Autor: Lisa Scheck

Ein Ransomware-Angriff zielt auf die Monetarisierung eines erfolgreichen Angriffs ab. Sobald sich die Angreifer zu erkennen geben, setzen sie ihre Opfer unter solch enormen Druck, dass das die Zahlung von Lösegeldforderungen oft als einzige Lösung erscheint. Dabei nutzen sie eine mehrstufige Strategie, bekannt als Multi-Extortion-Strategie, die in Abhängigkeit von der Anzahl der eingesetzten Teilstrategien auch als Double- oder Triple-Extortion-Strategie bezeichnet wird. Diese Strategien umfassen folgende Schritte:

1. Verschlüsselung von Daten und Systemen: Die Ransomware verschlüsselt Daten. Die Angreifer bieten Unterstützung bei der Entschlüsselung der unbrauchbar gemachten Daten und der Wiederherstellung der Windows-Dienste an oder das Schließen des Einfallstors.

2. Exfiltration sensibler Daten: Angreifer entwenden sensible Informationen wie Firmengeheimnisse, Benutzerdaten und Kundendaten. Sie drohen, diese bei Nichtzahlung zu veröffentlichen oder zu verkaufen, um den Ruf des Unternehmens zu schädigen.

3. DDoS-Angriffe bei Nichtzahlung: Wenn das Lösegeld nicht bezahlt wird, drohen regelmäßige Distributed-Denial-of-Service-Angriffe (DDoS).

Ein solcher Angriff kann dazu führen, dass wichtige Serverdienste, Programme und Unternehmensdaten oder direkt die VM-Container unbrauchbar werden. Das Ziel der Angreifer ist erreicht, wenn die Handlungsfähigkeit des Unternehmens zum Erliegen kommt, was den Weg zurück zur Normalität langwierig und kostspielig macht. Dies zeigt, wie wichtig es ist, das Unternehmen vor Betriebsunterbrechungen zu schützen. Wir unterstützen Sie gerne dabei, geeignete Schutzmaßnahmen zu ergreifen und zeigen im Folgenden, wie die erfolgreichsten Ransomware-Gruppen vorgehen, damit Sie Ihre Cyber-Abwehrstrategie besser auf die aktuelle Lage ausrichten können.

Die Digitalisierung von Geschäftsprozessen, die Einführung von Kryptowährungen und das TOR-Netzwerk (Onion-Routing) ermöglichen weitgehend anonymisierte Angriffe und Lösegeldforderungen. Seit 2017, als die Lösegeldforderungen im Durchschnitt zwischen 501 und 2000 US-Dollar lagen, sind sie stetig gestiegen. Im ersten Quartal 2022 betrug die durchschnittliche Lösegeldzahlung bereits 211.529 US-Dollar, während sie im Jahr 2022 auf 570.000 US-Dollar anstieg. Laut dem IT-Sicherheitsbericht des BSI verursachten Ransomware-Angriffe allein in Deutschland im Jahr 2022 einen Schaden von 202 Milliarden Euro; bis September 2023 waren es bereits 203 Milliarden Euro.

Was ist ein Exploit bei Ransomware und wie kann man sich schützen?

Angreifer nutzen sogenannte sogenannte Zero-Day-Exploits, also Softwarelücken, um über das Internet erreichbare Server zu übernehmen oder greifen durch Social-Engineering und Phishing-Kampagnen Systemzugänge ab. Ein Exploit ist eine Schwachstelle, die es Angreifern ermöglicht, Schadsoftware nachzuladen und sich in Ihr IT-System einzunisten. Zero-Day bezeichnet den Zeitraum, in dem der Administrator reagieren kann, um die Lücke durch einen Sicherheitspatch zu schließen – für einen Zero-Day-Exploit kann es also im schlimmsten Fall noch keinen Patch geben.

Exploits erfordern nicht immer einen Benutzer, um Opfer von Ransomware zu werden. Sie können gezielt auf spezifische Server wie Mail- oder Webserver eingesetzt werden, oder Angreifer locken Mitarbeiter auf manipulierte Seiten, um Zero-Click-Angriffe wie Drive-by-Downloads durchzuführen.

