AEGYS DATALYTICS
RESSOURCE — ANGRIFFSERKENNUNG

Ist mein Firmennetzwerk gehackt? 10 Anzeichen — und die unsichtbaren Angriffe

Wenn im Netzwerk etwas nicht stimmt, gibt es oft sichtbare Anzeichen — langsame Systeme, ungewöhnliche Logins, merkwürdige Meldungen. Dieser Artikel ordnet die wichtigsten ein und erklärt, warum die gefährlichsten Angriffe häufig gar keine Anzeichen zeigen — und was das für die Frage bedeutet, ob wirklich alles in Ordnung ist.

Veröffentlicht: 5. Juni 2026 · 8 Min. Lesezeit · AEGYS DATALYTICS Redaktion

Würde ich es überhaupt mitbekommen?

Es gibt zwei Wege, wie dieser Gedanke entsteht. Manchmal ist es ein konkreter Anlass: Ein System verhält sich ungewöhnlich, eine Anmeldung kommt aus einem fremden Land, ein Kunde meldet eine merkwürdige E-Mail. Oft ist es aber auch einfach eine ruhige, berechtigte Frage, die ein Verantwortlicher sich stellt, ohne dass etwas passiert ist: Würde ich es eigentlich mitbekommen, wenn in unserem Netzwerk etwas nicht stimmt?

Beide Wege führen zur selben Stelle. Und beide verdienen eine ehrliche Antwort — keine beruhigende Floskel, aber auch keinen Alarm. Denn die wichtigste Eigenschaft eines erfolgreichen Angriffs ist nicht der Schaden, den er anrichtet, sondern wie lange er unentdeckt bleibt.

Dieser Artikel zeigt zwei Dinge: die typischen sichtbaren Anzeichen, an denen sich eine Kompromittierung erkennen lässt — und den Fall, der keine Anzeichen zeigt und gerade deshalb der gefährlichste ist.

Zehn sichtbare Anzeichen, dass ein Netzwerk kompromittiert sein könnte

Keines dieser Anzeichen ist für sich allein ein Beweis. Treten mehrere gemeinsam auf, sollten Sie der Sache nachgehen.

  1. Ungewöhnliche Netzwerkaktivität — hoher Datenverkehr nachts oder außerhalb der Geschäftszeiten, ohne erklärbaren Anlass.
  2. Anmeldungen von ungewöhnlichen Orten — Zugriffe aus Ländern, in denen Ihr Unternehmen niemanden hat.
  3. Systeme starten unerwartet neu oder werden ohne erkennbaren Grund langsam.
  4. Unbekannte Programme oder Dienste — neue Anwendungen, Prozesse oder Dienste, die niemand installiert hat.
  5. Veränderte oder verschlüsselte Dateien — Inhalte fehlen, sind umbenannt oder plötzlich nicht mehr lesbar.
  6. Verdächtige E-Mails im Namen Ihrer Firma — Kunden oder Partner melden Nachrichten, die Sie nicht gesendet haben.
  7. Warnungen Ihrer Sicherheitssoftware, die sich häufen oder plötzlich auftreten.
  8. Deaktivierte Schutzfunktionen — Virenschutz oder Protokollierung lässt sich nicht mehr starten oder wurde abgeschaltet.
  9. Neue oder veränderte Benutzerkonten — Zugänge, die niemand angelegt hat, oder geänderte Berechtigungen.
  10. Rückmeldungen von außen — Kunden, Partner oder Behörden weisen auf Auffälligkeiten hin, die Sie selbst nicht bemerkt haben.

Wichtig: Diese Liste beschreibt den erkennbaren Fall. Sie ist hilfreich — aber sie ist nicht vollständig. Denn der gefährlichste Angriff steht nicht auf dieser Liste, weil er sich genau darauf verlässt, keines dieser Anzeichen zu erzeugen.

Der Angriff, der keine Anzeichen zeigt

Die Anzeichen oben haben eine Gemeinsamkeit: Sie entstehen, wenn ein Angriff stört — wenn etwas abstürzt, verschlüsselt wird, auffällt. Ransomware zum Beispiel will gesehen werden, denn sie erpresst.

Der gefährlichere Fall ist der leise. Ein Angreifer, der in ein Netzwerk gelangt ist und kein Interesse daran hat, aufzufallen, verhält sich so unauffällig wie möglich. Er bewegt sich vorsichtig zwischen Systemen ( laterale Bewegungen), beobachtet, sammelt Zugangsdaten, leitet nach und nach Daten aus — und vermeidet alles, was ein sichtbares Symptom erzeugen würde. Kein Absturz, keine Verschlüsselung, keine Warnung. Auf der Oberfläche läuft alles normal weiter.

