Indicators of Compromise (IoC) sind beobachtbare technische Artefakte, die darauf hindeuten, dass ein System kompromittiert wurde. Typische Beispiele sind verdächtige IP-Adressen, Hash-Werte bekannter Schadsoftware, ungewöhnliche Registry-Einträge oder auffällige DNS-Anfragen. IoCs werden über Threat-Intelligence-Feeds, CERTs und branchenspezifische ISACs geteilt. In deinem ISMS nutzt du IoCs, um deine Erkennungsregeln in SIEM und IDS aktuell zu halten. Der Abgleich eigener Logdaten mit aktuellen IoC-Listen gehört zu den Grundlagen eines wirksamen Monitorings. Achte darauf, IoCs zeitnah einzupflegen, da sie schnell an Relevanz verlieren.