Zu den erfolgreichsten Gruppen, die diese Techniken perfektioniert haben, zählen Lockbit 3.0, AlphV (BlackCat), CLOP, Conti, Blackbasta, Prevail, REvil, Akira, Royal und viele mehr. Diese Angriffe folgen in der Regel einem bestimmten Muster, dem Lockheed Martin’s Cyber-Kill-Chain-Modell, weshalb es sich lohnt, sich mit dieser Bedrohung auseinanderzusetzen.

Detaillierte Kenntnisse über Angriffsabläufe, eingesetzte Tools und Angriffsvektoren wie Pass-the-Ticket, Pass-the-Hash, Pass-the-Session und Golden Tickets sind entscheidend. Diese Informationen helfen Ihnen, die passenden Schutzmechanismen zu implementieren und Ihr Unternehmen vor Betriebsunterbrechungen zu bewahren.

Es gibt jedoch keine universelle Lösung für alle Schwachstellen. Auch wenn Produkte wie Firewalls, Anti-Spam-Lösungen und Endpoint-Security-Systeme (mit EDR und XDR) weit verbreitet sind, erfordert ein umfassender Schutz zusätzliche Ansätze. Dazu gehören Zero-Trust-Lösungen, eine robuste Sicherheitsarchitektur, allgemeine Monitoring-Lösungen und die Einbindung der Anwender in das Cyber-Abwehr-Konzept.

Angriffserkennungssysteme nutzen Angriffsindikatoren (Indicators of Attack, IoA) und Kompromittierungsindikatoren (Indicators of Compromise, IoC), um laufende Angriffe zu erkennen. Dies gibt der IT die Möglichkeit, zu reagieren, bevor das System unbrauchbar wird. Das Aufspüren dieser Indikatoren ist die Spezialität eines SOC-Teams, das in einem Loggingsystem, das Meldungen aus zahlreichen Quellen zusammenführt, Auffälligkeiten entdeckt. Es identifiziert kompromittierte Systeme und unterstützt die IT dabei, diese zu bereinigen und das Einfallstor zu schließen, idealerweise bevor der Schaden entsteht.

Wie läuft ein Ransomware-Angriff auf einem Computer genau ab? Gibt es Muster bei Malware und worauf muss ich achten?

Die folgende Grafik zeigt vereinfacht eine typische Kill-Chain einer Ransomware-Gruppe: 

Wie die Kill-Chain zeigt, folgen Ransomware-Angriffe oft einer bestimmten Kill-Chain, bei der mindestens auf eine Double-Extortion-Strategie gesetzt wird. Angreifer nutzen leistungsfähige Tools, die auch legitimen Kunden zur Verfügung stehen. Hier sind die idealisierten Abläufe und repräsentativen Tools eines Ransomware-Angriffs:

1. Nutzung von Schwachstellen: Angreifer kombinieren mehrere Schwachstellen, um Rechteausweitungen bis hin zu Administrator-, System- oder Root-Rechten zu ermöglichen. Sobald sie Admin-Rechte erlangt und eine Root-Shell platziert haben, laden sie beliebigen Code aus dem Internet nach, scannen die Netzwerkumgebung und analysieren sie auf weitere Schwachstellen. Dabei überwinden sie Barrieren wie Firewalls, Anti-Viren- und EDR-Systeme, um das Active Directory (AD), das Backup-System, den Hypervisor und Ihre Daten zu kompromittieren.

2. Netzwerkexpansion: Tools wie Netzwerkscanner (z.B. von SoftPerfect), Keylogger und Remote Management Lösungen wie ConnectWise helfen den Angreifern, sich im Netzwerk weiter auszubreiten.

3. Passwortdiebstahl: Ein zentrales Element ist das Abgreifen von Passwörtern jeglicher Art, da sie entscheidend für den weiteren Angriff sind.

