{"id":31530,"date":"2026-07-08T09:21:33","date_gmt":"2026-07-08T07:21:33","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=31530"},"modified":"2026-07-08T14:28:21","modified_gmt":"2026-07-08T12:28:21","slug":"im-fokus-zerofox-schutz-vor-betrug-und-datendiebstahl","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=31530","title":{"rendered":"Im Fokus: ZeroFox \u2013 Schutz vor Betrug und Datendiebstahl"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Autor: Dr. G\u00f6tz G\u00fcttich, Senior IT-Security-Consultant bei Twinsoft<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ZeroFox bietet seit inzwischen 14 Jahren eine L\u00f6sung an, die Soziale Medien, das Dark Web und vergleichbare Quellen nach kompromittierten Daten und Betrugsversuchen durchsucht. Mit ihrer Hilfe sind Unternehmen dazu in der Lage, ihre Marken und Mitarbeiter zu sch\u00fctzen. Dazu macht&nbsp; das System Betr\u00fcger ausfindig, die den Namen, Bilder oder das Logo der betroffenen Organisationen missbrauchen. So erkennt es beispielsweise Phishing-Seiten, die die Login-Seite einer Organisation kopieren, um Kundenpassw\u00f6rter zu stehlen und findet Fake-Profile auf LinkedIn, X, Instagram und vergleichbaren Medien, die sich als Profile des CEOs oder des Kundensupports des angegriffenen Unternehmens ausgeben. Dar\u00fcber hinaus deckt ist die L\u00f6sung auch App-Store-Piraterie auf, findet also gef\u00e4lschte Apps in Drittanbieter-Stores, die Schadcode enthalten und analysiert vorhandene Vulnerabilities.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"464\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-1024x464.png\" alt=\"\" class=\"wp-image-31560\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-1024x464.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-300x136.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-768x348.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-1536x695.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard-1320x598.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Dashboard.png 1827w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Das ZeroFox-Dashboard &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die ZeroFox-Dark-Web-Monitoring-Funktion findet Daten, die bereits gestohlen wurden und zum Verkauf stehen. Dazu geh\u00f6ren E-Mail-Adressen, Passw\u00f6rter, vertrauliche Dokumente und Quellcode. Eine Besonderheit des ZeroFox-Angebots ist, dass das Unternehmen \u00fcber im Dark Web gut vernetzte Mitarbeiter verf\u00fcgt, die dazu in der Lage sind, sich in einschl\u00e4gige Foren einladen zu lassen und aktiv die Unterhaltungen von Hackergruppen zu beobachten. Auf diese Art und Weise finden sie heraus, ob eine Branche oder eine Firma gerade als m\u00f6gliches Ziel f\u00fcr Angriffe diskutiert werden. Au\u00dferdem erhalten sie so auch Zugriff auf Daten, die nicht \u00f6ffentlich zur Verf\u00fcgung stehen. Bei diesen Mitarbeitern handelt es sich im Wesentlichen um ehemalige Angeh\u00f6rige des US-Milit\u00e4rs, der CIA und des FBI.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ebenfalls zum Angebot des Unternehmens geh\u00f6rt der Schutz so genannter High Value Targets, also besonders wichtiger Mitarbeiter, beispielsweise F\u00fchrungskr\u00e4fte oder Prominente wie Sport-Profis. In diesem Zusammenhang findet ZeroFox private Adressen, Telefonnummern oder Standorte dieser Personen, die ungewollt im Netz stehen und realisiert so einen gewissen Schutz vor Doxing. Zus\u00e4tzlich filtert das System direkte Bedrohungen gegen Personen auf Social-Media-Plattformen heraus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Besondere an ZeroFox ist, dass dieses Unternehmen nicht nur die potentiellen Bedrohungen und kompromittierten Daten erkennt, beziehungsweise findet, sondern auch daf\u00fcr sorgt, dass diese Informationen aus dem Netz verschwinden. Zu diesem Zweck arbeitet ZeroFox direkt mit den Sicherheitsteams von Meta, Google, LinkedIn und vergleichbaren Unternehmen zusammen und h\u00e4lt dar\u00fcber hinaus auch einen engen