HackerangriffeSchwachstellenDatenschutz

Legitime Zugänge als Einfallstor: Wie Angreifer alltägliche IT-Tools missbrauchen

Legitime Zugänge als Einfallstor: Wie Angreifer alltägliche IT-Tools missbrauchen
Zusammenfassung

Die Cybersicherheitslandschaft verschiebt sich in beunruhigender Weise: Laut dem neuen Threat Report von Blackpoint Cyber nutzen Angreifer zunehmend nicht mehr primär Sicherheitslücken, sondern legitime Zugänge und vertraute Administrationstools, um in Unternehmenssysteme einzudringen. Die Analyse tausender Sicherheitsvorfälle aus dem Jahr 2025 zeigt ein klares Muster: SSL-VPN-Missbrauch war in etwa einem Drittel aller Fälle der Einstiegspunkt, während illegale Remote-Monitoring-Tools in weiteren 30 Prozent der Vorfälle verwendet wurden. Besonders besorgniserregend sind Social-Engineering-Kampagnen wie gefälschte CAPTCHAs und ClickFix-Angriffe, die in über der Hälfte aller dokumentierten Fälle zum Erfolg führten. Für deutsche Unternehmen und Behörden bedeutet dies eine fundamentale Herausforderung: Traditionelle Sicherheitsvorkehrungen wie Firewalls und Malware-Filter bieten gegen diese Angriffsmethoden oft unzureichenden Schutz. Da Angreifer normale Geschäftsabläufe missbrauchen, bleiben ihre Aktivitäten häufig unentdeckt. Der Report unterstreicht, dass sowohl kleinere Betriebe als auch große Organisationen in Sektoren wie Fertigung, Gesundheitswesen und Finanzdienstleistungen gefährdet sind.

Die Cyberbedrohungslandschaft verändert sich. Nicht durch spektakuläre Zero-Day-Exploits oder hochentwickelte Malware, sondern durch die stillen, alltäglichen Werkzeuge, die in jedem Unternehmen vorhanden sind. Blackpoint Cyber hat in seinem aktuellen Threat Report dokumentiert, wie Angreifer diese Transformation nutzen — mit beachtlichem Erfolg.

VPN-Missbrauch führt die Angriffsvektoren an: In 32,8 Prozent aller untersuchten Incidents war SSL-VPN-Missbrauch der Einstiegspunkt. Angreifer verwendeten dabei echte, aber kompromittierte Anmeldedaten. Für Sicherheitssysteme sehen diese VPN-Sessions völlig normal aus — während Kriminelle bereits Zugang zu sensiblen Unternehmensbereichen haben.

Aber SSL-VPN ist nicht die einzige Gefahr. Remote Monitoring and Management Tools (RMM) erscheinen in 30,3 Prozent der analysierten Fälle. ScreenConnect wird in über 70 Prozent dieser RMM-Missbrauchsfälle verwendet. Das Tückische: Diese Tools sind für legitime IT-Administration gedacht. Wenn Angreifer eine rogue Installation durchführen, verschmilzt sie mit der normalen IT-Landschaft — schwer zu erkennen ohne umfassende Netzwerk-Transparenz.

Doch der größte Anteil an Angriffsvolumen entsteht durch benutzergetriebene Aktionen. Fake-CAPTCHA- und ClickFix-Kampagnen machen 57,5 Prozent aller dokumentierten Incidents aus. Das Muster ist simpel, aber effektiv: Benutzer erhalten Aufforderungen, Befehle in das Windows-Run-Dialogfeld zu kopieren — angeblich für eine Verifizierung. Kein Download von Malware, keine Exploit-Aktivität. Nur PowerShell oder cmd.exe, die bereits auf jedem Windows-System vorhanden sind.

Ein weiteres Problem: Selbst Umgebungen mit aktivierter Multi-Faktor-Authentifizierung sind nicht sicher. Adversary-in-the-Middle-Phishing-Attacken (ca. 16 Prozent der Cloud-Kompromittierungen) umgehen MFA nicht, sondern sammeln authentifizierte Session-Token ein. Aus Perspektive der Cloud-Plattform handelt es sich um legitime Sitzungen.

Blackpoint Cyber hat auch eine neue Implant namens Roadk1ll entdeckt, die WebSocket-basierte Kommunikation nutzt und sich in normalem Netzwerk-Traffic versteckt.

Die Gesamtstrategie ist verstörend elegant: Angreifer verlassen sich nicht auf novelleExploits, sondern auf die alltäglichsten Workflows. Die Defensive braucht daher Umdenken — nicht weniger, sondern andere Sicherheitstools und konsequentere Netzwerk-Visibilität.

Ähnliche Artikel