4. Active Directory Kompromittierung: Wenn die Angreifer soweit gekommen sind, können sie mit Tools wie AdFind und ADRecon einen AD-Dump erstellen und die Infrastruktur analysieren. Lokale Anmeldedaten können aus der Local Security Authority (LSASS) extrahiert werden, um sie für Brute-Force- Wörterbuchangriffe zu nutzen oder um  alle möglichen  Passwortkombinationen auszuprobieren.

5. Schwachstellenscan: Im schlimmsten Fall führen Angreifer mit einem AD-Administrator einen Schwachstellenscan mit Software zur Simulation feindlicher Angriffe, z.B. Cobalt Strike, durch, um entscheidende Netzwerkziele zu identifizieren.

6. Deinstallation von Sicherheitssoftware: Angreifer deinstallieren als nächsten Schritt Endpoint-Security-Agenten, unabhängig von vorhandener Tamper-Protection, oft mit speziellen Tools (z.B. Ultimate Uninstaller.exe ;forensische AnalyseNov 2023)

7. Kerberos- und RDP-Angriffe: Sobald Angreifer Zugriff auf den Windows-Server haben, nutzen sie Tools wie Process Hacker und Mimikatz, um Schwachstellen im Kerberos-Protokoll für Pass-the-Hash-Angriffe auszunutzen. Sie provozieren Administratoranmeldungen an kompromittierten Systemen, um den Zugriff auf alle Domänensysteme zu beschleunigen.

8. Datenausleitung: Mit Tools wie ExMatter, MEGAsync oder SSH werden möglichst viele Unternehmensdaten exfiltriert. Angreifer erstellen im Darknet spezifische Onion-Adressen, um Daten hochzuladen und setzen einen Countdown für die automatische Veröffentlichung, sollte sich das Opfer nicht melden.

9. Verschlüsselung und Löschung: Sobald die Angreifer Zugriff auf das Backup-System, den File-Server, den Hypervisor, die Endpoint-Security und das AD haben, verschlüsseln die Angreifer das System. Mithilfe von PowerShell-Scripts löschen sie Windows-Schattenkopien, Logs und andere Spuren, um  jede Art der Wiederherstellung zu verhindern. Der Ransomware-Code wird getarnt, live kompiliert und gestartet, um mit datei-loser Malware (Living off the land – LOTL) patternbasierte Erkennung zu umgehen. Er wird innerhalb von Sekunden über die gesamte Infrastruktur verteilt, oft unter einer Windows-typische Prozessbezeichnung wie wie svhost.exe. Dieser Vorgang passiert so schnell, das es oft zu spät ist bis man ihn als solchen identifiziert hat.

10. Erpressung und Kontaktaufnahme: Nun platzieren die Angreifer eine Readme-Datei (z.B. html, txt,  angepasster Desktop-Hintergrund) auf Ihren Systemen, die Anweisungen zur Identifizierung und Kontaktaufnahme enthält und können Sie so erpressen.

Diese Schritte zeigen eindrucksvoll, wie Ransomware systematisch alle wichtigen Windows-Dienste, von Backups über Antiviren-Software bis hin zu Datenbanken, Windows-Internetdiensten oder den Storage-Bereich des ESX, wo die virtuellen Maschinen (VMs) liegen, lahmlegt und unbrauchbar macht. 

Forensische Analysen belegen, dass häufig mehrere cyberkriminelle Angreifergruppen  beteiligt sind. Die Angreifer brauchen für diese vielen Schritte eine gewisse Zeit –allerdings gilt  auch hier: Wer zuerst kommt, malt zuerst. Diese Prozesse nehmen Zeit in Anspruch, und der eigentliche Verschlüsselungsprozess erfolgt meist zu Zeiten, in denen niemand arbeitet, wie am Wochenende oder nachts, oder zu besonders umsatzstarken Zeiten wie der Weihnachtszeit.

Welche Schutzmöglichkeiten vor einer Infektion gibt es? 

