Cyberangriffe ohne Hollywood-Hacking: 350 analysierte Fälle. Drei Muster.

Cyberangriffe ohne Hollywood-Hacking: 350 analysierte Fälle. Drei Muster.

By |
Warum werden Unternehmen trotz hoher Investitionen in Cybersicherheit kompromittiert? Die Analyse von rund 350 Incident-Response-Fällen aus dem vergangenen Jahr zeigt: Erfolgreiche Cyberangriffe beginnen weder mit unbekannten Zero-Days noch mit Hollywood-Hacking. Stattdessen kombinieren sie bekannte Schwachstellen, organisatorische Lücken und fehlende Transparenz. Dabei wiederholt sich das ewig gleiche Muster: Angreifer wählen den Weg des geringsten Widerstands. Drei aktuelle Angriffsszenarien aus der IR-Praxis zeigen typische Schwachstellen und wirksame Schutzmassnahmen.

Cybersicherheit scheitert selten daran, dass irgendwo ein einzelnes Tool fehlt. Weitaus häufiger liegen die Ursachen in gewachsenen Strukturen, stillen Annahmen und blinden Flecken, die über Jahre niemand mehr hinterfragt. Warum Sichtbarkeit dabei entscheidend ist, haben wir in einem weiteren Beitrag zum Thema beleuchtet. Was im Alltag als logisch, effizient oder historisch gewachsen gilt, kann im Ernstfall zum Einfallstor für Angreifer werden. Drei Szenarien zeigen, wo Unternehmen besonders häufig angreifbar bleiben – und wie sich die grössten Risiken gezielt entschärfen lassen.

Szenario 1: Ransomware über VPN-Zugang und gestohlene Zugangsdaten

Ein Mitarbeitender verwendet dieselben Zugangsdaten über Jahre hinweg sowohl privat wie auch geschäftlich. Das Passwort im Geschäft wird gemäss den internen Richtlinien zwar regelmässig geändert, aber eigentlich ist die Basis des Passworts immer gleich, nur werden die Zahlen jeweils ein wenig geändert.

Für den Mitarbeitenden ist es üblich, dass er ab und zu von seinem privaten Computer die Geschäfts-E-Mails überprüft und aus Gründen der Bequemlichkeit, wird das Passwort im Browser gespeichert, damit er es nicht jedes Mal erneut abtippen muss. Der Mitarbeitende lädt sich aus Versehen aus dem Internet einen InfoStealer herunter und installiert diesen. Der InfoStealer ist Teil einer legitimen Software, welche der Mitarbeitende für private Zwecke nutzen möchte.

Völlig unbemerkt kann dieser InfoStealer erfolgreich ausgeführt werden, wodurch sämtliche gespeicherten Passwörter an Cyberkriminelle übermittelt werden. Welche diese Zugangsdaten für ein paar wenige Dollar auf Cybercrime-Marktplätzen zum Verkauf anbieten.

Ransomware-Affiliates sind auf Unternehmenszugänge angewiesen, und greifen hierfür gerne auf Cybercrime-Marktplätze zurück, wo sie bei der Durchsicht der neuesten Stealer Logs ein lohnenswertes Ziel identifizieren, nämlich den E-Mail-Zugriff auf ein bekanntes Unternehmen, welche zuvor auf dem privaten Gerät des Mitarbeitenden entwendet wurde.

Mit wenig Aufwand identifiziert der Angreifer, den VPN-Einstiegspunkt des Unternehmens und probiert die zuvor erlangten Zugangsdaten aus: Welch ein Wunder, es wird kein zweiter Faktor bei der Authentifizierung abgefragt und der Ransomware Affiliate hat sich den Zugang zu seinem nächsten Ransomware-Opfer mit wenig Aufwand gesichert.

Nach erfolgreicher Anmeldung findet der Angreifer:

  • ein flaches Netzwerk ohne Segmentierung
  • administrative Freigaben
  • zentrale Dateiserver
  • Backup-Systeme
  • Hypervisor-Management
  • weitere privilegierte Konten

Innerhalb weniger Stunden entwickelt sich aus einem einzelnen VPN-Login ein unternehmensweiter Ransomware-Vorfall.

