HackerangriffeSchwachstellen

Living off the Land: Warum Angreifer Ihre eigenen Tools gegen Sie einsetzen

Living off the Land: Warum Angreifer Ihre eigenen Tools gegen Sie einsetzen
Zusammenfassung

Cybersicherheit befindet sich an einem kritischen Wendepunkt: Angreifer setzen zunehmend nicht auf neue Malware, sondern auf legitime Tools, die bereits in den IT-Umgebungen von Unternehmen und Behörden vorhanden sind. Diese sogenannten „Living off the Land"-Attacken (LOTL) nutzen vertraute Systemtools wie PowerShell, WMIC oder Certutil, um unbemerkt in Netzwerke einzudringen, Privilegien zu eskalieren und sich festzusetzen. Aktuelle Analysen zeigen, dass 84 Prozent der hochgradig kritischen Angriffe mittlerweile solche legitimen Werkzeuge missbrauchen – mit verheerenden Folgen für die Erkennung durch Sicherheitsteams. Der Grund ist simpel: Diese Aktivitäten sehen aus wie normale IT-Operationen und lösen keine Alarme aus. Besonders problematisch ist, dass moderne Betriebssysteme wie Windows 11 standardmäßig Hunderte von nativen Binaries enthalten, die für solche Angriffe missbraucht werden können. Für deutsche Unternehmen und Behörden bedeutet dies eine erhebliche Gefahr, da herkömmliche Sicherheitslösungen dieser neuen Bedrohungsweise oft nicht gewachsen sind. Die traditionelle Abwehrstrategie – Malware blockieren, Attacke stoppen – funktioniert nicht mehr, wenn der Feind die eigenen Waffen gegen Sie einsetzt.

Unsichtbare Bedrohungen im eigenen System

Die klassische Sicherheitsstrategie funktioniert nicht mehr. Jahrelang lag der Fokus auf dem Blockieren von Malware und dem Stoppen von Angriffen in frühen Phasen. Doch diese Zeiten sind vorbei. Moderne Cyberkriminelle haben eine effektivere Methode gefunden: Sie nutzen die Werkzeuge, die bereits vertraut sind und täglich von IT-Teams verwendet werden.

Diese Verschiebung ist dramatisch. Die Analyse von Hunderttausenden von Vorfällen zeigt, dass Angreifer gezielt jene Instrumente einsetzen, die Sicherheitssysteme normalerweise durchlassen würden. PowerShell-Befehle, Windows Management Instrumentation (WMIC) und Certutil sind legitimale administrative Tools – doch in den Händen von Cyberkriminellen werden sie zu gefährlichen Waffen für Lateral Movement, Privilege Escalation und Persistierung. Das Tückische: Diese Aktivitäten unterscheiden sich optisch nicht von normalen Betriebsabläufen.

Das grundlegende Dilemma der Sicherheitsteams

Während Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) Systeme weiterhin wichtige Werkzeuge bleiben, stoßen sie bei LOTL-Angriffen an ihre Grenzen. Die Kernfrage, die Sicherheitsteams täglich stellen müssen, lautet: Ist dieser PowerShell-Befehl legitim oder Teil eines Angriffs? Ist diese Prozessausführung erwartet oder bösartig?

Hinzu kommt ein zeitlicher Druck. Moderne Angriffe, teilweise bereits mit künstlicher Intelligenz optimiert, entwickeln sich schneller als Sicherheitsteams sie analysieren können. Bis eine verdächtige Aktivität bestätigt ist, haben Angreifer häufig bereits ihre Persistierung etabliert und sich lateral durch das Netzwerk bewegt.

Eine unbequeme Realität: Unnötige Berechtigungen

Eine weitere kritische Erkenntnis betrifft die Zugriffskontrolle: Daten zeigen, dass bis zu 95 Prozent der Zugriffe auf riskante Tools völlig unnötig sind. Ein Windows 11-System enthält hunderte von nativen Binärdateien – viele davon können für LOTL-Angriffe missbraucht werden. Das Problem ist nicht, dass diese Tools böse sind, sondern dass sie standardmäßig alle ihre Funktionen bereitstellen, einschließlich solcher, die von IT-Teams selten genutzt, von Angreifern aber häufig missbraucht werden.

Jede überflüssige Berechtigung wird zu einem potentiellen Angriffsvektor. Wenn Angreifer keine neuen Tools einführen müssen, ist die Verteidigung bereits im Nachteil.

Was deutsche Unternehmen tun sollten

Die Lösung liegt nicht darin, weitere Sicherheitstools zu installieren. Stattdessen müssen Organisationen zunächst ihre interne Angriffsfläche verstehen und systematisch abbilden. Dazu gehört die Identifikation unnötiger Zugriffe auf kritische Tools und die Implementierung von Least Privilege-Prinzipien. LOTL-Angriffe werden zur neuen Normalität – das größte Risiko liegt nicht außerhalb, sondern bereits im Inneren Ihrer Systeme.

Ähnliche Artikel