Angelehnt an das APT-Lifecycle Modell, dem Defense-in-depth-Modell und der Cyber-Kill-Chain hat  die New Zealand Regierung von ihrem Government Computer Emergency Response Team (GovCERT) eine Verteidigungsstrategie erarbeiten lassen, die Administratoren unterstützen soll, eine geeignete  Verteidigungsstrategie zu implementieren. Diese kann der folgenden Grafik entnommen werden:

Quelle: How ransomware happens and how to stop it, CERT NZ, letzter Zugriff: 27-02-2025. https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ 

Fazit

Das Verständnis der hochentwickelten Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTP) von Angreifern bei Advanced Persistent Threats (APT) befähigt IT-Verantwortliche, fundierte Entscheidungen zu treffen. Nur Organisationen, die über spezielles Wissen, geschultes Personal und geeignete Tools verfügen, können sich effektiv schützen.

Es ist daher für jedes Unternehmen essenziell, sich intensiv mit dem Thema Ransomware auseinanderzusetzen. Dabei sollten nicht nur präventive Maßnahmen gegen Ransomware-Vorfälle im Fokus stehen, sondern auch die Vorbereitung auf die Zeit nach einem Angriff. Dazu gehört das Überwachen von möglichen Datenlecks, selbst wenn primär Geschäftspartner betroffen sind. Für die strategische Ausrichtung der Cyber-Abwehr-Strategie ist es wichtig, dass die IT-Abteilung die Anatomie von Ransomware-Angriffen versteht und folgende Punkte berücksichtigt:

• Netzwerk-Topologie: Implementieren Sie eine geeignete Netzwerk-Topologie, um die kritischen Daten Ihres Unternehmens zu schützen.

• Backup-Infrastruktur: Schützen Sie Daten und Dienste durch mehrstufige Backup-Methoden an mindestens zwei Standorten. Backups sollten offline gehalten und als unveränderbare Backups (Immutable Backups) implementiert werden, beispielsweise nach dem Veeam ZTDR-Modell. Überprüfen Sie alle 3 bis 6 Monate, ob alle VMs in der Backup-Software erfasst sind.

• Zero-Trust-Ansatz: Etablieren Sie einen sicheren Schutzschild durch einen Zero-Trust-Ansatz, um zu verhindern, dass Schadcode auf Ihre Systeme gelangt.

• AD-Härtung: Führen Sie Maßnahmen zur Härtung des Active Directory durch und etablieren Sie ein Sicherheitsmodell für privilegierte Zugriffe.

XDR-/SIEM-SOAR-Systeme: Nutzen Sie ein XDR-/SIEM-SOAR-System, um Ihrem SOC-Team zu helfen, verdächtige Aktivitäten frühzeitig zu identifizieren.

Stay secured!

Die wachsende Bedrohung durch Infostealer geht erst richtig los: Angreifer müssen nicht mehr hacken – sie loggen sich einfach ein…

In der heutigen IT-Sicherheitslandschaft sind Infostealer eine der größten Bedrohungen für Unternehmen und Privatpersonen. Diese Schadsoftware infiziert Systeme, stiehlt sensible Daten – darunter Anmeldeinformationen, Finanzdaten und persönliche Identitäten – und verkauft diese im Darknet.

Das Ergebnis? Hacker müssen nicht mehr aufwändig in Systeme hacken – sie melden sich einfach mit gestohlenen Zugangsdaten an.

Infostealer haben das Sicherheitsrisiko grundlegend verändert: Wer einmal infiziert wurde, verliert unter Umständen die Zugänge zu sämtlichen Online-Diensten, Tools und Webseiten. Identitäten werden als Komplettpakete verkauft, sodass Kriminelle sofort Zugriff auf E-Mail-Konten, Unternehmensnetzwerke und Finanzplattformen erhalten – ganz ohne Brute-Force-Angriffe oder auffällige Hacking-Methoden.

