Destruktive Cyberangriffe folgen bekannten Mustern, und genau hier liegt die Hoffnung für Verteidiger. Sicherheitsanalysen der Handala- und Void-Manticore-Cluster zeigen: Iranische Operatoren verlassen sich weniger auf hochentwickelte Malware, sondern auf manuelle Operationen und legitime Administrations-Tools, die ohnehin in Enterprise-Umgebungen vorhanden sind.
Die typische Angriffssequenz beginnt mit kompromittierten Zugangsdaten – meist durch Phishing oder über Access-Broker erworben. Danach nutzen Angreifer Standard-Administrations-Protokolle für laterale Bewegungen. Besonders tückisch: Sie setzen Tunneling-Tools wie NetBird ein, um persistente, versteckte Verbindungen aufzubauen, die traditionelle Malware-Erkennungssysteme umgehen.
Das zentrale Erkennungszeichen dieser Kampagnen ist nicht die Raffinesse der Schadsoftware, sondern die mangelnde Netzwerk-Segmentierung. Genau hier müssen deutsche CISOs ansetzen.
Ein Fünf-Punkte-Schutzplan:
Erste Priorität: Sichere Authentifizierung mit Multi-Faktor-Authentifizierung (MFA) für kritische Zugänge, besonders VPN. Erfolgreiche VPN-Logins sollten nicht automatisch breiten Netzwerkzugriff gewähren.
Zweite Maßnahme: Netzwerk-Segmentierung. Selbst nach erfolgreicher Authentifizierung sollten Angreifer nicht unmittelbar auf Administrative-Services zugreifen. Iranische Operatoren verlassen sich darauf, dass diese Services offen für “operative Bequemlichkeit” erreichbar sind.
Drittens: Privilegierten Zugriff massiv reduzieren. Viele Umgebungen gewähren Administratoren Zugriff auf große Netzwerkteile. Wenn solche Accounts kompromittiert werden, können Angreifer das gesamte Netzwerk infiltrieren. Stattdessen sollte jeder Administrator nur die minimal erforderlichen Rechte haben.
Vierte Komponente: Interne Visibilität ausbauen. Ungewöhnliche Konnektivitätsmuster – etwa über Tunneling-Tools – müssen erkannt und zeitnah unterbunden werden, bevor destruktive Operationen beginnen.
Fünftens: Schnelle Containment-Fähigkeiten. Wenn Wiper-Malware zu laufen beginnt, zählt Geschwindigkeit. Automatisierte Isolationsmechanismen können den Schaden auf wenige Systeme begrenzen, statt die gesamte Infrastruktur zu zerstören.
Die unbequeme Wahrheit:
Angreifer benötigen nicht unbedingt fortgeschrittene Technologie, wenn Netzwerke uneingeschränkte interne Bewegungsfreiheit ermöglichen. Die wirkungsvollste Verteidigung ist daher nicht, böswillige Dateien früher zu erkennen – es ist, Angreifern die Bewegungsfähigkeit zu nehmen.
Organisationen, die destruktive Angriffe erfolgreich überstehen, teilen eine Kernkompetenz: Sie segmentieren aggressiv, limitieren Privilegien rigoros und überwachen interne Aktivitäten kontinuierlich. Im Zeitalter geopolitischer Cyberkriege könnte genau diese Fähigkeit darüber entscheiden, ob ein Unternehmen stilllegen muss – oder weitermachen kann.