3 zentrale Massnahmen gegen Ransomware-Vorfälle

  1. Identitäten härten
     MFA für sämtliche Remote-Zugänge
    – Phishing-resistente MFA-Verfahren bevorzugen
    – Conditional Access und risikobasierte Anmeldungen
  2. Externe Angriffsfläche überwachen
    – Sichtbarkeit über exponierte Unternehmenseinstiege
    – Kontinuierliche Überwachung von Stealer Logs
    – Kontinuierliches Vulnerability Management
  3. Laterale Bewegung begrenzen
    – Netzwerksegmentierung
    – Trennung von Benutzer-, Server- und Managementzonen
    – Separater Zugriff auf Hypervisoren und Backups

Szenario 2: Supply-Chain-Angriff durch kompromittierte Software

Ein Administrator kümmert sich um seine Serverlandschaft und möchte sämtliche Systeme auf den neusten Stand bringen. Hierzu lädt er sich direkt die notwendigen Updates aus dem Internet herunter, installiert diese und kümmert sich um den nächsten Server.

Auf der Suche nach aktuellen Security Patches landet er auf einer über Google-Ads beworbenen Webseite eines Threat Actors. Dort werden mehrere Business-Applikationen zum Download angeboten. Tatsächlich sind sie mit einer Remote-Management-Lösung gebündelt, die nach der Installation direkten Fernzugriff auf den Server ermöglicht.

Da die Installation durch einen autorisierten Administrator erfolgt, wirken viele Sicherheitskontrollen zunächst unauffällig:

  • Die aktualisierte Software ist auf dem neusten Stand
  • Die Antivirus-Software hat die legitime Remote-Management-Lösung nicht detektiert
  • Der Proxyserver hat den Download ohne Hinweis zugelassen.

In zahlreichen aktuellen Kampagnen wurden genau solche Mechanismen genutzt:

  • kompromittierte Open-Source-Komponenten
  • kompromittierte Entwicklersoftware und Plugins
  • infizierte Softwarepakete/Betriebssystem-Images

Das Gefährliche an dieser Art der Kompromittierung ist, dass der Angreifer einen privilegierten und persistenten Zugriff ins Unternehmen erhält. Je nach kompromittiertem System kann er auch direkt auf kritische Geschäftsdaten zugreifen und diese exfiltrieren. Weitere Angriffstechniken braucht es kaum und genau deshalb bleibt der Vorfall für das Security Monitoring oft lange unauffällig. Wird die Datenexfiltration erkannt, ist es unter realistischen Bedingungen meist bereits zu spät: Kritische Informationen haben das Unternehmen dann längst verlassen.

Solche Angriffsmuster beobachten wir sowohl bei Nation-State-Akteuren wie auch bei Initial-Access-Brokern und Ransomware-Gruppierungen. Sie nutzen diese Techniken zunehmend, weil sie effizient, schwer erkennbar und sehr wirkungsvoll sind.

4 zentrale Massnahmen gegen Supply-Chain-Angriffe

  1. Privilegierte Zugriffe reduzieren
    – Least Privilege konsequent umsetzen
    – Separate Administrationskonten
    – Privileged Access Management
  2. Software-Lieferkette absichern
    – Herkunft von Software überprüfen
    – Kritische Updates vor Rollout validieren
    – Software Bill of Materials (SBOM) nutzen
  3. Verhalten statt Signaturen überwachen
    – EDR-Abdeckung auf allen kritischen Systemen
    – Monitoring von Build-Servern
    – Monitoring von Entwickler-Workstations 
    – Erkennung ungewöhnlicher Netzwerkkommunikation
  4. Kritische Systeme isolieren
    – Segmentierung von Management- und Produktionssystemen
    – Einschränkung direkter Internetzugriffe
    – Kontrollierte Software-Verteilung 

Bewerten Sie die relevanten Cyberrisiken für Ihr Unternehmen und priorisieren Sie die passenden Schutzmassnahmen. Das Whitepaper «InfoGuard Threat Intelligence Insights 2025» liefert dazu das Know-how für Ihren Realitätscheck.

