Malware-freie Angriffe stoppen:: Warum Prävention wichtiger ist als Erkennung
Malware-freie Angriffe dominieren die Bedrohungslage. Statt Schadsoftware missbrauchen Angreifer legitime Werkzeuge und Identitäten. Klassische Erkennung greift zu kurz. Warum Living-off-the-Land-Attacken zunehmen – und wie Zero-Trust-Strategien sie wirksam blockieren.
Der Kampf gegen Ransomware bleibt für viele Unternehmen das zentrale Sicherheitsthema. Mehr als drei Viertel der Verantwortlichen nennen sie als größte Sorge. Gleichzeitig entstehen täglich über 450.000 neue Malware-Varianten. Doch der Blick auf aktuelle Bedrohungsberichte zeigt eine noch gravierendere Verschiebung: Angriffe ganz ohne klassische Schadsoftware haben sich zum dominierenden Angriffsmodell entwickelt. Laut dem Global Threat Report von CrowdStrike machten malware-freie Attacken 2024 bereits 79 Prozent aller erkannten Bedrohungen aus – gegenüber 40 Prozent im Jahr 2019.
Diese auch als Living-off-the-Land- (LotL-) oder Fileless-Angriffe bezeichneten Methoden sind besonders schwer zu erkennen. Sie nutzen vorhandene Werkzeuge, Prozesse und Identitäten innerhalb der Zielumgebung. Für Sicherheitsteams sehen diese Aktivitäten oft wie legitime Administration aus, obwohl sich Angreifer bereits lateral bewegen oder sensible Daten abgreifen.
Wie LotL-Angriffe funktionieren
Bei malware-freien Angriffen kompromittieren Angreifer keine Systeme durch neue Dateien, sondern durch den Missbrauch bestehender Mittel. Gültige Anmeldedaten, administrative Werkzeuge oder systemeigene Skriptumgebungen reichen aus, um unentdeckt zu bleiben. Ein einzelner erfolgreicher Login kann genügen, um einen gesamten Angriffspfad zu eröffnen.
Gängige Einstiegspunkte und Techniken
Ein besonders häufiger Startpunkt sind Social-Engineering-Kampagnen. Der „2025 Data Breach Investigations Report“ von Verizon zeigt, dass Social Engineering fast ein Viertel aller externen Sicherheitsvorfälle ausmacht. Phishing steht dabei mit 57 Prozent weiterhin an der Spitze. Eine überzeugend gestaltete E-Mail kann Anwender dazu bringen, Angreifern unbewusst Tür und Tor zu öffnen.
Noch effektiver sind gestohlene Zugangsdaten. Der oft zitierte Satz „Hacker brechen nicht ein, sie loggen sich ein“ trifft heute mehr denn je zu. Drei von vier Angriffen basieren auf gültigen Anmeldedaten. Sind diese erst einmal kompromittiert, bewegen sich Angreifer nahezu geräuschlos durch das Netzwerk.
Nach dem Erstzugriff kommen häufig native Systemwerkzeuge wie PowerShell oder Windows Management Instrumentation zum Einsatz. Sie gelten als vertrauenswürdig und lösen kaum Alarme aus. Hinzu kommt die zunehmende Ausnutzung von Schwachstellen: Zero-Day-Exploits haben in den letzten fünf Jahren um 141 Prozent zugenommen. Verzögerte Patch-Prozesse eröffnen Angreifern ein ideales Zeitfenster.
Auch Angriffe auf die Lieferkette spielen eine wachsende Rolle. In der ersten Hälfte des Jahres 2025 waren sie häufiger der initiale Angriffsvektor als klassische Ransomware. Manipulierte Updates oder kompromittierte Open-Source-Komponenten wirken legitim, enthalten jedoch versteckte Hintertüren.