Kontakt zu Domain-Registraren. ZeroFox verfolgt also den Anspruch, den ganzen Prozess von der Erkennung der Bedrohungen bis zum Takedown abzubilden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Die Arbeit mit der ZeroFox-Umgebung<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bevor die ZeroFox-L\u00f6sung mit der Arbeit beginnen kann, muss sie zun\u00e4chst einmal wissen, wonach sie \u00fcberhaupt suchen soll. Deswegen m\u00fcssen die zust\u00e4ndigen Mitarbeiter zu Beginn im ZeroFox-Web-Interface einen Tenant mit den dazugeh\u00f6rigen Assets generieren. Dazu geh\u00f6ren neben grundlegenden Daten wie dem Unternehmensnamen und einer Kontaktadresse mehrere unterschiedliche Informationen: Zun\u00e4chst einmal die vorhandenen Social-Media-Konten bei Facebook (sowohl das Konto selbst als auch die Facebook-Page), LinkedIn (Konto und Organisation), Instagram (Creator und Business), X, Youtube, Bluesky, Slack, Trip Advisor, Glassdoor, Snapchat und TikTok. Es gibt zwei unterschiedliche Optionen zum Einbinden von Social Media-Konten, mit und ohne Authentifizierung. Ohne Authentifizierung beobachtet ZeroFox das Konto lediglich von au\u00dfen, genau wie ein externer Beobachter. Mit Authentifizierung kann ZeroFox das betroffene Konto unter anderem vor \u00dcbernahmeversuchen sch\u00fctzen, von Hackern durchgef\u00fchrte Posts l\u00f6schen und Phishing-Links entfernen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"465\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-1024x465.png\" alt=\"\" class=\"wp-image-31566\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-1024x465.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-300x136.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-768x349.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-1536x697.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms-1320x599.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Terms.png 1844w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Definition der Suchbegriffe &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Au\u00dferdem haben die Verantwortlichen bei der Tenant-Generation auch die Option, Bilder hochzuladen. Das k\u00f6nnen Logos, Bilder von Personen, Bilder von Kreditkarten und \u00e4hnliches sein. Da das System die Dateien anhand von Hashes erkennt, ergibt es Sinn, alle vorhandenen offiziellen Versionen der Bilder hochzuladen, auch dann, wenn sie sich optisch nicht unterscheiden, beispielswese wegen einer geringf\u00fcgig unterschiedlichen Aufl\u00f6sung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Von besonderer Bedeutung sind die \u201eMatch Terms\u201c, da das System im Betrieb nach dem Vorkommen dieser Begriffe sucht. \u201eNames and Aliases\u201c umfasst alle Unternehmensbezeichnungen in allen m\u00f6glichen Schreibweisen, wie etwa \u201eBank\u201c, \u201eBank Group\u201c, \u201eGlobal Bank\u201c oder auch \u201eFinanzinstitut\u201a Bank\u201c. Hier m\u00fcssen die zust\u00e4ndigen Mitarbeiter genau kl\u00e4ren, wonach gesucht werden soll.&nbsp; Wenn es sich um Personen handelt, m\u00fcssen auch die unterschiedlichen Schreibweisen des Namens im Netz Ber\u00fccksichtigung finden: \u201eMonika Musterfrau\u201c, \u201eMonikaMusterfrau\u201c, \u201eMonika.Musterfrau\u201c, \u201eMonika-Musterfrau\u201c, \u201eMonika_Musterfrau\u201c, \u201eMusterfrau, Monika\u201c und so weiter.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"480\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-1024x480.png\" alt=\"\" class=\"wp-image-31561\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-1024x480.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-300x141.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-768x360.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-1536x721.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec-1320x619.