerkonten gezielt wird
     • IP-Adresse aus unbekanntem oder verdächtigem Bereich stammt
     • Versuche mit ungewöhnlichem Protokoll oder Port erfolgen
   • Tool: SIEM, IDS, UEBA
3. Neues Admin-Konto oder Privilegieneskalation
   • Bedingung: Neuer Benutzer wird einer privilegierten Gruppe hinzugefügt
   • Tool: IAM, SIEM, UEBA
   • Optional: Nur Alarm, wenn durch Nicht-Admin ausgelöst

💻 System- & Dateiüberwachung

4. Ausführung von PowerShell / Cmd-Skripten
   • Bedingung: PowerShell mit Base64-Parameter oder Remote-Download
   • Tool: EDR, SIEM, UEBA
   • Optional: Nur auf normalen Arbeitsplätzen
5. Änderung kritischer Systemdateien
   • Bedingung: Änderung an Systemdateien erkannt per Hash-Abweichung
   • Tool: FIM, EDR, SIEM
6. Löschen von Logdateien
   • Bedingung: Verdächtige Löschaktionen
   • Tool: SIEM, EDR, FIM
   • Korrelation: Vorherige verdächtige Aktionen

🌐 Netzwerk- & Kommunikationsereignisse

7. Erlaubter Verbindungsversuch zu bekannter Malware-IP
   • Bedingung: Firewall erlaubt Verbindung zu Threat-Intel-IP
   • Tool: SIEM, Firewall, Threat Intelligence Feeds, NDR
8. Verbindung zu ungewöhnlich vielen Zielen
   • Bedingung: ≥100 Verbindungen zu unterschiedlichen internen IPs in 1 Minute
   • Tool: NDR, SIEM, UEBA
9. Externer Upload von ausführbaren Dateien auf Webserver
   • Bedingung: Upload von .exe, .php etc. auf Webserver
   • Tool: FIM, IDS/IPS, SIEM
10. Firewall-Drop-/Reject-/Deny-Ereignisse von externer IP
    • Bedingung: ≥15 wiederholte Blockierungen
    • Tool: Firewall, IDS/IPS, SIEM

🦠 Malware-Erkennung & Signaturen

11. Malware auf mehreren Hosts erkannt
    • Bedingung: Gleiche Signatur ≥5 Geräte in 30 Minuten
    • Tool: EDR, SIEM, Sandbox
12. Einzelhost erkennt bekannte Malware
    • Bedingung: Positivscan durch AV/EDR
    • Tool: EDR, SIEM, Malware-Analyse

🗂 Backup- & Wiederherstellungsüberwachung

13. Löschversuch eines Backups
    • Bedingung: Backup-Datei oder -Ordner wird gelöscht oder verschoben
    • Tool: SIEM, Backup-Software-Logging, FIM
    • Optional: Sofort-Alarm bei externem Benutzer oder außerhalb Wartungszeit
14. Löschen von Systemwiederherstellungspunkten
    • Bedingung: Ereignis-ID 33 (SystemRestore) oder Manipulation der Wiederherstellungspunkte
    • Tool: SIEM, EDR, Windows Eventlog-Überwachung
15. Änderung an Gruppenrichtlinien (GPO)
    • Bedingung: GPO wird geändert, z. B. neue Ausnahmen oder Deaktivierung sicherheitsrelevanter Einstellungen
    • Tool: SIEM, GPO-Monitoring, Eventlog 5136/4739

🖥 Serverseitige Systemereignisse

16. Ereignis 551 im SMBServer-Protokoll
    • Bedingung: Zugriff auf gesperrte Datei über SMB – Hinweis auf Ransomware-Versuch
    • Tool: Windows Eventlog, SIEM, EDR
17. MSTSC-Aufruf trotz Sperrung
    • Bedingung: Prozess „mstsc.exe“ wird gestartet, obwohl RDP durch Richtlinie deaktiviert ist
    • Tool: EDR, Application Control, SIEM