Reale Beispiele aus der Praxis
Der SolarWinds-Vorfall gilt als Paradebeispiel. Die staatlich unterstützte Gruppe APT29 schleuste eine Hintertür in die Orion-Plattform ein. Für die Opfer wirkte das Update harmlos, tatsächlich ermöglichte es Angreifern weitreichende laterale Bewegungen mit legitimen Zugangsdaten.
Ähnlich agierte die Lazarus Group bei Angriffen auf Unternehmen aus der Kryptowährungsbranche. Spear-Phishing, gestohlene Anmeldedaten und PowerShell-Skripte reichten aus, um komplexe Angriffe umzusetzen. Auch der Astaroth-Banking-Trojaner zeigte früh, wie sich native Windows-Prozesse für verdeckte Angriffe missbrauchen lassen.
Warum klassische Schutzmodelle versagen
Viele Organisationen setzen weiterhin stark auf Endpoint Detection and Response (EDR. Doch diese erkennungsbasierten Ansätze reagieren erst, wenn verdächtige Aktivitäten sichtbar werden. Ein Red-Team-Assessment der Cybersecurity and Infrastructure Security Agency (CISA) in den USA kommt zu dem Schluss, dass eine übermäßige Abhängigkeit von EDR nicht hilfreich ist, um LotL-Angriffe zu stoppen.
Zusätzliche Risiken entstehen durch Maschinenidentitäten. Dienstkonten und Workload-Identitäten machen heute über 70 Prozent aller Identitäten aus. Gleichzeitig werden nur 2,6 Prozent ihrer Berechtigungen aktiv genutzt, während 51 Prozent vollständig inaktiv sind. Diese überprivilegierten Konten sind ein ideales Ziel für Angreifer.
Verstärkt wird diese Entwicklung durch Künstliche Intelligenz (KI). Angreifer erstellen damit heute innerhalb weniger Minuten hochgradig personalisierte Phishing-Nachrichten. Studien des Massachusetts Institute of Technology (MIT) zeigen, dass 80 Prozent der untersuchten Kampagnen KI nutzten – von Deepfake-Techniken bis hin zum automatisierten Knacken von Passwörtern.
Identität wird zum neuen Perimeter
Access-as-a-Service-Modelle boomen. Die Werbung für Access-Broker stieg 2024 um 50 Prozent. Wie Chris Boehm, Field Chief Technology Officer bei Zero Networks, betont: „Die meisten Netzwerke wurden nie dafür konzipiert, Identität als Segmentierungsgrenze zu behandeln.“ Genau hier setzen moderne Angriffe an.
Prävention statt Reaktion
Malware-freie Angriffe lassen sich nicht zuverlässig erkennen, wohl aber verhindern. Entscheidend ist, Angreifern nach dem Erstzugriff jede Möglichkeit zur lateralen Bewegung zu nehmen. Zero-Trust-Mikrosegmentierung schafft hierfür die Grundlage, indem sie für jedes Asset und jede Identität klar definierte Kommunikationsregeln durchsetzt. Die automatisierte Mikrosegmentierung hält Schritt mit nahtlosen Anpassungen an Veränderungen in Cloud-, Hybrid- und lokalen Infrastrukturen sowie der dynamischen Erstellung von Richtlinien.
Ergänzt wird dies durch identitätsbasierte Segmentierung und Just-in-Time-Multi-Faktor-Authentifizierung für privilegierte Zugriffe. Selbst gestohlene Administratoranmeldedaten verlieren so ihren Wert.
Zero Networks kombiniert diese Prinzipien in einer automatisierten, identitätsbewussten Mikrosegmentierungsplattform. Laut Chris Turek, Chief Information Officer bei Evercore, entsteht dadurch „eine neue Sphäre von Sicherheitsfunktionen“. Die Architektur mit geringsten Privilegien blockiert laterale Bewegungen konsequent – und macht malware-freie Angriffe von einer unsichtbaren Gefahr zu einer Sackgasse für Angreifer.
Kay Ernst, Manager DACH bei Zero Networks
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