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Exec.png 1835w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Definition eines VIP-Kontos &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Die Definition eines VIP-Kontos<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die \u201eProfile Terms\u201c kommen bei Konten zum Einsatz, die zuvor mit den Eintr\u00e4gen in \u201eNames and Aliases\u201c gefunden wurden. Verf\u00fcgen solche Konten \u00fcber Biografien und Profildetails, so werden diese mit den hier aufgef\u00fchrten Begriffen durchsucht. Das k\u00f6nnen beispielsweise Niederlassungen oder auch die Sektoren sein, in denen das jeweilige Unternehmen t\u00e4tig ist. Die \u201eCombined Terms\u201c bieten im Gegensatz dazu eine \u201eund\u201c-Verkn\u00fcpfung bei der Suche an. Auf diese Weise grenzen die zust\u00e4ndigen Mitarbeiter allgemeine Begriffe ein und verwenden zum Beispiel statt \u201eApple\u201c \u201eApple + Quellcode\u201c, um Treffer auszuschlie\u00dfen, die sich nur mit Obst befassen und keinen Bezug zu Quellcode haben. Die \u201eIndependent Terms\u201c arbeiten als \u201eoder\u201c-Logik, es ruft also jeder gefundene Begriff einen Alarm hervor. Das bringt Vorteile, wenn es um Benutzernamen, Telefonnummern, Hashtags und Keywords geht, die einen Asset leicht identifizieren k\u00f6nnen. Hier muss man allerdings darauf achten, sehr spezifisch zu bleiben, um zu viele Meldungen zu vermeiden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die \u201eExclusion Terms\u201c schlie\u00dfen einen Begriff schlie\u00dflich von der Suche aus. Alle Suchbegriffe sind nicht case-sensitive und werden im Unicode-Format verarbeitet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unter \u201eAdvanced Settings\u201c lassen sich zudem Google-Suchen einbinden. Ein Term wie \u201eintext:\u2018adidas\u2018 + apk\u201c w\u00fcrde beispielsweise App-Eintr\u00e4ge einer adidas-app finden. Bei diesen l\u00e4sst sich dann \u2013 etwa \u00fcber Unterschiede in der Dateigr\u00f6\u00dfe \u2013 feststellen, ob es sich um Piraterie-Apps handelt. Eine Reverse Image Search, die bestimmte Bilder im Internet finden kann, schlie\u00dft den Leistungsumfang der Profildefinition ab. Letztere l\u00e4sst sich beispielsweise nutzen, um den Mi\u00dfbrauch von Logos aufzudecken. Steht auf einer Webseite \u201esposored by\u201c, gefolgt von einem Coca-Cola-Logo, so w\u00fcrde bei eine reinen Textsuche nicht auffallen, dass der Inhaber dieser Webseite, der in Wirklichkeit nichts mit Coca-Cola zu tun hat, versucht, sich \u00fcber Fehlinformationen ein besseres Image oder h\u00f6here Glaubw\u00fcrdigkeit zu verschaffen. Die Reverse-Image-Suche deckt solche F\u00e4lle durch das Auffinden des Logos im falschen Kontext auf.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>ZeroFox im laufenden Betrieb<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sobald das Profil erstellt wurde, kann es daran gehen, die darin definierte Umgebung zu \u00fcberwachen. Einen allgemeinen \u00dcberblick hierzu liefert der Reiter \u201eDashboard\u201c. Hier zeigt das System die eskalierten Alarmmeldungen an, die dabei zugrundeliegende Triage f\u00fchrt ZeroFox durch. Alle Alarme in der Liste lassen sich anklicken, daraufhin pr\u00e4sentiert das System eine Seite mit weiteren Informationen. Diese enth\u00e4lt Details zum Vorgang und den betroffenen Komponenten sowie Empfehlungen zur Probleml\u00f6sung. An gleicher Stelle k\u00f6nnen die Verantwortlichen auch eine weitergehende Untersuchung in Auftrag geben, die dann von Mitarbeitern von ZeroFox durchgef\u00fchrt wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Reiter \u201eAssets\u201c erm\u00f6glicht es im Gegensatz dazu, einzelne Assets wie Mitarbeiter, Dom\u00e4nen, Orte, Produkte, Hostnamen und so weiter, anzulegen. Auch hier erfolgt die Definition in den meisten F\u00e4llen wieder mit Bildern, Suchbegriffen und Social-Media-Konten, bei bestimmten Komponenten \u2013 wie etwa Hosts \u2013 k\u00f6nnen das aber auch andere Informationen, wie etwa IP-Adressen, sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Die Dom\u00e4nenkonfiguration<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum \u00dcberwachen von Dom\u00e4nen reicht es, die jeweilige