top of page
AI_755x120_Laeuft_TD_Synnex_ohne_rand.jpg

Im Inneren der Angriffslandschaft: Wie Forescout Bedrohungen antizipiert

  • 3. Mai
  • 4 Min. Lesezeit


In Eindhoven betreibt Forescout mit den Vedere Labs eine Forschungseinheit, die sich gezielt der Verwundbarkeit vernetzter Geräte widmet – von klassischen IT-Systemen bis hin zu OT-Komponenten wie industriellen Steuerungen oder medizinischen Geräten, die zunehmend neue Angriffsflächen schaffen. Unter der Leitung von Daniel dos Santos werden reale Angriffe simuliert, Millionen Geräte analysiert und Schwachstellen identifiziert, um Risiken frühzeitig zu erkennen und Unternehmen besser zu schützen.



Foto: Forescout
Foto: Forescout

Die Labortür bleibt verschlossen – aus gutem Grund. Dahinter stehen Systeme, die absichtlich verwundbar sind: industrielle Steuerungen, medizinische Geräte, Netzwerkkomponenten. Sie sind direkt mit dem Internet verbunden und warten darauf, angegriffen zu werden. Was wie ein Sicherheitsrisiko klingt, ist in Wirklichkeit ein zentraler Baustein moderner Cybersicherheitsforschung. In den Vedere Labs von Forescout wird genau das bewusst orchestriert – um zu verstehen, wie Angriffe entstehen, sich entwickeln und skalieren.

„Wir sind der Threat-Intelligence-Arm von Forescout“, sagt Daniel dos Santos. Die Aufgabe: Erkenntnisse generieren, strukturieren und nicht nur an Kunden, sondern an die gesamte Sicherheits-Community weitergeben.


Forschung als Frühwarnsystem


Im Zentrum der Arbeit steht ein klarer Anspruch: Angriffe verstehen, bevor sie stattfinden. Dafür unterscheidet das Team zwei Perspektiven – Schwachstellen und Bedrohungen.

Schwachstellenforschung bedeutet, aktiv nach neuen Sicherheitslücken in Geräten zu suchen. Ziel ist es, diese an Hersteller zu melden, damit sie geschlossen werden, bevor Angreifer sie entdecken. „Idealerweise wird alles gefixt, bevor jemand es ausnutzt“, erklärt dos Santos.

Daniel dos Santos, VP of Research bei Forescout, zeigt einen aktiven Honeypot, der darauf ausgelegt ist, reale Angriffe anzuziehen und auszuwerten. (Foto: it&d business)
Daniel dos Santos, VP of Research bei Forescout, zeigt einen aktiven Honeypot, der darauf ausgelegt ist, reale Angriffe anzuziehen und auszuwerten. (Foto: it&d business)

Die Bedrohungsforschung hingegen setzt an, wenn ein Angriff bereits stattgefunden hat. Malware, Ransomware-Gruppen oder hacktivistische Kampagnen werden analysiert, um Muster und Strategien zu erkennen.

Ein Beispiel zeigt, wie eng Forschung und Realität inzwischen verzahnt sind: 2025 veröffentlichte Forescout eine Analyse zu Schwachstellen in Solar-Invertern. Monate später wurde ein Angriff auf das polnische Stromnetz bekannt, der genau auf ähnliche Strukturen abzielte. „Wir versuchen immer, einen Schritt voraus zu sein“, sagt dos Santos.


Ein Beispiel aus der Praxis zeigt, wie realitätsnah diese Forschung angelegt ist. In den Labs entstand die täuschend echte Simulation eines Wasserversorgungsunternehmens – mit Bedienoberfläche und Steuerungssystemen, die von realen Anlagen kaum zu unterscheiden sind. Nach einigen Wochen gelang es Angreifern, in dieses System einzudringen. „Sie haben anschließend auf Telegram behauptet, es handle sich um einen echten Angriff auf kritische Infrastruktur“, berichtet Daniel dos Santos. Für die Forscher ist genau das der Beweis für die Qualität ihrer Szenarien: Die Angriffe erfolgen unter realistischen Bedingungen und liefern entsprechend belastbare Erkenntnisse über Vorgehensweisen und Motive.


Das Ökosystem der Daten

Grundlage dieser Arbeit ist ein weit verzweigtes Daten-Ökosystem. Forescout greift auf eine sogenannte „Device Cloud“ zu – eine Sammlung anonymisierter Daten aus Kundensystemen. Millionen Geräte liefern Einblicke in Betriebssysteme, Hersteller und Kommunikationsprotokolle.

