AEGYS DATALYTICS

WISSEN — BEDROHUNGEN & ANGRIFFSTECHNIKEN

Command-and-Control (C2)

Command-and-Control (C2) bezeichnet die Verbindung, über die ein Angreifer ein kompromittiertes System aus der Ferne steuert. Schadsoftware „meldet sich" bei der Infrastruktur des Angreifers, empfängt Befehle und sendet Daten zurück. Diese Verbindung ist oft das verräterischste Signal eines aktiven Angriffs — und gleichzeitig bewusst unauffällig gestaltet.

Einfach erklärt

Eine Schadsoftware allein nützt dem Angreifer wenig — er muss sie steuern können. Dafür baut sie eine heimliche Funkverbindung nach außen auf, über die Befehle hereinkommen und gestohlene Daten hinausgehen. Diese „Leitung nach Hause" zu finden, heißt den Angriff zu finden.

Wie es funktioniert

Interner HostkompromittiertPerimeterC2-ServerAngreiferBeacon / DatenBefehle

Das kompromittierte System nimmt in Intervallen Kontakt zu einem externen Server auf, oft getarnt als normaler Web- oder DNS-Verkehr. Über diesen Kanal erhält es Anweisungen und überträgt Ergebnisse. Angreifer wechseln Adressen und verschleiern den Verkehr, um einer Erkennung zu entgehen.

Wozu es dient und wo die Grenze liegt

C2-Verkehr ist ein starkes Indiz dafür, dass ein Angriff nicht nur stattgefunden hat, sondern noch aktiv ist. Er lässt sich über zwei Wege erkennen: durch Abgleich mit Threat Intelligence (bekannte schädliche Ziele) und durch Verhaltensanalyse (ungewöhnliche externe Verbindungen). Beides kombiniert NDR, das den ausgehenden Verkehr direkt beobachtet.

Verwandte Begriffe

Warum gerade aktive Kommunikation nach einem Vorfall die entscheidende Frage ist, zeigt SIEM-Detection-Lücken.

Zuletzt aktualisiert: 5. Juni 2026 · 4 Min. Lesezeit