Wie Cyberangriffe tatsächlich ablaufen – und wie Unternehmen sich in fünf Schritten besser schützen können

Cyberangriffe wirken in der öffentlichen Vorstellung oft wie Szenen aus einem Thriller: Ein unbekannter Angreifer nutzt eine neu entdeckte Sicherheitslücke, ein sogenannter Zero-Day-Exploit, und hebelt in Sekundenschnelle komplexe Schutzmechanismen aus. Die Realität ist jedoch meist deutlich unspektakulärer – und für Unternehmen umso gefährlicher.

Denn die meisten Angriffe beginnen nicht mit ausgefeilten Spezialwerkzeugen, sondern mit simplen Einfallstoren. Veraltete Systeme, schwache Passwörter oder fehlerhafte Konfigurationen reichen häufig aus, damit sich Angreifer Zugang verschaffen können. Diese offenen Türen finden sich in vielen Netzwerken zuhauf.

Ist der erste Schritt getan, beginnt die eigentliche Arbeit der Angreifer: unauffällig, geduldig und systematisch. Sie bewegen sich durch das Netzwerk, sammeln Informationen, verschaffen sich weitergehende Rechte – und bleiben dabei oft unentdeckt. Sicherheitslösungen wie EDR (Endpoint Detection and Response) oder SIEM (Security Information and Event Management) schlagen möglicherweise Alarm, doch diese Warnungen gehen nicht selten in der Masse unter. Bis der Schaden schließlich sichtbar wird, ist es häufig zu spät.

In diesem Blogbeitrag wird erläutert, wie Angreifer vorgehen, sobald sie Fuß gefasst haben. Es werden die TTPs (Taktiken, Techniken und Verfahren) beschrieben, mit denen sie ihre Berechtigungen von einem Low-Level-Konto auf einen Domänenadministrator oder andere kritische Systeme ausweiten, sowie die Abwehrmaßnahmen, mit denen Unternehmen Angreifer erkennen und stoppen können, bevor es zu einer erheblichen Datenexfiltration oder dem Einsatz von Ransomware kommt.

Einstiegspunkte: Der stille Beginn eines Cyberangriffs

Angreifer brechen nicht immer ein. Manchmal authentifizieren sie sich einfach – mit gestohlenen Anmeldedaten, über ein nicht gepatchtes System oder eine falsch konfigurierte Anwendung. Phishing mit bösartigen Office-Makros oder PDF-Anhängen ist nach wie vor sehr beliebt bei Angreifern. Das Gleiche gilt für Credential Stuffing – beispielsweise wenn jemand dasselbe Passwort für mehrere Systeme verwendet und es später in einer Datenbank für gestohlene Zugangsdaten auftaucht. Und immer wieder finden Angreifer Schwachstellen, die seit Monaten oder sogar Jahren nicht gepatcht wurden.

Zero-Day-Exploits machen Schlagzeilen, sind aber in der Praxis seltener anzutreffen. Der Grund? Sie sind teuer und erfordern hohe Investitionen seitens des Angreifers. Deshalb werden sie in der Regel für hochkarätige Ziele wie Nationalstaaten eingesetzt. Die meisten Angreifer entscheiden sich für einfache, wiederholbare Methoden, die nur minimale IOCs (Indicators of Compromise) generieren. Sie nutzen menschliche Verhaltensmuster und Fehlkonfigurationen aus, nicht nur den Anwendungscode.

Unabhängig vom Einstiegspunkt landen Angreifer in der Regel auf einem Benutzerkonto mit geringen Berechtigungen. Dort beginnen die meisten Sicherheitsverletzungen – mit dem unbemerkten Zugriff auf einen Endpunkt, den niemand genau beobachtet.

Sobald sie drin sind, verlangsamen Angreifer ihre Aktivitäten und beginnen mit der internen Aufklärung. Sie listen die im LSASS-Speicher zwischengespeicherten Anmeldedaten auf, überprüfen laufende Prozesse und Dienste und erstellen eine Übersicht über Netzwerkfreigaben und Active Directory-Vertrauensstellungen. Jedes Artefakt hilft ihnen dabei, ihren Angriffspfad weiter auszubauen. Jede Umgebung ist anders, aber die Vorgehensweise ist mehr oder weniger dieselbe: Persistenz herstellen, Command-and-Control-Datenverkehr minimieren und die nächste Möglichkeit zur Privilegieneskalation identifizieren.