Unsere aktuelle Recherche hat ergeben, dass im Darknet Zugänge von über 30 Millionen Geräten vorliegen. Das sind dann meist ganze Userprofile inkl. der Anmeldedaten. Zugänge zu über 11 Millionen Domains und Daten von über 11 Millionen kompromittieren Android Geräten, die zum Verkauf oder auch kostenfrei zur Verfügung gestellt werden.

Dieser Blog klärt auf, warum das so ist und was jedes Unternehmen hieraus ableiten sollte. 

Wie Infostealer infizieren

Infostealer sind darauf spezialisiert, Login-Daten, Cookies, Browser-Sitzungen, Autofill-Daten und sogar Kreditkartendetails unbemerkt zu stehlen. Die Malware gelangt häufig über Phishing-Mails, manipulierte Webseiten oder infizierte Software-Downloads auf das System.

Sobald die Ransomware aktiv ist, durchsucht sie verschiedene Anwendungen nach gespeicherten Zugangsdaten und sendet diese an Cyberkriminelle, die sie weiterverkaufen oder für gezielte Angriffe nutzen. Der Benutzer bemerkt hiervon nichts.

• Phishing-E-Mails: Schadanhänge oder manipulierte Links starten den Download der Malware.
• Illegale Software & Cracks: Infizierte Raubkopien oder vermeintlich kostenlose Tools enthalten versteckte Infostealer.
• Kompromittierte Websites: Drive-by-Downloads infizieren Nutzer unbemerkt beim Besuch einer Seite.
• Malvertising (Schadhafte Online-Werbung): Infizierte Werbeanzeigen verteilen die Schadsoftware über seriöse Webseiten.
• WebBrowser Erweiterungen: Jeder Nutzer kann, wenn es nicht von der Administration beschränkt ist, beliebige WebBrowser Erweiterungen installieren. Diese haben Zugriff auf alle Ihre Browsertabs und können die Tastatureingaben abgreifen.
• Addons für Spiele: Viele Spiele bieten sogenannte Mods an, also Erweiterungen von Spielen wie z.B. Mindcraft, GTA, CounterStrike, Pubg, Sims, etc. Viele dieser Programme und deren Erweiterungen sind unbemerkt durch Infostealer verseucht.

Typische Infektion von Infostealern:

Aktuelle Infostealer-Bedrohungen 2025

Die Bedrohung durch Infostealer wächst rasant. Viele Varianten nutzen moderne Verschleierungstechniken, um Sicherheitslösungen zu umgehen. Die derzeit gefährlichsten Infostealer sind:

1. Lumma Stealer

Lumma Stealer ist einer von den fortschrittlichsten Infostealer-Varianten und wird ebenfalls als Malware-as-a-Service (MaaS) angeboten. Seit seiner Entdeckung im Jahr 2022 hat sich Lumma in mehreren Versionen bösartig weiterentwickelt und nutzt modernste Verschleierungs- und Anti-Sandbox-Techniken, um Sicherheitslösungen zu umgehen.

Warum Lumma so gefährlich ist:

• Session-Cookies: Neben Passwörtern kann Lumma auch aktive Session-Cookies extrahieren, wodurch Angreifer in viele Konten einsteigen können, selbst wenn MFA aktiviert ist.
• Gezielte Angriffe auf Unternehmen: Lumma wird oft zur Unternehmensspionage und für Finanzbetrug eingesetzt.
• Ständige Weiterentwicklung: Die Entwickler hinter Lumma veröffentlichen regelmäßig Updates, um Erkennungsmechanismen zu umgehen.

Lumma Stealer wird häufig über Discord-Kanäle, Fake-Software-Downloads und manipulierte Werbeanzeigen verbreitet. Die Kombination aus hoher Flexibilität, effektiver Tarnung und Zugangsdaten-Exfiltration in Echtzeit macht Lumma zu einer der größten Infostealer-Bedrohungen des Jahres 2025. Gerade in der Gaming-Szene, also bereits in Kinder- und Jugendzimmern, haben diese Hochkonjunktur.

