Cyber-Angriffe auf Unternehmensnetzwerke sind für sich genommen oft schon schlimm, aber wirklich besorgniserregend ist, dass mehr als zwei Drittel der Unternehmen von Dritten auf diese Angriffe aufmerksam gemacht werden, anstatt sie selbst zu bemerken. Das ist der Grund, warum die Jagd nach Bedrohungen für IT-Sicherheitsstrategien immer wichtiger wird.
Es heißt ja, „Wenn man einen Verbrecher fangen will, muss man zuerst so denken wie er.“. Wie wäre es also, wenn es innerhalb des Unternehmens jemanden gäbe, der wie ein Cyberkrimineller denkt, aber auf der Seite der Guten kämpft?
(Bild: Patrick Rolands - Fotolia.com)
Im 21. Jahrhundert ist das Vertrauen in Vorbeugungsmaßnahmen keine ausreichende IT-Sicherheitsstrategie. Wie wäre es, wenn es innerhalb des Unternehmens jemanden gäbe, der wie ein Krimineller denkt, aber auf der Seite der Guten kämpft?
Diese Person könnte nicht nur den Schaden eines Angriffs eindämmen, sondern auch die Erkennungs- und Reaktionszeit enorm verkürzen. Solche Personen bezeichnen einige Organisationen in der IT-Sicherheitsbranche als „Bedrohungsjäger“ bzw. „Threat Hunter“.
Berufsbild Bedrohungsjäger
Die Hauptaufgabe eines Bedrohungsjägers besteht darin, nach Anzeichen für eine Manipulation oder nach Hinweisen auf eine Datensicherheitsverletzung zu suchen. Er versetzt sich hierzu in die Denkweise eines Angreifers, um herauszufinden, was dieser sehen oder welchen Spuren er folgen würde. Kurzum geht es darum, als Unternehmen dem Angreifer einen Schritt voraus zu sein, um sich vor den allzu bekannten katastrophalen Konsequenzen einer Sicherheitsverletzung zu schützen.
Bedrohungsjäger werden in der Branche sehr unterschiedlich beschrieben. Ein Bedrohungsjäger befindet sich innerhalb eines aktiven Verteidigungskonzepts, doch viele Unternehmen betrachten seine Rolle aus einer anderen Perspektive. Für die Jagd nach Bedrohungen muss eine Organisation dieser besonderen Aufgabe innerhalb der aktiven Verteidigung dedizierte Ressourcen zuweisen.
Wenn aber die Bedrohungsjagd möglicherweise einen Cyberangreifer in die Falle locken kann, warum ist sie dann in den Massenmedien kaum bekannt? Wie entstand der Bedarf an Bedrohungsjägern und warum wächst er?
Viele Sicherheitsteams gehen prinzipiell von der Annahme aus, dass bereits eine Datensicherheitsverletzung vorliegen könnte, und streben eine Balance zwischen Vorbeugungs- und Erkennungsstrategien an. Nach der großen Anzahl aufsehenerregender Angriffe wird die Cybersicherheit für Unternehmen allmählich zur höchsten Priorität. In einer von SolarWinds durchgeführten Umfrage zum Vertrauen in die Informationssicherheit gaben 84 Prozent der Befragten an, dass ihre Organisation einem schwerwiegenden Angriff ausgesetzt war, wobei 35 Prozent einräumten, dass es mindestens einen Monat dauerte, bis der Angriff entdeckt wurde. Dies belegt erneut, wie wichtig es ist, dass Unternehmen die richtigen Sicherheitspraktiken einsetzen. Zu einem runden Sicherheitsprogramm gehört auch eine Position für die Bedrohungsjagd.
Organisationen, die ihr IT-Sicherheitsteam um Bedrohungsjäger erweitern möchten, suchen nach Personen mit umfangreichen Erfahrungen. Bei der IT-Sicherheit gilt: Je mehr eine Person über Netzwerk, Anwendungen und Server weiß, desto besser. Häufig besteht ein Angriff aus verschiedenen Komponenten, die nicht nur auf das Netzwerk beschränkt sind. Wenn sich eine Person beispielsweise gut im Netzwerk auskennt, aber über kein Wissen zu den Anwendungen verfügt, wird sie vermutlich nur schwer erkennen können, dass ein Angriff stattfand oder gerade ausgeübt wird.
