Ein Command-and-Control-Server (C2) ist ein Server, der von Angreifern zur Fernsteuerung von Malware auf kompromittierten Systemen genutzt wird. Über den C2-Kanal empfängt die Malware Befehle und sendet gestohlene Daten zurück.
Im ISMS ist die Erkennung von C2-Kommunikation Teil der Anforderungen aus ISO 27001 Annex A Controls A.8.16 (Überwachung von Aktivitäten) und A.8.20 (Netzwerksicherheit). Typische Erkennungsansätze umfassen DNS-Monitoring (ungewöhnliche Domains, DNS-Tunneling), Netzwerk-Traffic-Analyse (Beaconing-Muster, verschlüsselte Verbindungen zu unbekannten Endpunkten) und Threat-Intelligence-Feeds mit bekannten C2-Infrastrukturen. Moderne C2-Frameworks wie Cobalt Strike oder Sliver nutzen verschlüsselte Kanäle über HTTPS oder DNS, was die Erkennung erschwert.