Anomalie

Im Kontext der Informationssicherheit beschreibt eine Anomalie ein unerwartetes Verhalten oder Ereignis in einem System, das nicht sofort als Angriff klassifizierbar ist, aber potenziell ein Sicherheitsrisiko darstellt. Insbesondere im Rahmen des OSSTMM-Standards (Open Source Security Testing Methodology Manual) gilt die Anomalie als die niedrigste Form einer entdeckten Abweichung – sie ist nicht zwangsläufig exploitbar, signalisiert aber eine Unschärfe im Verständnis der Systemreaktion.

Typische Beispiele für Anomalien sind ungewöhnliche Netzwerkpakete, untypische Benutzeraktionen außerhalb der Geschäftszeiten oder Konfigurationen, die nicht dokumentiert sind. Auch selten genutzte Ports oder unerwartete Serviceantworten können auf Anomalien hinweisen.

Zwar stellen Anomalien per Definition keine unmittelbare Bedrohung dar, sie gelten aber als Frühwarnindikatoren. In professionellen Security Operations Centern (SOC) dienen sie als Ausgangspunkt für Threat Hunting, Verhaltensanalyse (UEBA) und tiefergehende Sicherheitsbewertungen. Werden sie ignoriert, können sich daraus später konkrete Schwachstellen oder Angriffspfade entwickeln.