In den vergangenen 10 Jahren lässt sich eine Zunahme an Cyberattacken und deren Professionalisierung sowohl von organisierter Kriminalität als auch von mutmaßlichen Staatsakteuren, sogenannten Advanced-Persistent-Thread-Gruppen (APT-Gruppen) beobachten. Einen besonderen Anstieg konnte hierzu im Zusammenhang mit dem aktiven Krieg in der Ukraine beobachtet werden [5,6], genauso wie auch schon im Vorfeld des Krieges mit Industroyer und BlackEnergy das ukrainische Stromnetz mehrfach Opfer von anspruchsvollen Angriffen wurde [7, 8]. Eine übliche Verteidigung im Allgemeinen gegen Angriffe ist der Einsatz von Intrusion Detection Systemen (IDS) und/oder Security Incident and Event Monitoring (SIEM) Systemen. Diese Systeme haben allerdings die Nachteile, dass für deren effektiven Einsatz ein Team an Security Analysten benötigt wird, die zahlreichen Alarme sichten und entscheiden, ob es sich dabei um einen relevanten oder echten Alarm handelt. Dies kann zu dem Effekt bekannt als alert fatique führen. Zudem basieren diese Systeme oft auf Signaturdatenbanken und fest definierten Regeln, um Anomalien zu erkennen. Das führt dazu, dass durch ein Wettrüsten zwischen Angreifenden und Verteidigenden diese Systeme einen hohen Wartungsaufwand erfordern, da Malware zunächst entdeckt und zu der Datenbank hinzugefügt, sowie unerkannte Incidents gefunden, mit Regelnvorschriften abgedeckt und die Regeln ausgerollt werden müssen. Zudem basieren viele Systeme darauf, dass zum Einrichtungszeitpunkt das eigene Netzwerk noch nicht kompromittiert wurde, um ein Normalverhaltenbasierend auf der Beobachtung des Systems über beispielsweise 1-2 Wochen hinweg zu lernen. Zudem können oft in Zusammenhang stehende Alarme nicht direkt verknüpft werden, was die Detektion von sogenannten \emph{low and slow} Angriffen, wie sie für APT-Gruppen typisch sind, sehr schwierig macht. Für das Problem der Detektion von APT-Angriffen existieren in der wissenschaftlichen Literatur Ansätze. Allerdings besteht ein signifikanter Aufwand, diese Ansätze unabhängig auf ihre Wirksamkeit und Funktionsfähigkeit zu evaluieren. Forschungsteams stehen zudem vor der Aufgabe, zuvor eine Infrastruktur für die Ausführung und Evaluation von Detektionsprogrammen aufzubauen und zudem die zu evaluierenden Programme auf dieser spezifischen Infrastruktur zur Ausführung zu bringen. Diese Thesis hat zum Ziel, zunächst vorhandene Ansätze zur Erkennung von Angriffen von APT-Gruppen zu reproduzieren. Parallel dazu werden vorhandene Datensätze, in denen solche Angriffe aufgezeichnet worden sind, untersuchen. Eine Einordnung der Datensätze hinsichtlich der darin enthaltenen Angriffsschritte sowie Aufzeichnungsverfahren wird erstellt. Es soll auch evaluiert werden, wie unterschiedliche Ansätze auf diesen Datensätzen angewandt werden kann. [5] https://services.google.com/fh/files/blogs/google_fog_of_war_research_report.pdf, Whitepaper, (Abgerufen 2024-07-12) [6] https://www.blackhat.com/us-22/briefings/schedule/#real-cyber-war-espionage-ddos-leaks-and-wipers-in-the-russian-invasion-of-ukraine-27206, (Abgerufen 2024-07-12) [7] https://www.blackhat.com/us-17/briefings.html#industroyer-crashoverride-zero-things-cool-about-a-threat-group-targeting-the-power-grid, (Abgerufen 2024-07-12) [8] https://www.blackhat.com/us-22/briefings/schedule/#industroyer-sandworms-cyberwarfare-targets-ukraines-power-grid-again-27832, (Abgerufen 2024-07-12)