Nutzen der Bedrohungsjäger
Der Hauptvorteil eines Bedrohungsjägers ist ziemlich offensichtlich: Wenn eine Organisation Angriffe erkennen kann, während sie ausgeführt werden, kann sie Schäden abwenden und zukünftige Angriffe verhindern. Folgendes sind die häufigsten Sicherheitslücken in der Unternehmensinfrastruktur, die zudem den größten Schaden verursachen können:
Fehlen einer guten Netzwerksegmentierung
Zu großzügige Zugriffsberechtigungen von vertrauenswürdigen Geräten oder Konten
Nutzung unsicherer Protokolle
Fehlende Überwachung für automatisierte Erkennung und Transparenz
Im Großen und Ganzen besteht das Ziel der Bedrohungsjäger darin, die Anzeichen eines Angriffs schnell zu erkennen, um eine Organisation vor Schaden zu bewahren. Wenn ein Angreifer also möglicherweise bereits die Verteidigungslinie durchbrochen (und die vorbeugenden Maßnahmen umgangen) hat, hat er aber vielleicht noch keine Daten gestohlen, Systeme zum Ausfall gebracht oder das Geschäft anderweitig beeinträchtigt. Wurde ein Angriff erkannt, so können Bedrohungsjäger bei der Schadensbegrenzung helfen und das Unternehmen kann mithilfe ihrer Erkenntnisse die vorbeugende Verteidigung stärken.
Während Penetrationstester Schwachstellen im System eines Unternehmens ermitteln, suchen Bedrohungsjäger nach Anzeichen dafür, dass tatsächlich jemand diese Systeme aktiv angreift. Beide sind gleich wichtig, doch sie erfüllen einen sehr unterschiedlichen Zweck. Vermutlich haben die meisten Organisationen bereits regelmäßige Penetrationstests geplant, bevor sie einen Bedrohungsjäger in Vollzeit engagieren. Doch nur weil ein Penetrationstester eine Sicherheitslücke entdeckt hat, muss das nicht bedeuten, dass es auch jemand anderem gelungen ist. Ein Bedrohungsjäger kann bei der Beantwortung dieser Frage behilflich sein und konzentriert sich stärker auf Angriffe, die tatsächlich geschehen sind, als auf solche, die theoretisch geschehen könnten. Es kann erfolgsentscheidend sein, einer Person die Möglichkeit zu geben, sich ganz auf das Erkennen von Schwachstellen zu konzentrieren, so dass die IT-Sicherheit einen Angriff oder eine Datensicherheitsverletzung erkennen kann, bevor sie geschehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Herausforderungen der Bedrohungsjäger
Mav Turner
(Bild: Solarwinds)
Neben den vielen Vorteilen von Bedrohungsjägern gibt es auch einige Herausforderungen. Zu den größten Herausforderungen gehört die Suche nach geeignetem Personal. Man braucht jemanden, der über beeindruckende Fähigkeiten verfügt und sehr selbstständig arbeitet. Außerdem ist das Beschäftigen eines Bedrohungsjägers keine realistische Option für kleine oder mittelgroße Unternehmen: ihnen fehlen schlicht die Ressourcen, einer Person ganz diese Rolle zuzuweisen, da andere wichtige IT-Funktionen vernachlässigt würden. Gleichwohl werden größere Organisationen einen Bedrohungsjäger in ihrem Team als sehr gewinnbringend wahrnehmen.
Schlussendlich ist es Sache der Unternehmen, die Bedrohungsjagd als wichtige Fertigkeit zu betrachten – denn ohne sie können sich Angreifer frei in ihrer Infrastruktur bewegen und man wird dies erst erfahren, wenn es zu spät ist. Und wir wissen alle, wie diese Geschichte enden kann.
* Mav Turner ist Director Business Strategy bei SolarWinds.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/30/96/309697742f688d36192f4dedf3349f65/0123212947v2.jpeg "Multi-Step Reasoning ermöglicht IT-Security-Experten, komplexe Cyberangriffe durch schrittweise Analyse, KI-gestützte Mustererkennung und menschliche Expertise zu verstehen, vorherzusagen und effektiv abzuwehren. (Bild: Ju PhotoStocker - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/81/0281bb989c96e4c5409201ec76936967/0122757496v2.jpeg "Ransomware-Resilienz ist die Fähigkeit, Ransomware-Angriffe zu verhindern, einzudämmen und darauf zu reagieren, den Schaden zu minimieren und eine schnelle Wiederherstellung von Daten und Abläufen zu gewährleisten, um die Geschäftskontinuität zu erhalten. (Bild: Afiq Sam - stock.adobe.com)")