Wie real das ist, zeigt eine Kennzahl aus der größten unabhängigen Vorfalls-Analyse der Branche: Laut IBM Cost of a Data Breach Report liegt die durchschnittliche Zeit, bis ein Angreifer im Netzwerk überhaupt entdeckt wird, im Bereich von mehreren Monaten. So lange läuft Aktivität — ohne dass jemand sie bemerkt, weil keines der vertrauten Anzeichen auftritt.

Genau hier liegt die eigentliche Schwierigkeit: Wer auf sichtbare Symptome wartet, erkennt nur die lauten Angriffe. Die leisen bleiben — per Definition — unsichtbar, solange niemand aktiv nachsieht.

Zwei Arten von Angriffen

Sichtbare Symptome erfassen nur die eine Hälfte.

Der laute Angriff

z. B. Ransomware — will gesehen werden

  • • Systeme stürzen ab
  • • Dateien werden verschlüsselt
  • • Sicherheitswarnungen häufen sich
  • • Lösegeldforderung erscheint
→ wird bemerkt

Der leise Angriff

will unentdeckt bleiben

  • • beobachtet still
  • • sammelt Zugangsdaten
  • • leitet langsam Daten aus
  • • vermeidet jedes Symptom
→ bleibt unbemerkt, bis jemand aktiv nachsieht
Sichtbare Anzeichen erfassen nur die lauten Angriffe. Die leisen bleiben unsichtbar, bis man die tatsächliche Netzwerkaktivität prüft.

Vom Gefühl zur belastbaren Antwort

Wenn sichtbare Anzeichen allein nicht ausreichen, bleibt nur eine Möglichkeit, die Frage „läuft hier etwas, das nicht sein sollte?" sauber zu beantworten: nachsehen, was im Netzwerk tatsächlich kommuniziert wird.

Das ist etwas anderes als ein Virenscan auf einzelnen Rechnern oder ein Blick in vorhandene Logs. Ein einzelner Rechner zeigt nur, was auf ihm selbst passiert. Logs zeigen nur, was angebundene Systeme gemeldet haben. Die Kommunikation im Netzwerk dagegen zeigt das tatsächliche Verhalten: Welche Systeme sprechen mit welchen Zielen? Geht etwas nach außen, das nicht erklärbar ist? Bewegt sich etwas seitlich zwischen internen Systemen?

Diese Sicht entsteht nicht aus dem Bauchgefühl, sondern aus einer strukturierten Auswertung der echten Netzwerkaktivität — unabhängig davon, ob ein einzelnes System ein Symptom zeigt oder nicht.

Kurz gesagt: Sichtbare Anzeichen sind ein Anlass, genauer hinzusehen — aber ihr Fehlen ist kein Beweis, dass alles in Ordnung ist. Sicherheit entsteht nicht durch das Warten auf Symptome, sondern durch das aktive Prüfen der tatsächlichen Netzwerkaktivität.

Unsere Lösung

Eine unabhängige Sicht auf das, was tatsächlich passiert

AEGYS DATALYTICS beantwortet genau diese Frage. Eine kompakte Appliance — AEGYS Monitor — wird passiv ans Netzwerk angeschlossen und liest mit, was tatsächlich kommuniziert wird. Daraus entsteht eine strukturierte Auswertung: Welche Systeme sprechen mit welchen externen Zielen, gibt es ungewöhnliche laterale Bewegungen, fließen Daten ab, die nicht zum normalen Betriebsbild passen.

Das Ergebnis ist keine Datenmenge, sondern eine klare Einschätzung — als Grundlage für eine Entscheidung. Auf Wunsch punktuell als Reality-Check, etwa nach einem Verdacht oder zur Vorsorge, oder fortlaufend als kontinuierliche Sicht.

Unsicher, ob in Ihrem Netzwerk alles in Ordnung ist?

Ein Reality-Check liefert eine unabhängige Auswertung der tatsächlichen Netzwerkaktivität. Punktuell, ohne Projekt, ohne neue Lizenz.

Erstgespräch vereinbaren

15 Minuten zur Einordnung. Wenn es nicht passt, sagen wir das.

Oder zuerst den kostenlosen Netzwerk-Check machen.

Häufige Fragen

Häufige Fragen zu Anzeichen einer Kompromittierung

Quellen