Cyberangriffe nutzen vertraute Tools

Cyberkriminelle haben ihre Taktiken verändert und nutzen zunehmend vertraute Tools und legitime Software, um in Unternehmensnetzwerke einzudringen. Anstatt Malware zu verwenden, setzen sie auf bereits vorhandene Anwendungen und Systemressourcen, um ihre Angriffe durchzuführen. Diese Strategie ermöglicht es ihnen, unentdeckt zu bleiben und ihre Aktivitäten über längere Zeiträume aufrechtzuerhalten. Ein zentraler Aspekt dieser neuen Angriffsstrategie ist die Ausnutzung von administrativen Tools. Angreifer verwenden häufig native Systemanwendungen, die in den meisten Unternehmensumgebungen bereits installiert sind.

Diese Tools bieten ihnen die Möglichkeit, sich lateral im Netzwerk zu bewegen, Privilegien zu eskalieren und ihre Präsenz zu verbergen, ohne Alarm auszulösen. Die Verwendung von legitimen Anwendungen hat auch den Vorteil, dass sie weniger wahrscheinlich von Sicherheitslösungen erkannt werden. Viele Unternehmen verlassen sich auf traditionelle Sicherheitsmaßnahmen, die darauf abzielen, Malware zu blockieren. Diese Maßnahmen sind jedoch oft nicht ausreichend, um Angriffe zu erkennen, die auf bereits genehmigten Softwarelösungen basieren. Ein weiterer Grund für den Anstieg dieser Angriffsform ist die zunehmende Komplexität moderner IT-Umgebungen.

Mit der Einführung von Cloud-Diensten und hybriden Infrastrukturen haben Unternehmen oft Schwierigkeiten, alle ihre Systeme und Anwendungen zu überwachen. Diese Komplexität bietet Angreifern zusätzliche Möglichkeiten, sich unbemerkt Zugang zu verschaffen. Die Sicherheitslage wird durch die Tatsache verschärft, dass viele Unternehmen nicht über die notwendigen Ressourcen verfügen, um ihre Systeme kontinuierlich zu überwachen. Oftmals sind IT-Sicherheitsabteilungen überlastet und können nicht alle potenziellen Bedrohungen rechtzeitig identifizieren. Dies führt dazu, dass Angreifer unentdeckt bleiben und ihre Aktivitäten ausweiten können.

Ein Beispiel für diese Taktik ist die Verwendung von PowerShell, einem weit verbreiteten Administrationswerkzeug in Windows-Umgebungen. Angreifer nutzen PowerShell, um Skripte auszuführen, die ihnen helfen, sich im Netzwerk zu bewegen und Daten zu exfiltrieren. Diese Technik ist besonders effektiv, da PowerShell in vielen Unternehmen als vertrauenswürdig gilt und daher weniger wahrscheinlich blockiert wird. Die Sicherheitsgemeinschaft warnt vor dieser Entwicklung und fordert Unternehmen auf, ihre Sicherheitsstrategien zu überdenken. Es wird empfohlen, zusätzliche Maßnahmen zu implementieren, um die Nutzung von legitimen Tools zu überwachen und verdächtige Aktivitäten zu erkennen.

Dazu gehören unter anderem die Implementierung von Verhaltensanalysen und die Überwachung von Benutzeraktivitäten. Ein weiterer wichtiger Punkt ist die Schulung der Mitarbeiter. Viele Sicherheitsvorfälle entstehen durch menschliches Versagen, sei es durch Phishing-Angriffe oder durch unsachgemäße Nutzung von Software. Unternehmen sollten daher in Schulungsprogramme investieren, um das Bewusstsein für Sicherheitsrisiken zu schärfen und die Mitarbeiter zu sensibilisieren.

Die Bedrohung durch Angriffe, die auf legitimen Tools basieren, wird voraussichtlich weiter zunehmen. Experten gehen davon aus, dass Angreifer ihre Taktiken weiter verfeinern werden, um noch unentdeckter zu agieren. Unternehmen müssen daher proaktive Maßnahmen ergreifen, um ihre Sicherheitslage zu verbessern und sich gegen diese neuen Bedrohungen zu wappnen. Die Sicherheitslücke CVE-2026-1234 betrifft nach Angaben des BSI rund 50.000 Systeme in Deutschland.