Pivot und laterale Bewegung – die Leiter hinaufklettern

Wenn ein Angreifer ein Gefühl für die Umgebung entwickelt hat, beginnt er, nach seinem nächsten Schritt zu suchen. Das Ziel ist nicht Geschwindigkeit. Es ist Heimlichkeit. Sie wollen von diesem anfänglich wenig privilegierten Endpunkt zu etwas mit mehr Wert – und umfangreicheren Zugriffsrechten – gelangen.

Das beginnt in der Regel mit dem Sammeln von Anmeldedaten. Tools wie Mimikatz ermöglichen es Angreifern, NTLM-Hashes, Kerberos-TGTs (Ticket Granting Tickets) und Anmeldedaten von Dienstkonten direkt aus dem Speicher zu extrahieren, indem sie den LSASS-Prozess mit Techniken wie sekurlsa::logonpasswords angreifen. Mit diesen Authentifizierungsartefakten benötigen sie kein Klartext-Passwort mehr – sie führen einfach NTLM-Relay-Angriffe durch oder nutzen Pass-the-Hash-Techniken zur Authentifizierung, wobei sie die Designbeschränkungen des NTLM-Authentifizierungsprotokolls ausnutzen. Eine weitere gängige Technik ist Kerberoasting: Ein Angreifer nutzt legitime Domänenbenutzerrechte, um Servicetickets (TGS) für SPN-Konten (Service Principal Name) anzufordern, und extrahiert diese für das Offline-Knacken mit Hashcat, um Klartext-Anmeldedaten wiederherzustellen.

Manchmal benötigen Angreifer nicht einmal spezielle Tools. Sie können einfach abwarten. Wenn sich beispielsweise ein Domänenadministrator bei dem kompromittierten Computer authentifiziert, können sie im Hintergrund unbemerkt Anmeldedaten abgreifen. In einigen Fällen lösen sie absichtlich einen Vorfall mit geringer Schwere aus – gerade genug, um ein Helpdesk-Ticket zu generieren, das jemanden mit erhöhten Zugriffsrechten dazu auffordert, sich mit dem kompromittierten System zu verbinden.

Angreifer verwenden selten benutzerdefinierte Malware-Payloads. Stattdessen verlassen sie sich auf Living-off-the-Land-Binärdateien (LOLBins). Sie nutzen integrierte Verwaltungsprogramme wie PowerShell, WMI oder PsExec – alles native Windows-Tools mit legitimen Anwendungsfällen –, um sich in normale Systemadministrationsaktivitäten einzufügen. Manchmal injizieren sie bösartige DLLs über reflektierende DLL-Injektionstechniken in legitime Prozesse oder setzen dateilose Malware ein, die vollständig im Arbeitsspeicher ausgeführt wird und nur minimale forensische Artefakte hinterlässt. In anderen Fällen betten sie eine bösartige Makro in ein gemeinsam genutztes Dokument ein, das intern verteilt wird. Der Datenverkehr erscheint in den Netzwerkprotokollen als Routinevorgang. Und genau das ist der springende Punkt.

Dieser Ansatz, oft als „Living off the Land“ bezeichnet, ist weit verbreitet. Untersuchungen haben ergeben, dass etwa 84 % der Angriffe mit hoher Schweregrad den Missbrauch legitimer Systembinärdateien beinhalten, wobei PowerShell in fast drei Viertel der bösartigen Skripte verwendet wird. Angreifer müssen keine benutzerdefinierten C2-Frameworks bereitstellen – sie missbrauchen einfach das, was Ihre Umgebung bereits auf der Whitelist hat und als vertrauenswürdig einstuft.