💻 Client-Systemzustand

18. Festplattenfehler (Disk Fehler 7)
    • Bedingung: Windows Ereignis-ID 7 (Disk) erkannt
    • Tool: Monitoring, SIEM
19. Dateisystemfehler (NTFS Fehler 55)
    • Bedingung: Windows Ereignis-ID 55 (NTFS) erkannt
    • Tool: Monitoring, SIEM
20. Ausfall von Sicherheitsdiensten
    • Bedingung: Antiviren-, Firewall- oder Patch-Agent ist deaktiviert oder beendet
    • Tool: EDR, Monitoring, SIEM
    • Optional: Sofortmeldung bei dauerhaftem Ausfall > 2 Minuten

🧪 Erweiterte Angriffserkennung & Täuschungstechniken

21. Verbindungsversuche auf Honeypot-Dienste
    • Bedingung: Verbindungsversuch auf simulierte Netzwerkdienste (z. B. HTTP, FTP, SSH, SMB, MySQL, Redis, Telnet, SNMP etc.), die auf produktiven Systemen nicht genutzt werden
    • Schwellenwert: Jeder Versuch, sich mit einem Honeypot-Dienst zu verbinden, gilt als verdächtig
    • Tool: Honeypot (z. B. OpenCanary), SIEM zur Auswertung der Logs
    • Optional: Eskalationsstufen je nach Diensttyp (z. B. SMB oder SSH höher gewichtet)
22. Zugriff auf Canary Files
    • Bedingung: Zugriff (Lesen, Ändern oder Löschen) auf spezielle, überwachte Köderdateien (z. B. [Fake-]Admin-Anmeldedaten.txt, KeePass.kdbx) in sensiblen Verzeichnissen
    • Schwellenwert: Jeder Zugriff ist verdächtig
    • Tool: SIEM, FIM, EDR, Script-basierte FileWatcher
23. Verdächtige Nutzung von RDP (Remote Desktop)
    • Bedingung: RDP-Login von ungewohnten IPs, zu ungewöhnlichen Zeiten oder mit ungewöhnlichen Benutzerprofilen
    • Tool: SIEM, IDS/IPS, Windows Eventlog (z. B. 4624/4625)
    • Optional: Korrelation mit Geodaten und vorherigem Verhalten
24. Ungewöhnliche Nutzung von Kommandozeileninterpreteren
    • Bedingung: z. B. PowerShell mit verdächtigen Parametern, Base64, Remote Downloads
    • Tool: EDR, SIEM, PowerShell Logging
    • Optional: Überwachung von ExecutionPolicy-Änderungen
25. Auslesen von Anmeldedaten
    • Bedingung: Zugriff auf LSASS-Prozesse oder verdächtige Speicher-Dumps (z. B. durch Mimikatz)
    • Tool: EDR, SIEM, Windows Eventlog

⚠️ Allgemeine Verhaltenserkennung

26. Anwendung startet/stoppt mehrfach ungewöhnlich
    • Bedingung: ≥5 Starts/Stops in 10 Minuten
    • Tool: Monitoring, SIEM
27. IDS meldet ≥10 Warnungen pro Minute von einer IP
    • Bedingung: Nur bei „High Severity“-Signaturen
    • Tool: IDS, SIEM

📋 Hinweise zur Umsetzung

• Alle Schwellenwerte sollten dynamisch angepasst werden können (z. B. Machine Learning-basierte Baselines).
• Whitelisting für bekannte Administratoren, Skripte und IPs ist unverzichtbar, um Fehlalarme zu minimieren.
• Korrelation & Kontext sind wichtiger als Einzelereignisse.
• Weitere Referenzen beim BSI:
  • Empfehlung zur Konfiguration der Protokollierung in Windows 10
  • Top 10 Ransomware-Maßnahmen (Detektion)

📘 Glossar der verwendeten Abkürzungen

• SIEM: Security Information and Event Management
• IDS/IPS: Intrusion Detection/Prevention System
• EDR: Endpoint Detection and Response
• SOAR: Security Orchestration, Automation and Response
• NDR/NTA: Network Detection & Response / Network Traffic Analysis
• IAM: Identity and Access Management
• UEBA/UBA: User and Entity Behavior Analytics / User Behavior Analytics
• FIM: File Integrity Monitoring
• AV: Antivirus