Hinzu kommen Kooperationen mit internationalen Organisationen wie branchenspezifischen Informationsnetzwerken (ISACs), etwa im Energie- oder Gesundheitssektor. Diese dienen dem Austausch von Bedrohungsinformationen zwischen Unternehmen und Institutionen.


„Wir sehen eine enorme Vielfalt an Geräten tausende Hersteller, unterschiedlichste Systeme“,

so dos Santos. Diese Heterogenität ist entscheidend, denn moderne Angriffe zielen zunehmend auf genau diese Vielfalt ab.


Angriff unter Beobachtung

Ein besonders eindrücklicher Teil der Forschung ist das sogenannte „Adversary Engagement Environment“. Dahinter verbirgt sich ein kontrolliertes Angriffsszenario: Systeme werden bewusst exponiert, um reale Angriffe anzuziehen.

2025 registrierten die Vedere Labs rund 900 Millionen Angriffe auf diese Systeme – etwa 13 bis 14 pro Sekunde. Die Analyse dieser Daten liefert wertvolle Erkenntnisse über Angriffsmethoden, eingesetzte Malware und Zielstrukturen.

Interessant ist dabei der Rückkopplungseffekt: Die gleichen Systeme, die Angriffe beobachten, werden auch bei Kunden eingesetzt.


„Wir nutzen reale Angriffe, um unsere Detektion zu verbessern“,

erklärt dos Santos. Die gewonnenen Erkenntnisse fließen direkt in Schutzmechanismen ein.


Neue Angreifer, neue Dynamiken


Ein klarer Trend der vergangenen Jahre ist die zunehmende Bedeutung von Hacktivisten. Laut Analysen entfallen rund 80 Prozent der beobachteten Angriffe auf ideologisch motivierte Gruppen.

Diese agieren anders als klassische Cyberkriminelle: Sie organisieren sich über Plattformen wie Telegram, arbeiten dezentral und veröffentlichen ihre Aktivitäten oft öffentlich.


„Das operative Modell ist ein anderes als das, was wir früher gesehen haben“,

so dos Santos.

Um diese Dynamiken zu verstehen, hat das Team eigene Szenarien entwickelt – etwa eine simulierte Wasseraufbereitungsanlage. Tatsächlich wurde diese Testumgebung kompromittiert und anschließend von Angreifern als vermeintlich realer Angriff publiziert.


KI als nächster Evolutionsschritt


Die nächste Entwicklungsstufe der Forschung ist bereits im Einsatz: Künstliche Intelligenz. In den Vedere Labs analysieren KI-gestützte Systeme große Mengen an Kommunikationsdaten aus Angreifergruppen.

Ein eigens entwickelter „Crawler“ liest Nachrichten aus Telegram-Kanälen, extrahiert relevante Informationen und strukturiert sie nach Zielregionen, Branchen oder Schwachstellen.


„Wir machen aus unstrukturierten Daten verwertbare Threat Intelligence“,
Daniel dos Santos, VP of Research bei Forescout
Foto: Forescout

beschreibt dos Santos den Ansatz.

Noch befindet sich das System in der Beobachtungsphase. Perspektivisch soll es jedoch auch Entscheidungen treffen können – etwa, welche Gruppen relevant sind oder welche Trends sich abzeichnen. Ziel ist es, von reaktiver Analyse zu prädiktiver Sicherheit zu gelangen.


Zwischen Realität und Simulation


Ein entscheidender Faktor für die Qualität der Forschung ist die Nähe zur Realität. Die Labore in Eindhoven umfassen reale industrielle Steuerungssysteme, Gebäudeautomation und medizinische Geräte.

Diese Systeme werden nicht nur analysiert, sondern auch aktiv reverse-engineered, um proprietäre Kommunikationsprotokolle zu verstehen.



„Das sind keine standardisierten IT-Protokolle, sondern oft herstellerspezifische Lösungen“,

erklärt dos Santos.

Die Kombination aus physischer Infrastruktur, realen Angriffen und globalen Datenquellen macht das Forschungsmodell der Vedere Labs einzigartig. Gleichzeitig zeigt sie auch die wachsende Komplexität moderner IT- und OT-Sicherheitslandschaften.


Die Arbeit der Vedere Labs verdeutlicht, dass Cybersicherheit längst nicht mehr nur eine Frage von Firewalls und Updates ist. Sie ist ein kontinuierlicher Prozess aus Beobachtung, Analyse und Anpassung – in einem Umfeld, in dem sich Angreifer schneller denn je entwickeln. Oder, wie es dos Santos formuliert: Die Herausforderung besteht darin, Bedrohungen zu verstehen, bevor sie sichtbar werden.

 


it&d business Redaktion




Kommentare

bottom of page