Zum Whitepaper

Szenario 3: Ghost Sender – Wenn Konfigurationsfehler zum Sicherheitsrisiko werden

Beim Threat Hunting stösst das Analyseteam auf Anomalien in den E-Mail-Logs. Die Analyse zeigt mehrere ungewöhnliche E-Mail-Absenderadressen, über die Links zu unbekannten Webseiten an hochprivilegierte Konten versendet wurden.

Eine vertiefte Analyse der Logs zeigt zunächst ein irritierendes Bild: Die E-Mails scheinen aus der eigenen Organisation zu stammen. Der Verdacht einer Kompromittierung steht im Raum, entsprechend wird eine Taskforce einberufen, welche den Sachverhalt prüfen soll.

Die ersten Analysen zeigen keine Kompromittierung des on-prem Exchange Servers. Es wurden keine kompromittierten Endgeräte identifiziert und auch sonst gibt es keine verdächtigen Logins, welche den Sachverhalt erklären würden. Das Analyseteam stellt zudem fest, dass der Sachverhalt bereits seit einigen Monaten andauert. Zunächst fielen jedoch nur Testnachrichten, Fehlzustellungen und vereinzelte E-Mails auf, die nicht plausibel wirkten, aber nicht weiter untersucht wurden.

Die Taskforce bespricht die aktuellen Findings. Hinweise auf eine Kompromittierung gibt es nicht. Die E-Mail-Konfiguration wurde seit Jahren nicht verändert und scheint nicht manipuliert worden zu sein. Auch Hinweise auf die Kompromittierung eines Drittanbieters lässt sich nicht nachweisen. Dann formuliert jemand aus dem Team die Hypothese, dass das Email Security Gateway möglicherweise umgangen wurde.

Wie konnte diese E-Mail-Fehlkonfiguration entstehen?

Die Organisation betreibt eine moderne E-Mail-Sicherheitsarchitektur und hat vor Exchange Online ein etabliertes Secure E-Mail Gateway vorgeschaltet. Die Annahme des Unternehmens? Sämtliche E-Mails müssen diese Kontrollpunkte passieren. Genauso war es in der Architektur auch definiert.

Die Analyse zeigt jedoch, dass Exchange Online weiterhin direkte Zustellungen aus dem Internet zulässt. Der Gateway ist also vorhanden, die Sicherheitskontrollen für den definierten Mailfluss sind implementiert und auch die entsprechenden Prozesse sind korrekt etabliert. Doch zusätzlich existiert ein alternativer Pfad, der womöglich bei der Einführung notwendig war, aber in keinem Architekturdiagramm auftaucht und nie Teil des Bedrohungsmodells war. Diese Bedrohung hat nun einen Namen «Ghost Sender».

Welche Lehren lassen sich daraus ziehen?

Ghost Sender ist technisch betrachtet eine Fehlkonfiguration und organisatorisch ein blinder Fleck. In diesem Fall hat niemand fahrlässig gehandelt: Der Gateway ist korrekt installiert, die Umgebung korrekt betrieben, die Sicherheitsverantwortlichen haben ihre Aufgaben erfüllt. Doch ist die Architektur über die Jahre komplexer geworden.

Spamfilter wurden implementiert, E-Mail Archivierung integriert, diverse Partneranbindungen geschaffen, Cloud-Migrationen umgesetzt, Ausnahmeregeln definiert und temporäre Workarounds implementiert. Jede dieser Änderungen ist nachvollziehbar. Doch jede zusätzliche Komponente erhöht die Komplexität des Gesamtsystems und genau dort entstehen Risiken. Sicherheitsarchitekturen altern. Deshalb müssen sie regelmässig validiert und kritisch hinterfragt werden. Denn die gefährlichsten Schwachstellen sind nicht die, die man kennt, sondern jene von denen man überzeugt ist, dass sie gar nicht existieren können.

