Der OODA Loop, warum Threat Hunting ein Wettrennen ist

Threat Hunting hat einen Gegner. Und dieser Gegner denkt auch nach.

Quellen: John Boyd (1970er), The Decision Lab, ooda.de

Das klingt selbstverständlich, ist es aber nicht. Viele Sicherheitsframeworks behandeln Angreifer wie statische Objekte: Du suchst nach Indikatoren, du findest sie, du reagierst. Als ob der Angreifer einfach wartet.

Das OODA-Loop-Modell korrigiert dieses Bild. Es macht sichtbar, was Threat Hunting in Wirklichkeit ist: ein Wettrennen zwischen zwei Entscheidungszyklen.

Was Boyd entdeckt hat

John Boyd war US-Kampfpilot und später Militärstratege. In den 1970ern stellte er eine Frage, die niemand vorher systematisch untersucht hatte: Warum gewinnen amerikanische F-86-Piloten im Koreakrieg gegen technisch überlegene MiG-15-Maschinen?

Die Antwort war nicht in der Technologie. Die F-86 war schneller und wendiger in bestimmten Manövern, aber der entscheidende Vorteil lag woanders: Der Pilot einer F-86 konnte seine Umgebung schneller erfassen und auswerten. Er hatte eine bessere Kanzelübersicht und hydraulische Steuerung, die Lageänderungen ohne Kraftaufwand erlaubten.

Boyd destillierte das in ein Modell, das er OODA Loop nannte:

Observe, Beobachten: Was nimmt man wahr? Welche Signale kommen rein?

Orient, Orientieren: Was bedeutet das? Wie ordnet man es ein, basierend auf Erfahrung, Wissen, Kontext?

Decide, Entscheiden: Was tut man? Welche Option wählt man?

Act, Handeln: Man setzt die Entscheidung um.

Dann beginnt der Zyklus von vorne, mit neuen Informationen, die durch die eigene Aktion entstanden sind.

Die zentrale Einsicht: Orient ist der Kern

Boyd selbst betonte, dass die vier Buchstaben trügen. OODA klingt wie eine Checkliste. Es ist keine.

Das kritischste Element ist Orient. Dieser Schritt ist kein einfaches Einordnen von Fakten, es ist der Schritt, an dem Erfahrung, Weltbild, mentale Modelle und Kontext die rohen Beobachtungen in Bedeutung verwandeln. Zwei Menschen mit denselben Informationen können völlig verschiedene Entscheidungen treffen, weil ihre Orientierung unterschiedlich ist.

Ein erfahrener Threat Hunter sieht in einem anomalen DNS-Request etwas anderes als ein Junior-Analyst. Nicht weil er mehr Daten hat, sondern weil sein Orientierungs-Filter anders kalibriert ist.

Das erklärt auch, warum in der DHS-Studie 6 von 11 Threat Huntern Zertifikaten nicht vertrauen. Zertifikate schulen Wissen. Orient ist aber kein Wissensproblem, es ist ein Urteilsproblem. Und Urteil entsteht durch Erfahrung.

Wer schneller durch den Loop läuft, gewinnt

Boyd formulierte es militärisch: Man will in die OODA-Schleife des Gegners eindringen, ihn verwirren, verzögern, desorientieren, während man selbst schneller beobachtet, einordnet, entscheidet und handelt.

Im Threat-Hunting-Kontext bedeutet das:

Der Angreifer läuft auch einen OODA Loop. Er beobachtet dein Netzwerk. Er orientiert sich, lernt deine Baselines, deine Abwehrmechanismen, deine blinden Flecken. Er entscheidet, wo er sich bewegt. Er handelt.

Threat Hunting ist der Versuch, in diesen Zyklus einzugreifen, bevor der Angreifer seinen nächsten Act vollzieht.

IBM hat berechnet: Der durchschnittliche Angreifer verweilt 230 Tage unentdeckt im Netzwerk. Eine Reduzierung der Verweildauer um 50% senkt die Angriffskosten um 30%. Das ist keine abstrakte Statistik, das ist der Preis für einen langsamen OODA Loop auf Seite der Verteidiger.

OODA im Threat-Hunting-Prozess

Die Phasen des DHS-Threat-Hunt-Prozesses lassen sich direkt auf den OODA Loop abbilden:

Observe, Intelligence sammeln, IOCs laden, Sensor-Daten erfassen. Der automatisierte Alert-Loop läuft hier schnell und kontinuierlich.

Orient, Baseline aufbauen, Anomalien kontextualisieren, Verhalten einordnen. Das ist der manuelle Analyse-Loop, langsamer, aber tiefer.

Decide, Ist das, was ich sehe, tatsächlich verdächtig? Eskaliere ich? Ändere ich die Suchhypothese?

Act, An Incident Response übergeben, eine neue Detektionsregel anlegen, die Suchhypothese anpassen und neu beginnen.

Der Hot Wash nach jeder Mission, "Was haben wir gelernt? Was ändern wir?", ist der Mechanismus, mit dem das Orient-Modell des Teams verfeinert wird. Man verbessert nicht den Prozess. Man verbessert den Filter, durch den man Beobachtungen einordnet.

Was das für die Praxis bedeutet

Ich denke oft in OODA-Zyklen, wenn ich Threat Hunting oder Incident Response betreibe. Die Frage, die mich dabei leitet: An welchem Punkt des Loops bin ich, und wo ist gerade der Engpass?

Manchmal ist der Engpass Observe: Ich habe nicht genug Sichtbarkeit im Netzwerk. Keine Logs, keine Telemetrie, keine Sensoren.

Manchmal ist es Orient: Die Daten sind da, aber niemand hat die Erfahrung, sie einzuordnen. Ein SIEM mit tausend Regeln, die keiner verstanden hat.

Manchmal ist es Act: Die Entscheidung ist getroffen, aber die Umsetzung dauert Wochen wegen Genehmigungsprozessen.

Jeder dieser Engpässe hat eine andere Lösung. Alle mit "mehr Tools" zu beantworten, der häufigste Reflex, hilft meist nur beim ersten.

Der OODA Loop ist kein Prozessmodell. Er ist eine Denkweise darüber, was Entscheidungen unter Zeitdruck bedeuten, und warum Geschwindigkeit und Urteilsvermögen wichtiger sind als vollständige Information.