2. Vidar Stealer

Vidar ist ein leistungsstarker Infostealer, der seit 2018 aktiv ist. Er kann nicht nur Passwörter und Cookies aus Browsern extrahieren, sondern auch spezifische Dateien vom System stehlen. Vidar ist besonders gefährlich, da er sehr modular aufgebaut ist, was bedeutet, dass Angreifer die Funktionen anpassen und erweitern können.

3. Stealc Stealer

Stealc wurde erstmals im Jahr 2023 entdeckt und ist eine Weiterentwicklung bekannter Infostealer wie Vidar und Raccoon. Besonders gefährlich ist seine Fähigkeit, über 23 Webbrowser sowie Kryptowährungs-Wallets, Messenger-Dienste und E-Mail-Clients anzugreifen. Zudem verfügt Stealc über eine flexible Konfiguration, die es Angreifern ermöglicht, ihre Angriffe gezielt zu steuern.

4. RedLine Stealer

Einer der am weitesten verbreiteten Infostealer, der als Malware-as-a-Service (MaaS) verkauft wird. Er stiehlt Zugangsinformationen, Kryptowährungs-Wallets und gespeicherte Formulardaten aus Browsern.

5. Agent Tesla

Ein leistungsfähiger Infostealer mit integrierter Keylogger- und Datenexfiltrations-Funktion, der gezielt Unternehmensdaten abgreift.

6. Raccoon Stealer

Ein besonders einfacher, aber gefährlicher Infostealer, der Zugangsdaten für E-Mails, Krypto-Wallets und Browser-Konten sammelt.

7. FleshStealer

Seit September 2024 aktiv, nutzt dieser Infostealer verschlüsselte Kommunikation und virtuelle Maschinen-Erkennung, um der Analyse zu entgehen.

8. Banshee Stealer (macOS)

Ein neuer Infostealer, der speziell für Apple-Geräte entwickelt wurde. Dies zeigt, dass macOS-Systeme mittlerweile genauso betroffen sind wie Windows.

Die Folgen: Identitätsdiebstahl – Cyberkriminelle stehlen Anmeldeinformationen als Ware für das Darknet

Sobald Infostealer eine Identität kompromittiert haben, werden die erbeuteten Daten oft im Darknet verkauft. Dort kaufen Cyberkriminelle vollständige Zugangsdaten für Online-Dienste, Firmennetzwerke oder Finanzkonten.

Was passiert mit gestohlenen Zugangsdaten?

• Verkauf auf Marktplätzen im Darknet: Zugangsdaten-Pakete sind oft für wenige Euro erhältlich.
• Gezielte Angriffe auf Unternehmen: Gestohlene Business-Konten werden für CEO-Fraud, Phishing-Kampagnen oder interne Manipulationen genutzt.
• Einstiegspunkt für Ransomware-Angriffe: Viele Ransomware-Gruppen kaufen Zugangsdaten, um Unternehmen zu infiltrieren.
• Identitätsdiebstahl & Kontoübernahmen: Bankkonten, E-Mail-Postfächer oder Social-Media-Accounts werden manipuliert oder weiterverkauft.

Das „No-Hack“-Problem

Früher mussten Cyberkriminelle Systeme aufwändig knacken, Sicherheitslücken ausnutzen oder Firewalls umgehen. Heute genügt es, auf dem Schwarzmarkt gestohlene Logins zu kaufen und sich als rechtmäßiger Nutzer anzumelden.

Diese Methode ist besonders gefährlich, weil:

1. Sie keine Sicherheitsalarme auslöst – Es gibt keine auffälligen Login-Versuche oder Brute-Force-Angriffe.
2. Sie plattformübergreifend funktioniert – Windows, macOS, Cloud-Dienste – überall, wo Nutzer ihre Passwörter speichern, sind sie angreifbar.
3. Sie hochgradig gezielt eingesetzt wird – Angreifer haben direkten Zugriff auf Konten mit echten Anmeldeinformationen, wodurch Angriffe schwerer zu entdecken sind.

