:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e5/93/e593783eab747d8bd50897c447ce9d2d/0129711721v2.jpeg "Von hybriden Angriffen durch staatliche Akteure sind in der Rüstungsindustrie nicht nur die Hersteller betroffen, sondern auch ihre Zulieferer, Mitarbeiter sowie militärische Nutzer und Forschungseinrichtungen, da sie alle wertvolle Informationen und Technologien bereitstellen oder nutzen. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/b3/fcb3e33cc8b9edfb6da342799d5f9258/0129776266v2.jpeg "Laut CrowdStrike Global Threat Report 2026 stiegen KI-gestützte Angriffe 2025 um 89 Prozent, die durchschnittliche Breakout-Time sank auf 29 Minuten und der schnellste beobachtete KI-Angriff dauerte nur 27 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/8f/ee8fd3e601efda83748e775362b135bc/0129532315v1.jpeg "Die CBL-Datenretter isolierten die Speicherchips aus den korrodierten Karten und stellten nach eigenen Angaben sämtliche bis zum Geräteausfall aufgezeichneten Messwerte wieder her. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e07f8ca94d913d6571de0aec3b84d6e/0130114230v2.jpeg "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht die Einhaltung der Datenschutzgesetze in Deutschland, insbesondere der Datenschutz-Grundverordnung. (Bild: Johanna Wittig)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
Einbruchserkennung: Logfiles verraten den Angreifer
Sofern man nun beginnen sollte, die nachfolgenden Hinweise in Logfiles aufzuspüren kann es vorkommen, dass man dabei auf leere Logfiles stößt. Ein klarer Hinweis darauf, dass ein Angreifer das System kompromittiert hat und die Logfiles von ihm gelöscht wurden. Logfiles können in der Regel nur mit root Rechten geschrieben und auch gelöscht werden. Die Auswertung kann man auf den meisten Linux Systemen auch als nicht-privilegierter User vornehmen. Am schnellsten sieht man mit der Konsole Logfiles ein: „~$ cd/var/log“. Um anschließend Einblick zu erhalten, wählt man
~$ less kern.log
für die Kernelaktivitäten des Systems.
Die aktuell letzten Meldungen kann man sich am einfachsten mit „tail“ anzeigen lassen. Man kann auch direkt das entsprechende Logfile aufrufen:
~$ less /var/log/kern.log
Weiter sehr hilfreiche Befehle für die Auswertung von Logfiles mittels Konsole:
tail -n30 /var/log/kern.log
Anzeige der letzten 30 Zeilen des Logfiles kern.log
head -n30 /var/log/kern.log
Zeigt die ersten 30 Einträge im kern.log
tail -f /var/log/kern.log
lässt in Echtzeit das Logfile mitlaufen und zeigt es an
grep „2 .*eth1*“ /var/log/kern.log
Filtert Einträge der Schnittstelle eth1 und alles was am 2. eines Monats passiert ist
Natürlich kann kern.log auch durch /var/log/messages oder /var/log/user.log ausgetauscht werden. Es gibt weitaus mehr Möglichkeiten, Befehle wie cat und grep miteinander zu verbinden, um weitere Details aus dem betroffenen Logfile zu filtern. Zuständig für das Schreiben von Logfiles ist der Daemon syslogd, der unter /etc/syslogd.conf nach Bedarf nachkonfiguriert werden kann.
Im Normalfall ist die Standard-Einstellung vollkommen ausreichend und bietet mehr als einen guten Einblick in das System. Man findet in den Logfiles unter anderem die Einträge vom Starten des Systems bis hin zu Aktivitäten der Firewall, sofern iptables aktiviert ist. Ein Beispieleintrag könnte dann wie folgt aussehen:
Jan 12 13:34:26 debianserver kernel: ABORTED IN=eth1 OUT= MAC=00:c0:9f:26:a1:a9:00:xx:xx:xx:e5:18:d3:00 SRC=62.131.xx.xx DST=192.168.1.200
In diesem Beispiel versuchte ein Rechner mit der IP Adresse 62.131.xx.xx auf das Netzwerk über 192.168.1.200 Zugriff zu bekommen und wurde von iptables erfolgreich abgewehrt.
Da Angreifer sich, wie zu Beginn bereits erwähnt, meist höhere Rechte verschaffen, sollten auch die Aktionen mittels user.log und auth.log verzeichnet sein. Eine Übersicht über alle User, die in einem System angelegt sind, erhalten Sie mit
cat /etc/passwd
Aktionen die ein User über eine Konsole vornimmt, speichert die dazu gehörige History Datei .bash_history. Diese Datei befindet sich im jeweiligen Ordner des Users: ~$ less /home/marko/.bash_history oder als root ~$ .bash_history. Dabei sollten Sie auf der Konsole auch als root User angemeldet sein. Im entsprechenden Logfile /var/log/auth.log lassen sich in den meisten Linux Systemen Anmeldeversuche via Telnet, SSH oder Samba nachvollziehen, da diese dort protokolliert werden.
Mit den „Hausmitteln“ unter Linux ist es bereits jetzt durchaus möglich, einen Angreifer auszumachen und dessen Spuren zu verfolgen.
Einbruchserkennung mit Linux – Teil 2
Lesen Sie in Einbruchserkennung mit Linux – Teil 2, welche Fehler Angreifer machen und welche Tools hilfreich sein können, um Angriffe sicher zu erkennen und sich vor Angriffen zu schützen.
(ID:2012403)
:quality(80)/p7i.vogel.de/wcms/7a/60/7a60257935bfaaf43ac2212ce605e135/0126295684v2.jpeg "Das Synology Protokoll-Center hilft Unternehmen dabei, System- und Netzwerklogs zu konsolidieren, Anomalien frühzeitig zu erkennen und und Transparenz zu schaffen. (Bild: © vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/46/9c4624623fa895d407b0ea714dfe4a9e/0125908455v2.jpeg "Das Sicherheitsteam von Darktrace konnte verhindern, dass die eingebaute Backdoor für Datendiebstahl und -kompromittierung genutzt wurde. (Bild: Dall-E / KI-generiert)")