Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

Aktive Verteidigung

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Aktive Verteidigung?

Aktive VerteidigungVerteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.


Aktive Verteidigung umfasst Techniken, die Kosten und Risiko fuer Angreifer erhoehen, ohne in den illegalen Bereich des Hack-Back zu geraten. Dazu zaehlen Deception (Honeypots, Honeyfiles, Decoy-Accounts), Threat Hunting, In-Network-Engagement, Tarpits, Dokumente mit Beacons und Intelligence-Gain/Loss-Operationen. Das MITRE-Engage-Framework hat die Disziplin formalisiert und das frueheren Shield-Projekt ersetzt; es ordnet Techniken den Kategorien Sammeln, Erkennen, Stoeren, Beruhigen und Motivieren zu. Aktive Verteidigung findet ausschliesslich auf eigenen oder kontrollierten Assets statt. Sie ergaenzt klassische Detection-and-Response, indem sie Angreiferverhalten formt, hochwertige Telemetrie erzeugt und umsetzbare Threat Intelligence liefert.

Eine nuetzliche Moeglichkeit, die Disziplin einzugrenzen, ist das von der SANS-nahen Active Defense Harbinger Distribution (ADHD) popularisierte Spektrum aus "annoyance, attribution, and attack" (Belaestigung, Attribution und Angriff): Nur die ersten beiden sind fuer die meisten Organisationen rechtmaessig, waehrend der "Angriff" — das Hacken der gegnerischen Infrastruktur selbst — in der Regel gegen den US-amerikanischen Computer Fraud and Abuse Act (CFAA) und entsprechende Gesetze im Ausland verstoesst. Praktische und vertretbare Werkzeuge sind etwa Canary-Tokens (Thinkst Canarytokens), SSH-Tarpits wie Endlessh, das historische LaBrea-Tarpit sowie Decoy-Anmeldedaten, die in LSASS oder im Browser platziert werden, um Tools zum Diebstahl von Anmeldedaten auszuloesen. Jedes davon loest einen hochpraezisen Alarm aus, weil ein legitimer Nutzer niemals einen Grund hat, sie anzufassen, was die Zahl der Fehlalarme im Vergleich zu signaturbasierten Alarmen drastisch senkt.

Das Engagement liefert zudem Erkenntnisse: Der Beacon einer Honeyfile kann einen Exfiltrationsendpunkt offenlegen, und ein Decoy-Active-Directory-Konto, das sich ploetzlich authentifiziert, deckt eine laufende laterale Bewegung auf. Verteidiger muessen den "Intelligence-Gain/Loss" abwaegen — das Risiko, dass die Interaktion mit einem Angreifer ihn warnt und die Taeuschung verbrennt — und jede Aktion innerhalb der eigenen Infrastruktur halten, um auf der richtigen Seite des Gesetzes zu bleiben.

flowchart LR
  A[Angreifer im Netzwerk] --> B{Beruehrt Decoy?}
  B -- Ja --> C[Hochpraeziser Alarm]
  B -- Nein --> D[Routinemaessiges Monitoring]
  C --> E[Engagieren: Tarpit / beobachten]
  E --> F[TTPs und IOCs sammeln]
  F --> G[Stoeren und vertreiben]
  G --> H[Threat Intelligence einspeisen]

Beispiele

  1. 01

    Tarpit, das TCP-Verbindungen eines Scanners minutenlang offen haelt.

  2. 02

    Honeyfile mit Beacon, um Exfiltrationsziele zu identifizieren.

Häufige Fragen

Was ist Aktive Verteidigung?

Verteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.

Was bedeutet Aktive Verteidigung?

Verteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.

Wie schützt man sich gegen Aktive Verteidigung?

Schutzmaßnahmen gegen Aktive Verteidigung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Aktive Verteidigung?

Übliche alternative Bezeichnungen: Defensive Cyberoperationen, Adversary Engagement.

Verwandte Begriffe

Siehe auch