Sicherheit für Unternehmen: Wie kann man sich gegen Infostealer schützen?

Da herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen, müssen Unternehmen und Privatpersonen auf mehrschichtige Sicherheitsstrategien setzen:

1. Starke Authentifizierung nutzen

• Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst wenn Passwörter gestohlen werden, bietet MFA eine weitere Hürde. Diese Hürde wird vor allem in WLAN-Netzen bereits sehr erfolgreich umgangen, wie zum Beispiel in HotSpots, Hotel WLANs etc. Als Stichwort kann hier Pineapple von Hak5 genannt werden.
• Browser-Speicherung von Passwörtern deaktivieren: Infostealer extrahieren gespeicherte Anmeldedaten mühelos. Dieses muss zentral und unternehmensweit auf allen Systemen erwirkt werden.

2. Erweiterte Endpoint-Sicherheit einsetzen

• EDR/XDR-Lösungen nutzen: Ein modernes EDR/XDR ist der obligatorische Basisschutz für jedes Unternehmen. Es hält erfolgreich einfache Angriffsformen fern. Ebenso wichtig wie die Installation ist die proaktive dauerhafte Betreuung und Überwachung dieses Systems. Dies erfordert tieferes Sicherheits-, Prozess- und Netzwerkverständnis.
• Zero Trust Security umsetzen: Um Ihre Sicherheit grundlegend zu verbessern, kommen Unternehmen heute um einen Zero Trust Schutzschirm nicht mehr vorbei. Dieser verändert Ihre Sicherheitslage fundamental. Bisher galt: „Alle Programme haben die gleichen Rechte und Zugriffe und Möglichkeiten und zwar die des gerade angemeldeten Users“. Und genau das ist heute fatal, denn so kann sich unbemerkt Software oder ein Skript aktivieren, welches Zugriff auf alle Daten des Users erhält, sowie den Internetzugang des Users. Perfekt um Daten abzugreifen oder zu zerstören oder um eine Backdoor bzw. ReverseShell zu etablieren. Ein Virenschutz arbeitet nur auf Detektion, er versucht das Böse zu erkennen. Das ist heute nicht mehr ausreichend und schützt nur vor sehr einfachen Angriffsverfahren. Durch ein Ringfencing mit dem Zero Trust Schutz schützen Sie sich auch vor unbekannten Angriffsverfahren. Es minimiert das Risiko, indem es die Sichtbarkeit Ihrer Daten minimiert und nur noch den bekannten Programmen gestattet. Außerdem können die Programme keine neuen Programme/Prozesse mehr starten (Bsp. Microsoft Teams oder einen Browser). Alles Unbekannte wird pauschal blockiert. Die InfoStealer und Hacker nutzen heute viele Tools die fest in Windows integriert sind, die sogenanten LOLBAS Tools. Der Virenschutz und auch eine Whitelisting Lösung erlaubt diese, da Sie benötigt werden. Durch den Ringfencing Teil im Zero Trust Schirm, werden diese Tools so eingeschränkt, dass diese keinen Internetzugang mehr haben und auf Ihre Daten nicht mehr zugreifen können. Mit den LOLBAS Tools arbeiten die Angreifer unter dem Radar der EDR/XDR-Systeme. Durch den Zero Trust Schutzschirm beschränken Sie die Möglichkeiten dieser Tools. Außerdem können Sie die Sichtbarkeit Ihrer Netzwerkdienste durch Zero Trust NAC so steuern, dass nur Ihre Geräte diese noch nutzen und sehen können. Sie verschatten Ihre IT vor allem vor Fremden. Anwender sind heute massiv überfordert, Schädliches zu erkennen. Und moderne KI Verfahren werden dies weiter verschärfen.

3. Passwörter regelmäßig ändern und überwachen

Das zu häufige ändern von Passwörtern sorgt bei den Mitarbeitern für wenig Akzeptanz. Wir hatten bisher empfohlen, diese einmal pro Jahr zu ändern. Durch die neue Situation der InfoStealer heißt dies jedoch, dass Angreifer bis zu einem Jahr valide Anmeldedaten besitzen und diese handeln. Daher sollten Sie das Intervall heute deutlich kürzer einplanen.