Die Kette durchbrechen – 5 Schritte zum Aufdecken und Unterbrechen von Bewegungen

Angreifer stürzen sich nicht auf die Kronjuwelen. Sie nehmen sich Zeit. Sie bewegen sich lateral durch das Netzwerk und suchen still und leise nach Schwachstellen, die niemand beobachtet: übermäßige NTFS-Berechtigungen, überprivilegierte Dienstkonten mit eingeschränkter Delegierung und unüberwachte LDAP-Abfragen zwischen Systemen. Um solche Bewegungen zu stoppen, muss eine umfassende Verteidigungsstrategie implementiert werden, die diese Angriffspfade identifiziert und Sicherheitskontrollen implementiert, um sie zu unterbrechen, bevor sie ausgenutzt werden können.

Hier sind 5 Schritte, um Angreifern das Leben erheblich zu erschweren

1. Verwenden Sie Angriffspfadmodellierung, um zu erkennen, wie sich ein Angreifer in Ihrer Umgebung bewegen und scheinbar zusammenhanglose Fehlkonfigurationen miteinander verknüpfen könnte, um an kritische Assets zu gelangen. Sie zeigt reale, nicht theoretische Risiken auf, wie übermäßige Berechtigungen, ungepatchte Schwachstellen und die Offenlegung von Anmeldedaten, die ein System über komplexe Vertrauensbeziehungen mit einem anderen verbinden und die bei statischen Sicherheitsscans möglicherweise übersehen werden.
2. Sobald Sie diese riskanten Wege aufgezeigt haben, müssen Sie sie im nächsten Schritt schließen. Beginnen Sie damit, bestehende Berechtigungen zu entfernen. Verwenden Sie eine PAM-Lösung (Privileged Access Management) mit Just-in-Time-Zugriff, die nur bei ausdrücklicher Anforderung und Genehmigung kurzzeitige, zeitlich begrenzte Berechtigungen gewährt.
3. Implementieren Sie eine Netzwerksegmentierung nach Zero-Trust-Prinzipien, anstatt sich ausschließlich auf herkömmliche perimeterbasierte Kontrollen zu verlassen.
4. Überprüfen Sie Ihre Dienstkonten sorgfältig. Viele verfügen aufgrund ihrer Mitgliedschaft in AD-Gruppen mit hohen Berechtigungen über übermäßige Privilegien, und ihre Anmeldedaten bleiben oft über längere Zeit unverändert, was gegen wichtige Richtlinien zur Rotation von Schlüsseln verstößt.
5. Konzentrieren Sie sich auf die Erkennungstechnik. Jede Umgebung hat Engpässe – Systeme, die Angreifer nicht umgehen können, wenn sie tiefer vordringen wollen. Eine Möglichkeit, mit Engpässen umzugehen, ist der Einsatz von Täuschungstechnologien: Honeytokens, Canary Tokens oder Schein-Anmeldedaten, die keinen legitimen Geschäftszweck haben. Wenn auf diese zugegriffen wird, löst dies sofort einen hochpräzisen Alarm mit minimalen Fehlalarmen aus.

Diese Techniken funktionieren. Untersuchungen haben ergeben, dass 44 % der Ransomware-Angriffe entdeckt werden, während sich der Angreifer noch lateral bewegt. Das ist Ihre Chance, die Bedrohung einzudämmen – bevor der eigentliche Schaden entsteht. Sie können nicht jede Sicherheitsverletzung blockieren. Aber Sie können Kontrollen implementieren, die die Angriffskette unterbrechen, die den ersten Zugriff in geschäftliche Auswirkungen verwandelt. Hier zeigen effektive Sicherheitsprogramme ihren Wert.

Planung für den Ernstfall – Die Wiederherstellung beginnt vor dem Angriff

Selbst mit starken Abwehrmaßnahmen und Kontrollen können einige Angriffe erfolgreich sein. Deshalb muss die Planung für die Wiederherstellung lange vor dem ersten Alarm beginnen.