Top Level Domain anzugeben. Alle Subdomains werden dann automatisch in die \u00dcberwachung eingebunden. Regex wird bei der Domaindefinition unterst\u00fctzt, ein Tool namens \u201eEstimate Matches\u201c zeigt im Betrieb, wie viele Suchanfragen voraussichtlich aus der aktuell vorliegenden Regex-Abfrage erzeugt w\u00fcrden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Abgesehen davon besteht die M\u00f6glichkeit, Domain-Substrings und Favicons anzugeben, in letzterem Fall w\u00fcrde das System darauf hinweisen, wenn ein in die Suche integriertes Favicon auf einer fremden Seite zum Einsatz kommen w\u00fcrde. Ebenfalls interessant: die \u201eWeb Beacons\u201c. Diese stellen einen auf der Webseite des Kunden eingebundenen Pixel dar, der einen Hartbeat an die ZeroFox-Server in der AWS-Cloud \u00fcbertr\u00e4gt. Clont jemand die Webseite, so erscheint der Hartbeat ein zweites Mal und es wird sofort klar, dass die Seite kopiert wurde. Wird das Beacon gel\u00f6scht, gibt das System zudem eine entsprechende Meldung aus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was die bereits erw\u00e4hnte Dark-Web-Suche angeht, so untersucht ZeroFox etwa 500 unterschiedliche Marktpl\u00e4tze und mehrere tausend Quellen. Der letzte Bereich der Dom\u00e4nenkonfiguration nennt sich \u201eData Sources\u201c, hier lassen sich alle an die jeweilige Dom\u00e4ne angeschlossenen Quellen anzeigen und ein- beziehungsweise ausschalten. Soll das System alle Quellen anzeigen, die es kennt, so finden sich diese unter Settings \/ Data Connectors und k\u00f6nnen hier ebenfalls aktiviert und deaktiviert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Attack Surfaces<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unter \u201eAttack Surfaces\u201d findet sich eine \u00dcbersicht \u00fcber die aktuellen Angriffsfl\u00e4chen auf die aus dem Internet erreichbaren Assets einer Organisation. Sie enth\u00e4lt Informationen wie \u201eHostname\u201c, \u201eIP-Adresse\u201c, \u201eRoot Domains\u201c, \u201eCertificates\u201c, \u201eServices\u201c und \u201eVulnerabilities\u201c. Letztere werden mit Hilfe von unterschiedlichen Scores bewertet (CISA KEV und EPSS). Klickt ein Benutzer auf einen Eintrag in der Liste, er erh\u00e4lt er Detailinformationen zum Vorgang und Empfehlungen zum L\u00f6sen des Problems.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"472\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-1024x472.png\" alt=\"\" class=\"wp-image-31559\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-1024x472.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-300x138.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-768x354.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-1536x707.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface-1320x608.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Attack_Surface.png 1839w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die \u00dcbersicht \u00fcber die Attack Surfaces &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Die Policies<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Bearbeiten der Findings liefert ZeroFox eine gro\u00dfe Zahl an Policies mit, es besteht aber auch die Option, eigene Policies zu definieren. Die genannten Regeln befassen sich damit, wie das System vorgehen soll, wenn in Bereichen wie \u201eExecutive\/VIP\u201c, \u201eLocation\u201c, \u201eMobile App\u201c, \u201eBrand\u201c oder \u201eE-Mail\u201c Unregelm\u00e4\u00dfigkeiten auftauchen. Die Policies selbst bestehen aus Regelgruppen, die unterschiedliche Regeln enthalten. Bei letzteren handelt es sich um Aktionen, die die Benutzer entweder manuell oder automatisch ausf\u00fchren k\u00f6nnen und die beispielsweise besagen, was passiert, wenn der Zugriff zu einer Facebook-Page verloren geht, oder wenn Nachrichten in einem Konto auftauchen, die vermuten lassen, dass dieses Konto gehackt wurde. Automatische Aktionen sind in diesem Zusammenhang \u201eLock Account\u201c, \u201eHide Content\u201c, \u201eDelete Content\u201c, Request Takedown\u201c, \u201eBlock Content\u201c, \u201eE-Mail Alert\u201c, \u201ePush Notifications\u201c oder \u201eAlert Assinee\u201c, also das Zuweisen des Alarms zu einem bestimmten ZeroFox-User.