Das klassische Sicherheitsmodell „schadhaften Code erkennen und blockieren“ verliert rasant an Wirksamkeit. Moderne Angreifer setzen immer seltener auf eindeutig erkennbare Malware und nutzen stattdessen die Werkzeuge, die in nahezu jeder Unternehmensinfrastruktur bereits vorhanden sind: administrative Standardtools, vertrauenswürdige System-Binaries und eingebaute Skript-Engines. Dieser Ansatz wird als Living off the Land (LOTL) bezeichnet und verwandelt gewohnte Verwaltungswerkzeuge in einen kaum sichtbaren Angriffsvektor.
Warum LOTL-Angriffe zur neuen Normalitaet in der IT-Sicherheit werden
Aus der Analyse von über 700.000 schwerwiegenden Sicherheitsvorfällen laesst sich ein klarer Trend ablesen: In bis zu 84 % der Angriffe kommen legitime Werkzeuge zum Einsatz, um Schutzmechanismen zu umgehen. Im Gegensatz zu klassischer Malware verschmelzen diese Aktivitaeten mit der regulaeren Systemnutzung – im Log sieht ein Angriff oft aus wie normale Administratorarbeit.
Besonders haeufig missbrauchen Angreifer integrierte Komponenten wie PowerShell, WMIC, Certutil oder andere Windows-Bordmittel. Im Ereignisprotokoll erscheint dies als harmloser Aufruf eines Skripts, als Zertifikatsoperation oder als scheinbar uebliche Systemabfrage. Die Unterscheidung zwischen berechtigter Nutzung und boesartiger Aktivitaet wird damit zur anspruchsvollen Analyseaufgabe – vor allem in grossen, heterogenen Umgebungen.
So entsteht eine gefaehrliche blinde Fleckzone: Sicherheitsteams können sich nicht mehr allein auf das Aufspüren „schlechter Dateien“ verlassen, sondern müssen Verhaltensmuster und Kontext von Befehlen in Echtzeit bewerten. Während diese Bewertung laeuft, verschaffen sich Angreifer oft bereits dauerhaften Zugriff, fuehren interne Aufklaerung durch und bewegen sich seitwaerts in der Infrastruktur.
Windows-Bordmittel als interne Angriffsoberflaeche
Selbst eine frische Installation von Windows 11 enthaelt hundertfach signierte System-Binaries, von denen viele in Projekten wie LOLBAS (Living Off the Land Binaries and Scripts) als potenziell missbrauchbar dokumentiert sind. Diese Komponenten sind fester Bestandteil des Betriebssystems, vom Hersteller signiert und geniessen daher hohes Vertrauen bei Administratoren und Sicherheitsloesungen.
Studien zeigen, dass bis zu 95 % der Aufrufe risikoreicher System-Utilities aus Sicht des Tagesgeschaefts entbehrlich sind. Ursache sind zu grosszuegige Standardberechtigungen und kaum regulierte, maechtige Funktionen: etwa Remote-Befehlsausführung, Download und Entschluesselung von Daten oder weitreichende Konfigurationsaenderungen. Angreifer nutzen genau diese selten kontrollierten Fähigkeiten weitaus konsequenter als viele IT-Teams.
Jede nicht eingeschraenkte Berechtigung wird damit zu einem moeglichen Angriffsweg. Müssen keine neuen Programme eingeschleust werden, sondern reicht der Missbrauch bereits vorhandener, vertrauenswürdiger Komponenten aus, geraten traditionelle, perimeterorientierte Schutzkonzepte strukturell ins Hintertreffen.
Grenzen von EDR/XDR: Wenn Erkennung zur Interpretationsaufgabe wird
Loesungen der Klassen Endpoint Detection & Response (EDR) und Extended Detection & Response (XDR) bleiben unverzichtbar, um Anomalien und bekannte Angriffsmuster zu identifizieren. Mit der Zunahme von LOTL-Techniken verschiebt sich der Schwerpunkt jedoch: Sicherheitsprodukte müssen immer haeufiger interpretieren, ob ein konkreter PowerShell-Befehl Teil eines legitimen Automatisierungsskripts oder einer laufenden Attacke ist.
Hinzu kommt der Faktor Zeit. Angreifer setzen selbst auf Automatisierung und kuenstliche Intelligenz, um schnell auf Blockierungen zu reagieren, Varianten durchzuspielen und ihre Taktik anzupassen. Bis ein verdachtbehaftetes Ereignis vom Security Operations Center endgültig bewertet ist, kann die seitwaertige Bewegung im Netzwerk bereits abgeschlossen, Persistenz eingerichtet und ein Kanal zur Datenexfiltration vorbereitet sein. Reine Detektion reicht nicht mehr aus – die Angriffsoberflaeche im Inneren muss aktiv reduziert werden.
Interne Angriffsoberflaeche messen: Von der Theorie zur konkreten Risiko-Landkarte
Unter der internen Angriffsoberflaeche versteht man die Gesamtheit aller legitimen Mittel, mit denen ein Angreifer sich nach dem ersten Eindringen weiter im Netzwerk ausbreiten kann: administrative Tools, Skripte, Dienstkonten, vertrauenswürdige Binaries und Automatisierungs-Frameworks. In vielen Organisationen ist dieser Bereich nur unzureichend dokumentiert; bekannt ist das Risiko, aber es fehlt eine praezise Uebersicht, welche Werkzeuge konkret welchen Benutzern zur Verfuegung stehen.
Um diese Luecke zu schliessen, bieten verschiedene Sicherheitsanbieter – unter anderem Bitdefender – kostenlose Internal Attack Surface Assessments an. Dabei wird auf Basis von Telemetrie und Konfigurationsdaten strukturiert analysiert, wo legitime Tools zu viel koennen: Wo existieren überfluessige Rechte? Welche Utilities werden ausserhalb ihres eigentlichen Einsatzzwecks genutzt? Welche Befehlsketten liessen sich zu einem erfolgreichen Angriff kombinieren?
Ein wesentlicher Vorteil dieser Bewertungen ist die geringe operative Belastung. Die Analysen erfolgen in der Regel passiv, ohne produktive Systeme oder Benutzer zu beeintraechtigen. Das Ergebnis sind priorisierte Handlungsempfehlungen: Welche Binaries sollten eingeschraenkt werden, wo müssen Berechtigungen neu zugeschnitten und an welchen Stellen zusaetzliche Richtlinien zur Skriptausführung etabliert werden sollten.
LOTL-Angriffe haben sich zum de-facto-Standard moderner Cyberkriminalitaet entwickelt. Die groesste Gefahr geht heute haeufig nicht von neuartiger Malware aus, sondern von dem, was bereits installiert, signiert und im Unternehmensalltag fest verankert ist. Organisationen, die fruehzeitig verstehen, wie ihre eingebauten Werkzeuge gegen sie eingesetzt werden koennen, koennen gezielt reagieren: Zugriff auf risikoreiche Utilities beschraenken, PowerShell und andere Automatisierungsumgebungen kontrolliert betreiben, Dienstkonten konsequent nach dem Prinzip der geringsten Rechte konfigurieren und ihre interne Angriffsoberflaeche regelmaessig bewerten. Wer diese Schritte umsetzt, erhoeht nicht nur die Chance, Angriffe frueh zu erkennen, sondern entzieht Angreifern systematisch ihren wichtigsten Hebel – die missbräuchliche Nutzung der eigenen Infrastruktur.