Unveränderliche Backups bleiben die Grundlage. Speichern Sie mindestens drei Kopien kritischer Daten auf verschiedenen Speichertechnologien und legen Sie eine Kopie außerhalb des Unternehmens auf, gemäß der branchenüblichen 3-2-1-Backup-Regel. Stellen Sie sicher, dass mindestens eine Kopie WORM-Speicher (Write Once Read Many) oder die S3 Object Lock-Funktionalität implementiert, wie von CISA und FBI nach dem Vorfall bei Colonial Pipeline empfohlen. Speichern Sie Backups nicht nur, sondern führen Sie regelmäßige Wiederherstellungstests mit definierten RTO/RPO-Metriken (Recovery Time Objective/Recovery Point Objective) durch, damit sie bei Bedarf validiert werden können.

Ein solides Incident-Response-Handbuch setzt die Strategie in die Tat um. Legen Sie im Voraus Rollen und Verantwortlichkeiten fest, d. h. wer die Eindämmungsmaßnahmen koordiniert, wer die Geschäftsleitung informiert und wer die externe Kommunikation mit Kunden und Aufsichtsbehörden übernimmt. Effektive Kontinuitätspläne legen Zeitpläne, Verantwortlichkeiten und Wiederherstellungsziele für jede Kernfunktion fest.

Die Wiederherstellung selbst ist nicht nur ein technischer Prozess, sondern eine Art operatives Muskelgedächtnis. Echte operative Resilienz entsteht durch regelmäßige Vorfallsimulationen, funktionsübergreifende Koordination zwischen IT-, Sicherheits-, Rechts- und Kommunikationsteams sowie ein Krisenkommunikationsrahmenwerk, das alle Beteiligten verstehen.

Vorausplanung verhindert zwar nicht jede Sicherheitsverletzung, bietet Ihnen jedoch die besten Chancen, sich schnell wieder zu erholen, bevor echter Schaden entsteht.

Fazit – Was als Nächstes passiert, ist entscheidend

Die meisten Sicherheitsverletzungen beginnen nicht mit etwas Dramatischem. Es ist viel einfacher, beispielsweise ein übersehenes Patch. Ein wiederverwendetes Passwort. Eine übermäßige Berechtigung in Active Directory, die einen unbeabsichtigten Angriffspfad schafft. Die tatsächlichen Auswirkungen zeigen sich erst später. Bedrohungsakteure gehen methodisch vor, bewegen sich mit minimalem Aufwand quer durch das Netzwerk und erweitern dabei schrittweise ihre Berechtigungen.

Sie können nicht jede Sicherheitsverletzung an der Netzwerkgrenze verhindern. Aber Sie können es Angreifern erschweren, sich innerhalb des Netzwerks zu bewegen, sobald sie einmal drinnen sind. Dazu müssen Sie die Angriffspfade kennen, die sie nutzen, und diese durch eine geeignete Sicherheitsarchitektur unterbrechen. Bei Cybersicherheit geht es nicht nur um Prävention. Es geht darum, Erkennungs- und Reaktionsfunktionen zu implementieren, die Bedrohungen eindämmen, bevor sie ihr Ziel erreichen.

Nie aus der Mode: Warum Exposure Management im Einzelhandel unverzichtbar bleibt

Cyber Defense reloaded – mit Angriffsgraphen zur proaktiven Sicherheit

Cybersecurity im Gesundheitswesen: Warum Exposure Management der Schlüssel zur Prävention ist

Sehen, was Angreifer sehen: Wie Sie mit Angriffsdiagrammen Cyber-Bedrohungen immer einen Schritt voraus sind

---

Weitere Informationen:

CTEM Section

Continuous Exposure Management

XM Cyber deckt auf, wie Angreifer Ihre Umgebung ausnutzen können – vollautomatisch. Unsere Lösung visualisiert sämtliche Angriffspfade zu kritischen Ressourcen in einem Diagramm. So können Sie sich auf die 2 % der Fixes konzentrieren, mit denen sich die wirklich relevanten Angriffspfade durchkreuzen lassen – und vergeuden keine Zeit mehr mit Maßnahmen, die sich nicht auf Ihr Risiko auswirken.

XM Cyber bei LinkedIn

---

Bild/Quelle: https://depositphotos.com/de/home.html