Illustration Absmeier foto freepik

Cyberkriminelle kennen das schwächste Glied in der Kette genau. Wissen Sie es auch?

Cyberkriminelle studieren nicht das Organigramm eines Unternehmens. Sie studieren die Zugriffsmuster. Während sich Sicherheitsteams auf den Schutz des CEO konzentrieren, nehmen Angreifer den Facility-Koordinator mit Gebäudezugangsrechten oder den Personalchef, der Lieferantenverträge genehmigt, ins Visier.

Dies sind besonders gefährdete Personen (Very Attacked People, VAPs). Sie werden nicht anhand ihrer Berufsbezeichnung definiert, sondern anhand der Häufigkeit von Angriffen. Der Verizon Data Breach Investigations Report 2025 zeigt, dass sechs von zehn Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind [1]. Ein Teil der Angreifer haben sich von der Taktik des »Spray-and-Pray« verabschiedet und wählen ihre Opfer nun ganz gezielt und aus bestimmten Gründen aus.

Warum Ihr Warnmodell das Wesentliche übersieht

Herkömmliche Sicherheitsmodelle behandeln alle Benutzer gleich. Ein Phishing-Versuch mit geringer Schwere erhält die gleiche Reaktion, unabhängig davon, ob er sich gegen einen Praktikanten oder einen Personalmanager mit Zugriff auf die Gehaltsabrechnung richtet. Das ist ein Nachteil, wenn der Personalmanager wöchentlich angegriffen wird, während Führungskräfte verschont bleiben.

In der Praxis meldet ein durchschnittliches SIEM täglich 200 Phishing-Versuche, aber Sicherheitsteams können nicht erkennen, welche davon auf Personen abzielen, die für die Geschäftskontinuität von entscheidender Bedeutung sind. Das Ergebnis ist Lärm ohne Kontext, wodurch die wichtigsten Risiken in Warnmeldungen niedriger Priorität untergehen.

Unternehmen müssen sich bei der Erkennung auf Personen konzentrieren, nicht nur auf Systeme

»Graylog verfolgt einen anderen Ansatz bei VAPs. Anstatt Warnmeldungen als isolierte technische Ereignisse zu behandeln, unterstützen wir Unternehmen, auch die angegriffenen Personen, und damit deren Priorität im Unternehmen, zu identifizieren. Durch die automatische Korrelation von Aktivitäten über Phishing-Versuche, Credential Stuffing, Anomalieerkennung und Bedrohungsinformationen hinweg können Sicherheitsteams Warnmeldungen im Laufe der Zeit mit bestimmten Personen in Verbindung bringen. Dieser Kontext offenbart Muster im Verhalten der Angreifer, nicht nur isolierte Ereignisse,« erklärt Andy Grolnick, CEO vom SIEM-Security-Anbieter Graylog.

Um dies effektiv zu tun, ermöglichen effektive SIEM-Plattformen Folgendes:

VAPs in der Asset-Datenbank kennzeichnen: Wenn jemand mit Gebäudezugang oder Vertragsgenehmigungsbefugnis ins Visier genommen wird, wird dieser Kontext jeder Warnmeldung hinzugefügt. Analysten müssen nicht mehr Identitätsmanagementsysteme durchforsten, um zu verstehen, warum dies wichtig ist.
Priorität anhand des Benutzerrisikoprofils erhöhen: Während das Einloggen von einem ungewöhnlichen Standort für die meisten Mitarbeiter normal sein mag, ist es für einen CFO ein Warnsignal, das sofortige Aufmerksamkeit erfordert.
Erstellen von Dashboards für Trends bei Angriffen auf Menschen: Verfolgen Sie, wer ständig angegriffen wird, welchen Arten von Bedrohungen diese Personen ausgesetzt sind und ob diese Angriffe immer raffinierter werden.

Die Mentalitätsänderung, die Sicherheitsteams benötigen

Die meisten Strategien sind nach wie vor auf Endpunkte ausgerichtet: Welche Schwachstellen müssen gepatcht werden? Welche Systeme müssen aktualisiert werden? Welche Protokolle müssen überwacht werden? Angreifer denken in erster Linie an Menschen. Sie entwerfen gezielte Nachrichten, nutzen Entscheidungsfindungen unter Druck aus und konzentrieren sich auf Mitarbeiter, die am wenigsten in der Lage sind, jede Anfrage genau zu prüfen.

Diese Diskrepanz führt zu einer Alarmmüdigkeit. Mitarbeiter werden mit verdächtigen Nachrichten überschwemmt und Analysten mit Warnmeldungen. Wenn Erkennungsstrategien das Verhalten von Angreifern nicht widerspiegeln, verdeckt der Lärm konzentrierte Angriffe auf die wertvollsten Mitarbeiter im Unternehmen.

Kennen Sie Ihre VAPs, bevor es die Angreifer tun

Beim Schutz von VAPs geht es nicht darum, ein weiteres Tool hinzuzufügen. Es geht darum, die bereits gesammelten Daten zu nutzen, um menschliche Risikomuster aufzudecken. Ohne Einblick in die Ziele der Angreifer bleibt die Sicherheitsstrategie reaktiv und das Team überfordert.

»Beginnen Sie mit der Frage: Wer in Ihrem Unternehmen wird am häufigsten angegriffen? Diese Person ist, unabhängig von ihrer Position, Ihr VAP. Sie verdient Schutzmaßnahmen, die ihrem Risikoprofil entsprechen, so Grolnick weiter. »Denken Sie daran: Angreifer werden immer präziser. Warnmeldungen auf niedriger Ebene können hochriskante Bedrohungen verbergen. Ohne den Faktor Mensch ist Ihr Risikomodell unvollständig. Graylog kombiniert Bedrohungsinformationen, Anomalieerkennung und Anreicherung von Asset-Daten, um Unternehmen einen kontextbezogenen Echtzeit-Überblick über ihre VAPs zu geben. Ohne Störsignale. Ohne Spekulationen.«

Mehr Informationen: https://graylog.org/vap/

[1] https://www.verizon.com/business/resources/reports/dbir/

867 Artikel zu „SIEM“

News | IT-Security | Lösungen

Wir beseitigen die traditionellen Kompromisse, die SIEM-Plattformen plagen!

17. September 2025

Im Interview spricht Andy Grolnick, CEO vom SIEM-Sicherheitsanbieter Graylog, über den Mangel an Security-Spezialisten, welche Funktionen SIEM-Plattformen zwingend haben sollten und wie Unternehmen sich bis Ende des Jahres verbessern können. Erzählen Sie uns etwas mehr über Graylog. Was unterscheidet das Unternehmen von anderen IT-Sicherheitsanbietern? Wir beseitigen die traditionellen Kompromisse, die SIEM-Plattformen plagen; das ist…