Threat Hunting als erkennbare Disziplin hat sich seit Mitte der 2010er Jahre sichtbar herausgebildet. Das ist nicht lang. Andere Security-Disziplinen haben Jahrzehnte hinter sich. Verglichen damit ist Threat Hunting jung.
Was in diesen Jahren passiert ist, lohnt sich anzuschauen. Nicht aus historischem Interesse, sondern weil es erklärt, wo wir heute stehen und wo die offenen Fragen liegen.
Mitte der 2010er: Ein Begriff sucht seine Definition
Als Threat Hunting als Begriff und Praxisfeld sichtbarer wurde, war er unscharf. Die Diskussion drehte sich hauptsächlich um eine Frage: Was unterscheidet Threat Hunting von normalem Security Monitoring?
Die frühe Antwort war behavioral. Monitoring reagiert auf Alerts. Threat Hunting geht proaktiv vor, ohne vorherigen Alert. Aber auch das ließ viele Fragen offen. Was ist eine Hypothese? Wer darf als Threat Hunter bezeichnet werden? Wie misst man Erfolg?
Ein systematisches Review der Forschungsliteratur von 2016 bis heute zeigt: Diese Grundsatzfragen haben sich erst in den letzten Jahren stabilisiert. Die DHS-Studie, auf der mehrere Artikel dieser Serie basieren, ist ein Beispiel dafür. Sie hat erstmals empirisch beschrieben, was Threat Hunter in der Praxis tatsächlich tun.
Die methodische Entwicklung
Früh: Indicator-basiert. Die ersten Threat-Hunting-Ansätze waren stark indicator-basiert. IOCs aus Threat Intelligence wurden gegen Log-Daten abgeglichen. Bekannte schlechte IP-Adressen, Domains, File-Hashes. Das hat einen offensichtlichen Schwachpunkt: Es findet nur, was bereits bekannt ist. Fortgeschrittene Angreifer kennen diese Listen und umgehen sie.
Dann: Hypothesen-getrieben. Der nächste Entwicklungsschritt war der Wechsel zu hypothesengetriebenem Hunting. Statt "Suche nach bekannten IOCs" lautete die Frage "Welche Angriffstechniken könnten in meiner Umgebung wirken, und welche Spuren würden sie hinterlassen?" MITRE ATT&CK wurde dabei zu einem wichtigen Werkzeug. Das Framework gibt Threat Huntern eine gemeinsame Sprache für Angriffstechniken und macht Hypothesen reproduzierbar.
Heute: Datengetrieben und ML-unterstützt. Die aktuelle Entwicklung geht in Richtung maschinelles Lernen. Nicht als Ersatz für menschliches Urteil, sondern als Hilfsmittel. ML kann Anomalien in Datensätzen finden, die für Menschen zu groß sind, um sie manuell zu durchsuchen. Es kann Muster erkennen, die kein Analyst bewusst als Hypothese formuliert hätte. Aber es braucht menschliche Einordnung, um nützlich zu sein.
Was die Forschung zeigt
Die Forschungsliteratur der letzten Jahre zeigt einen klaren Trend: mehr Fokus auf Automatisierung, mehr Fokus auf Daten.
Gleichzeitig zeigt sie eine Lücke. Es gibt viele Papiere über Algorithmen und Werkzeuge. Es gibt wenige Papiere über das, was Threat Hunter wirklich tun. Die DHS-Studie war deshalb ungewöhnlich, weil sie Interviews geführt hat, nicht Algorithmen gebaut.
Diese Lücke ist wichtig. Die technologische Entwicklung läuft der praktischen Erforschung voraus. Viele Werkzeuge werden entwickelt, ohne dass gut verstanden wird, wie Threat Hunter tatsächlich arbeiten und welche Herausforderungen sie wirklich haben.
Was sich nicht verändert hat
Die menschliche Komponente ist zentral. Kein Werkzeug ersetzt das Urteil eines erfahrenen Threat Hunters. Algorithmen finden Muster. Menschen entscheiden ob ein Muster bedeutsam ist.
Domänenwissen schlägt Tooling. Ein Threat Hunter, der die Umgebung kennt, ist wirksamer als einer, der das neueste Werkzeug bedient, aber nicht versteht was normal ist. Das galt früh in der Disziplin und gilt heute genauso.
Dokumentation bleibt vernachlässigt. Der Hot Wash aus Episode 6 dieser Serie ist kein neues Konzept. Solche Nachbesprechungen wurden früh empfohlen. Sie werden heute trotzdem selten konsequent durchgeführt.
Wo die offenen Fragen liegen
Standardisierung. Es gibt keine einheitliche Definition dessen, was einen Hunt ausmacht. Was in einem Team als Threat Hunting gilt, wird in einem anderen als reguläres Monitoring bezeichnet. Das erschwert Vergleiche und das Lernen voneinander.
Messung. Wie misst man den Wert von Threat Hunting? Ein Hunt, der nichts findet, war entweder nutzlos oder der Beweis, dass die Umgebung sauber ist. Beide Interpretationen sind möglich. Metriken die das unterscheiden, fehlen weitgehend.
Ausbildung. Die Frage, wie man gute Threat Hunter ausbildet, ist nicht gelöst. Zertifikate, das hat Episode 3 dieser Serie gezeigt, sind ein schwaches Signal. Aber eine bessere Antwort auf diese Frage fehlt der Branche noch.
Ich sehe das so
Threat Hunting hat sich in knapp einem Jahrzehnt von einem unscharfen Begriff zu einer erkennbaren Disziplin entwickelt. Die Methodik ist gereifter. Die Werkzeuge sind leistungsfähiger. Das Verständnis dafür, was gute Threat Hunter auszeichnet, ist konkreter.
Gleichzeitig ist die Disziplin jung genug, dass viele Grundsatzfragen noch offen sind. Das ist kein Mangel. Es ist eine Einladung.
Wer heute als Threat Hunter arbeitet, gestaltet mit, wie diese Disziplin sich entwickelt. Das passiert nicht in Konferenzsälen, sondern in der täglichen Arbeit: durch Hypothesen die man formuliert, Hunts die man dokumentiert, Erkenntnisse die man teilt.
Gregor Lyttek ist Security Architect & AI Strategist und Threat Hunter im Versicherungsumfeld.