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"478\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-1024x478.png\" alt=\"\" class=\"wp-image-31563\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-1024x478.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-300x140.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-768x359.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-1536x717.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy-1320x616.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Policy.png 1823w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die \u201eCompromised Credentials\u201c-Policy &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Regeldefinition l\u00e4uft immer im Kontext des jeweiligen Anwendungsbereichs ab, bei \u201eCompromised Credentials\u201c sind die Anwender zum Beispiel dazu in der Lage, anzugeben, ab welcher Passwortl\u00e4nge und ab welcher Passwort-Komplexit\u00e4t das System Alarme generiert. Die entsprechenden Angaben lassen sich dabei im Web-Interface vornehmen. Sollen individuelle Erkennungslogiken oder automatisierte Reaktionen abgebildet werden, die das Web-Interface nicht darstellen kann, so kommt eine Skriptsprache namens \u201eFoxScript\u201c zum Einsatz, die an JavaScript angelehnt wurde. Diese l\u00e4sst sich auch zur Datenanreicherung und -filterung verwenden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Der Umgang mit Alerts<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Alerts werden im System in Listenform angezeigt. Die Liste umfasst jeweils eine Beschreibung, den Zeitpunkt des Alarms, die Risikoeinstufung, die Asset Group, in der der Alarm ausgel\u00f6st wurde, die Account Source, die betroffene Regel, den Status (Open, Escalated, etc.), die Datenquelle (Facebook, Pastebin, Apple App Store und so weiter), die Content-URL, den Alarmtyp (Impersonating Account, Location, Self Post oder \u00e4hnliches) und die Alert ID. Die Eintr\u00e4ge lassen sich nach Spalten filtern und die Benutzer k\u00f6nnen ihnen bei Bedarf Tags hinzuf\u00fcgen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"468\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-1024x468.png\" alt=\"\" class=\"wp-image-31558\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-1024x468.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-300x137.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-768x351.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-1536x702.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts-1320x603.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Alerts.png 1845w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Alert-Liste &#8211; Screenshot: Dr. G\u00f6tz G\u00fctticzh<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Klickt ein User auf einen Alert, so erh\u00e4lt er Detailinformationen dazu, warum dieser generiert wurde und kann ihm Dateien und Notizen hinzuf\u00fcgen. Au\u00dferdem l\u00e4sst sich das Alert-Log einsehen, das Aufschluss dar\u00fcber gibt, wann der Alert auftrat, wann Tags angepasst wurden, wann der Alarm analysiert, eskaliert und an einen Mitarbeiter gemailt wurde und so weiter. Es existiert also ein umfassender Audit-Trail. Tipps zum Beheben des zugrundeliegenden Problems geh\u00f6ren ebenfalls zum Leistungsumfang des Eintrags.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Das Reporting<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ZeroFox stellt \u00fcber das Web-Interface eine gro\u00dfe Zahl vordefinierter Reports bereit. Diese Berichte liefern Details zu Alarmen, eine \u00dcbersicht \u00fcber die Asset-Konfiguration, eine Liste kompromittierter Zugriffsdaten, eine \u00dcbersicht \u00fcber die wichtigsten Ereignisse, einen Report zu den gesch\u00fctzten Marken und \u00e4hnliches. Es besteht auch die M\u00f6glichkeit, eigene Reports zu erstellen. Die Reports decken frei definierbare Zeitr\u00e4ume ab und liefern bei Bedarf Details zu \u201eAsset Type\u201c, \u201eStatus\u201c und vergleichbaren Informationen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-1024x450.png\" alt=\"\" class=\"wp-image-31564\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-1024x450.