Die Komplexität ist nicht nur ein Problem bei der Erkennung solcher Schwachstellen, sondern auch in der Behebung davon. So konnte beispielsweise in der Praxis beobachtet werden, dass einige Unternehmen mehrere Wochen benötigten, um die Fehlkonfiguration zu beheben, während sie in dieser Zeit anfällig für entsprechende Phishingangriffe waren. 

3 zentrale Massnahmen gegen Ghost Sender

  1. Konfigurationshygiene etablieren
    – Regelmässige Überprüfung von SPF
    – DKIM korrekt implementieren
    – DMARC Enforcement aktivieren
  2. Externe Sicht einnehmen
    – Kontinuierliche Überwachung der eigenen Angriffsfläche
    – Validierung von DNS- und Mail-Konfigurationen
    – Regelmässige Exposure-Assessments
  3. Prozesse für schnelle Reaktion schaffe
    – Veranwortlichkeiten definieren
    – Kritische Änderungen priorisieren
    – Standardisierte Risikoanalysen etablieren

Das gemeinsame Angriffsmuster hinter allen drei Vorfällen

Auf den ersten Blick wirken diese Angriffe völlig unterschiedlich.

  • Ransomware über VPN
  • Supply-Chain-Kompromittierung
  • Ghost-Sender-Fehlkonfiguration

Tatsächlich teilen sie dieselbe Ursache

Fehlende Transparenz über Risiken, die ausserhalb des direkten Blickfelds liegen.

Der VPN-Zugang ohne MFA war exponiert. Die Lieferkette wurde ungeprüft als vertrauenswürdig behandelt. Die Mail-Infrastruktur enthielt unbekannte Schwachstellen oder Fehlkonfigurationen. Keiner dieser Angriffe begann mit einem hochkomplexen technischen Exploit. Sie begannen mit einer Sicherheitslücke in der Sichtbarkeit, Kontrolle oder der Governance.

Cyberrisiken sehen, bevor sie zum Angriffspfad werden

Die entscheidende Frage lautet heute nicht mehr: «Haben wir genügend Security-Produkte?» Sondern: «Wissen wir, welche Risiken ausserhalb unseres aktuellen Sichtfelds existieren?» Wer seine Identitäten schützt, die Software-Lieferkette überwacht und externe Angriffsflächen kontinuierlich versteht, reduziert und nicht nur die Wahrscheinlichkeit erfolgreicher Cyberangriffe, sondern erkennt Bedrohungen deutlich früher.

Diese drei Beispiele zeigen dabei nur einen kleinen Ausschnitt aktueller Angriffsmuster.

In unserem aktuellen InfoGuard Threat Intelligence Whitepaper analysieren wir:

  • die wichtigsten Angriffsvektoren des vergangenen Jahres
  • aktuelle Entwicklungen im Bereich Ransomware, Supply Chain und Identity Attacks
  • teilen konkrete Incident-Response-Erkenntnisse aus der Praxis
  • und priorisierte Schutzmassnahmen für Unternehmen und Behörden

Nutzen Sie das kostenlose Whitepaper «InfoGuard Threat Intelligence Insights 2025» als Realitätscheck: Prüfen Sie, welche Angriffsmuster jetzt besonders relevant sind und welche Massnahmen für Ihre Organisation Priorität haben. 

Zum Whitepaper

Sie möchten keine wichtigen Entwicklungen verpassen? Abonnieren Sie unsere Blog-Updates und profitieren Sie von regelmässigen Einblicken in aktuelle Bedrohungstrends, Sicherheitsrisiken und relevante Marktbewegungen.

Blog Updates abonnieren

Firmenkontakt und Herausgeber der Meldung:

InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch

Ansprechpartner:
Estelle Ouhassi
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Comments are closed.

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber.