Angreifer bevorzugen Attacken, die nicht wie Attacken aussehen. Statt Schadcode abzulegen, der Warnmeldungen auslöst, greifen sie auf eingebaute Werkzeuge wie PowerShell, WMIC und Certutil zurück, also genau auf jene Programme, auf die sich auch die IT-Abteilung tagtäglich verlässt. Solche Aktionen fügen sich nahtlos in den normalen Betrieb ein und lassen sich kaum von legitimer Nutzung unterscheiden.

Daraus entsteht ein gefährlicher blinder Fleck. Sicherheitsteams suchen nicht mehr nur nach “schädlichen Dateien”, sondern müssen Verhalten interpretieren, oft in Echtzeit, unter Druck und ohne vollständigen Kontext. Wenn etwas eindeutig falsch aussieht, befindet sich der Angreifer in der Regel bereits tief im System.

Der zweite Grund liegt in der schieren Menge bereits vorhandener Werkzeuge. Ein frisch installiertes Windows-11-System bringt von Haus aus Hunderte nativer Binärdateien mit, von denen viele für LOTL-Angriffe missbraucht werden können. Diese Werkzeuge gelten standardmäßig als vertrauenswürdig, sind fest im Betriebssystem verankert und werden häufig für legitime Aufgaben benötigt.

Laut Bitdefender ist bis zu 95 Prozent des Zugriffs auf riskante Werkzeuge unnötig. Ein Faktor ist der unkontrollierte Zugang zu diesen Programmen, ein weiterer, dass man ihnen sämtliche Funktionen erlaubt, zu denen sie fähig sind, darunter auch Funktionen, die von der IT selten, von Angreifern aber häufig genutzt werden. Jede überflüssige Berechtigung wird so zu einem möglichen Angriffspfad. Wenn Angreifer nichts Neues einschleusen müssen, sind die Verteidiger von vornherein im Nachteil.

Der dritte Grund: Die Erkennung ist inzwischen so stark, dass Angreifer nach Alternativen suchen. EDR- und XDR-Lösungen sind hochwirksam, wenn es darum geht, Malware und Bedrohungen aufzuspüren, die sich vom normalen Geschehen abheben. Doch je mehr legitime Werkzeuge missbraucht werden, desto stärker wird Erkennung zur Auslegungssache: Ist dieser PowerShell-Befehl legitim? Ist diese Prozessausführung zu erwarten?

Hinzu kommt das Tempo. Moderne, zunehmend KI-gestützte Angriffe bewegen sich schneller, als Teams ermitteln können. Bis verdächtiges Verhalten bestätigt ist, können laterale Bewegung und Persistenz bereits etabliert sein. Sich allein auf Erkennung zu verlassen, reicht laut Bitdefender deshalb nicht mehr aus.

Selbst wenn das Risiko grundsätzlich verstanden wird, ist es schwierig, es zu belegen und zu priorisieren, weshalb das Problem fortbesteht. Das kostenlose Internal Attack Surface Assessment von Bitdefender soll einen datenbasierten Überblick darüber liefern, wie stark eine Organisation durch ihre vertrauenswürdigen Werkzeuge exponiert ist. Die geführte Bewertung konzentriert sich darauf, unnötige Zugriffe zu identifizieren, reale Risiken sichtbar zu machen und priorisierte Empfehlungen zu geben, ohne den Betrieb zu stören.