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-300x132.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-768x338.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-1536x675.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports-1320x580.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Reports.png 1842w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Report-Sektion &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Die Suchfunktion<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Bereich \u201eIntelligence\u201c dient zu Durchf\u00fchren umfangreicher Suchen. Eine Suche wie \u201eis:data_breach_credentials and email_domain:twinsoft.de and password:*\u201d zeigt beispielsweise unter anderem E-Mail-Adressen bei Twinsoft, bei denen das Passwortfeld nicht leer ist und den dazugeh\u00f6rigen Breach. Da es sich um eine sehr m\u00e4chtige Suchsyntax handelt, besteht auch die M\u00f6glichkeit, die Anfragen direkt von ZeroFox erstellen zu lassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Abgesehen davon lassen sich im Intelligence-Bereich auch Informationen zu den aktuell wichtigsten Ereignissen und zu im Dark Web angebotenen Exploits abrufen. Bei Bedarf besteht auch die M\u00f6glichkeit, Suchen zu speichern und sp\u00e4ter wiederzuverwenden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"410\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-1024x410.png\" alt=\"\" class=\"wp-image-31562\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-1024x410.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-300x120.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-768x308.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-1536x615.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence-1320x529.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Intelligence.png 1838w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Suche kommt mit einer einleitenden Erkl\u00e4rung zur Syntax &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Das Melden von Vorf\u00e4llen<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">M\u00f6chten die Anwender Inhalte oder Bedrohungen an ZeroFox melden, damit sich das Unternehmen darum k\u00fcmmert, dass diese aus dem Netz genommen werden (falls dies nicht automatisch \u00fcber eine Regel geschieht), so ist das im Web-Interface an verschiedenen Stellen m\u00f6glich, beispielsweise \u00fcber das Dashboard, \u00fcber das \u201eDisruption\u201c-Men\u00fc, \u00fcber \u201eAlerts \/ Submit Takedown\u201c oder \u00fcber \u201eAlerts \/ Submit Threat\u201c. Wie schnell die gemeldeten Inhalte dann wirklich verschwinden, h\u00e4ngt vom jeweiligen Content-Provider ab. Manchmal passiert das in 15 Minuten, manchmal dauert es mehrere Tage.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Oft kann es sein, dass mehrere Antr\u00e4ge gestellt werden m\u00fcssen, damit ein Takedown funktioniert. ZeroFox z\u00e4hlt aber immer nur erfolgreiche Takedowns, sind also acht Antr\u00e4ge n\u00f6tig und erst der achte f\u00fchrt zum Erfolg, so z\u00e4hlt das als ein Takedown, nicht als acht. Es gibt laut ZeroFox derzeit \u00fcber 100.000 erfolgreiche Takedowns im Monat.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"506\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-1024x506.png\" alt=\"\" class=\"wp-image-31565\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-1024x506.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-300x148.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-768x379.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-1536x758.png 1536w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources-1320x652.