• Passwort-Manager nutzen: Ein sicheres Tool hilft, starke und einzigartige Passwörter zu erstellen.
• Leaked Credentials prüfen: Dienste wie Have I Been Pwned informieren, wenn Passwörter kompromittiert wurden.

4. Mitarbeiterschulungen zu Phishing und Malware-Gefahren

• Phishing-E-Mails und betrügerische Webseiten erkennen.
• Keine Software von unbekannten Quellen herunterladen: Jede neue Software sollte durch einen Prüfprozess laufen. Mit welchen Internetressourcen spricht das Programm? Welche Dateien ändert das Programm bei der Installation und bei der Ausführung. Welche Änderungen an der Windows Registry werden vorgenommen? Auch diese Änderungen werden durch einen Zero Trust Schutzschirm vorab genau durchleuchtet und die Software bei Unbedenklichkeit freigeben. Wir erleben nahezu jeden Monat Software Rollouts, bei denen die Programme sehr seltsame Aktivitäten aufweisen und wir daraufhin den Hersteller darauf ansprechen. In keinem dieser Fälle wusste der Hersteller bereits davon, doch durch unser Eingreifen konnte ein Schaden im Vorhinein abgewendet werden. Hierzu zählen auch Kunden im Versorgerbereich.
• Links und Absenderadressen sollten dementsprechend immer überprüft werden.

5. Netzwerkverkehr und Datenabfluss überwachen

• DLP-Tools (Data Loss Prevention) einsetzen, um unbefugte Datenübertragungen zu erkennen.
• Firewall-Regeln anpassen: Erstellen Sie ein DENY ALL und erlauben Sie nur das nötigste.
• DNS-Filter: Steuern Sie alle DNS-Anfragen über einen DNS-Filter und detektieren Sie so schnell Anomalien.

Fazit: IT-Sicherheit muss sich anpassen – traditionelle Schutzmaßnahmen scheitern

Die größte Bedrohung ist heute nicht mehr der Hacker, der versucht, sich gewaltsam Zugang zu verschaffen – sondern der Cyberkriminelle, der sich einfach mit echten Zugangsinformationen einloggt.

Infostealer wie RedLine, Vidar, Stealc und Lumma zeigen, dass die herkömmliche Passwort-Sicherheit überholt ist. Unternehmen und Privatpersonen müssen sich darauf einstellen, dass gestohlene Zugangsinformationen jederzeit zum Verkauf stehen – und entsprechend handeln.

Das hat direkte Auswirkungen auf Ihre gesamte IT-Sicherheitsstrategie.

Das bedeutet:

• Perimetersicherheit allein reicht nicht mehr aus – es braucht Zero Trust, kontinuierliche Überwachung und adaptive Authentifizierung.
• Passwörter sind keine sichere Authentifizierungsmethode mehr – MFA und passwortlose Verfahren müssen zum Standard werden.
• Unternehmen und Privatpersonen müssen sich bewusst machen, dass ihre Anmeldedaten jederzeit kompromittiert werden können.
• Es sind von der IT Werkzeuge zu liefern, die es Usern einfach machen, erhöhte Sicherheit zu leben, so dass dies nicht zum Nervfaktor wird. Wenn dieser z.B. für jedes Produkt einen eigenen MFA-Prozess durchlaufen muss, ohne durch Software unterstützt zu werden, ist er schnell gereitzt.

ADVANCED ist ein IT-Systemhaus mit dem Schwerpunkt auf Cybersecurity. Seit über 25 Jahren beraten und betreuen wir mittelständische Kunden stets auf Augenhöhe, zielgerichtet und ganzheitlich. Dabei behalten wir Ihre Unternehmensziele immer im Blick.

Sprechen Sie uns gern an, wir sind für Sie da.

Bleiben Sie sicher / Stay secure.