Ein Kompromittierungsindikator (Indicator of Compromise, IOC) ist in der digitalen Forensik ein Hinweis auf eine mögliche Kompromittierung eines Endgeräts oder Netzwerks. Genau wie physisches Beweismaterial helfen diese digitalen Hinweise IT-Sicherheitsexperten, böswillige Aktivitäten oder Sicherheitsbedrohungen wie Datenlecks, Insider-Bedrohungen oder Malware-Angriffe zu identifizieren.
Sicherheitsexperten können Kompromittierungsindikatoren nach dem Feststellen verdächtiger Aktivitäten manuell sammeln oder aber mithilfe von Funktionen zur Cybersicherheitsüberwachung automatisch erfassen. Diese Informationen können zum Eindämmen eines laufenden Angriffs, zum Beseitigen eines bestehenden Sicherheitsvorfalls sowie dazu genutzt werden, Tools „intelligenter“ zu machen, damit verdächtige Dateien künftig erkannt und isoliert werden.
Leider ist die IOC-basierte Überwachung immer ein reaktiver Ansatz: Wenn ein Unternehmen einen Indikator findet, wurde es höchstwahrscheinlich bereits kompromittiert. Bei einer laufenden Kompromittierung kann das schnelle Erkennen eines IOC jedoch helfen, den Angriff in einer früheren Phase des Angriffszyklus einzudämmen, sodass die Auswirkungen auf das Geschäft reduziert werden.
Je raffinierter Cyberkriminelle vorgehen, desto schwerer ist die Erkennung der Indikatoren. Die gängigsten IOCs (z. B. MD5-Hashes, C&C-Domänen oder hartkodierte IP-Adressen, Registrierungsschlüssel sowie Dateinamen) ändern sich ständig, was die Erkennung erschwert.