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2026\/07\/Sources.png 1839w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Die Quellen, mit denen ZeroFox zusammenarbeitet &#8211; Screenshot: Dr. G\u00f6tz G\u00fcttich<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Das \u201eGlobal Disruption Network\u201c (GDN) kommt zudem zum Einsatz um Dom\u00e4nen mit Partnern wie Google, Microsoft und diversen IPS zu teilen. Diese unterbinden dann den Zugriff auf gef\u00e4lschte Websites, was es sehr schnell erm\u00f6glicht, die betroffenen Dom\u00e4nen unerreichbar zu machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>On-Demand-Intelligence<\/strong><\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcbernimmt das ZeroFox-Team \u2013 beispielsweise nachdem Melden eines Vorfalls im Dark Web \u2013 die Untersuchung, so fallen daf\u00fcr so genannte ODI-Credits (On-Demand-Intelligence) an. Sie finden unter anderem Verwendung, um die genannten Dark-Web-Untersuchungen durchzuf\u00fchren, Bedrohungen f\u00fcr F\u00fchrungskr\u00e4fte zu analysieren, geopolitische Analysen zu realisieren und komplexe Takedowns durchzuf\u00fchren. All diese Vorg\u00e4nge laufen manuell ab, deswegen entstehen daf\u00fcr zus\u00e4tzliche Kosten. Derzeit kostet ein ODI-Credit etwa 1200 Euro. Das Erstellen der Reports dauert \u00fcblicherweise zehn bis 14 Tage und die Analysen k\u00f6nnen auch von Auftraggebern initiiert werden, die keine Kunden des \u201enormalen\u201c ZeroFox-Systems sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a><strong>Fazit<\/strong><\/a> <br>Die L\u00f6sung von ZeroFox macht einen sehr ausgereiften Eindruck und verf\u00fcgt \u00fcber einen beeindruckenden Funktionsumfang. Die M\u00f6glichkeit, bei Bedarf Recherchen hinzuzubuchen, die von echten Analysten mit Erfahrung und nicht von automatischen Algorhythmen durchgef\u00fchrt werden, d\u00fcrfte in Krisensitationen und in Umgebungen mit besonders hohen Sicherheitsanforderungen sehr interessant sein, da hier relativ schnell hochqualitative Ergebnisse zustande kommen k\u00f6nnen. Das Tool ist also rundum empfehlenswert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Direkter Link zu ZeroFox: <a href=\"https:\/\/www.zerofox.com\/platform\/\">External Cybersecurity Platform | ZeroFox<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ZeroFox bietet seit inzwischen 14 Jahren eine L\u00f6sung an, die Soziale Medien, das Dark Web und vergleichbare Quellen nach kompromittierten Daten und Betrugsversuchen durchsucht. Mit ihrer Hilfe sind Unternehmen dazu in der Lage, ihre Marken und Mitarbeiter zu sch\u00fctzen. Dazu macht\u00a0 das System Betr\u00fcger ausfindig, die den Namen, Bilder oder das Logo der betroffenen Organisationen missbrauchen. So erkennt es beispielsweise Phishing-Seiten, die die Login-Seite einer Organisation kopieren, um Kundenpassw\u00f6rter zu stehlen und findet Fake-Profile auf LinkedIn, X, Instagram und vergleichbaren Medien, die sich als Profile des CEOs oder des Kundensupports des angegriffenen Unternehmens ausgeben. Dar\u00fcber hinaus deckt ist die L\u00f6sung auch App-Store-Piraterie auf, findet also gef\u00e4lschte Apps in Drittanbieter-Stores, die Schadcode enthalten und analysiert vorhandene Vulnerabilities.<\/p>\n","protected":false},"author":1,"featured_media":31560,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[26186,26187,26185,26184],"class_list":["post-31530","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-darkwebmonitoring","tag-matchterms","tag-vulerabilities","tag-zerofox"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=31530"}],"version-history":[{"count":3,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31530\/revisions"}],"predecessor-version":[{"id":31579,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31530\/revisions\/31579"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/31560"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=31530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=31530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=31530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}