WatchGuard Technologies
Botnets sorgen für die volumenstärksten Netzwerkangriffe.
WatchGuard ist ein Anbieter von Cybersicherheitslösungen, der sich auf Netzwerksicherheit (Firewalls), Endpunktschutz, Multi-Faktor-Authentifizierung (MFA) und sicheres WLAN konzentriert. Das Unternehmen verfolgt einen Unified Security Platform-Ansatz, bei dem alle Dienste zentral über die WatchGuard Cloud verwaltet werden. Im Interview erzählt Corey Nachreiner, Chief Security Officer (CSO) bei WatchGuard Technologies, warum Automatisierung auch das Cybercrime verändert.
Im Internet Security Report Q2/2025 konstatierte WatchGuard: Die Quantität von Netzwerkangriffen steigt, die Vielfalt nimmt ab. Werden Cyberkriminelle einfallsloser?
Nein, Cyberkriminelle werden nicht einfallsloser. Was wir beobachten, sind vielmehr die Auswirkungen von zunehmender Automatisierung. Die sichtbarsten und volumenstärksten Netzwerkangriffe werden heute überwiegend von Botnets und frei verfügbaren Exploit-Frameworks ausgelöst. Diese Tools sind auf Masse und Effizienz ausgelegt und bestechen nicht unbedingt durch besondere Intelligenz.
Botnets enthalten oft Module, mit denen sich nach der Kompromittierung eines Systems große IP-Bereiche scannen lassen, sowohl innerhalb interner Netzwerke als auch im gesamten Internet – zur Suche nach weiteren potenziellen Opfern. Die zugrunde liegenden Exploit-Bibliotheken setzen meist auf ältere, gut dokumentierte Schwachstellen. Diese sind leicht verfügbar und lassen sich problemlos in automatisierte Angriffskampagnen integrieren. Deshalb sehen wir weiterhin enorme Mengen an Traffic, der auf Sicherheitslücken zielt, die nach heutigen Maßstäben eigentlich längst überholt sind.
Entdecken Angreifer neue oder Zero-Day-Sicherheitslücken, versuchen sie, diese möglichst lange geheim zu halten. Großflächige, leicht erkennbare Scan-Aktivitäten würden einen solchen Exploit schnell enttarnen und damit seine Lebensdauer verkürzen. Entsprechend kommen solche Techniken kaum bei breit angelegten Attacken zum Einsatz. Das bedeutet nicht, dass es keine neuen oder kreativen Angriffsmethoden gibt – sie werden nur nicht in den üblichen Dashboards sichtbar.
Unser Internet Security Report basiert primär auf Telemetriedaten aus Intrusion-Prevention-Systemen, die darauf ausgelegt sind, bekannte Exploits zu erkennen. Per Definition schlagen diese nicht bei Zero-Day-Schwachstellen oder völlig neuen Techniken an. Die Daten zeigen daher vor allem die am häufigsten automatisierten Angriffe, nicht die innovativsten. Mit anderen Worten: Wir messen, was sich am leichtesten beobachten lässt und das sind in der Regel die standardisierten Angriffsmuster. Neue Bedrohungen werden jedoch von unserer Network Detection and Response (NDR)-Lösung erkannt, deren Telemetriedaten derzeit jedoch noch nicht in den Report einfließen.
Grundsätzlich gehen wir davon aus, dass ausgefeiltere Angriffe gleichzeitig zunehmen. Diese sind allerdings schwerer zu erkennen, weil sie unauffälliger, selektiver und auf bestimmte Ziele zugeschnitten sind. Automatisierte Angriffe mögen unspektakulär wirken, jedoch sind sie günstig, skalierbar und verursachen kaum laufenden Kosten für Angreifer. Deshalb dominieren sie zahlenmäßig.
Fazit: Die am häufigsten beobachteten Angriffe wirken banal, weil Automatisierung einfache Muster bevorzugt. Kreative Angriffe gibt es nach wie vor, sie lassen sich nur deutlich schwerer erfassen.
Eine andere Aussage in diesem Kontext war: Wardriving ist zurück. Beim Wardriving fahren Hacker durch Wohngebiete oder Geschäftsviertel und nutzen Laptops oder Smartphones, um ungesicherte oder schlecht gesicherte WLAN-Netzwerke zu scannen und zu kartieren. Warum kehrt dieses Angriffsszenario der frühen Nullerjahre zurück?
Wardriving ist eigentlich nie verschwunden. Seit jeher stellen drahtlose Netzwerke potenzielle Einstiegspunkte für Angreifer dar, die sich physisch in der Nähe eines Ziels befinden. WLANs und andere Funksignale wie Bluetooth, Nahfeldkommunikation (NFC) oder Funkfrequenz-Identifikation (RFID) werden über gängige Geräte erkannt, ihre Absicherung bewertet und potenzielle Schwachstellen identifiziert. Im Ursprung bezog sich Wardriving dabei tatsächlich auf Menschen, die mit Laptops durch Straßen fahren und Netzwerke kartieren. Heute umfasst es jede Form der drahtlosen Erfassung.
Die Einstiegshürden sind deutlich gesunken und entsprechende Werkzeuge inzwischen vollständig kommerzialisiert. Netzwerke lassen sich über frei verfügbare Hardware (wie HAK5 Pineapples) und Software automatisch erfassen und schwache Konfigurationen ausfindig machen, selbst einfache Angriffe sind damit ausführbar. Was früher einiges an technischem Know-how erforderte, ist heute weitgehend per Mausklick möglich. Und solange es zuverlässig funktioniert, wird Wardriving attraktiv bleiben. Angreifer, die keinen leichten Zugang über das Internet finden, suchen sich eben alternative Angriffsflächen – und drahtlose Netzwerke gehören dazu, als weitere Tür, die nur einmal geöffnet werden muss.
Ihr Unternehmen verfolgt einen Unified Security Platform-Ansatz – können Sie das ein wenig näher erklären?
Die Unified Security Platform ist darauf ausgelegt, Sicherheit zu vereinfachen, ohne Schutz einzubüßen. Viele Unternehmen sind von der enormen Vielzahl an verfügbaren Security-Werkzeugen heutzutage schlicht und ergreifend überwältigt. Konzerne setzen teils über hundert Produkte ein, mittelständische Betriebe mehr als fünfzig und selbst kleine Firmen verwalten oft Dutzende Lösungen. Jedes Tool löst ein Problem, bringt aber zusätzliche Kosten, Komplexität, Schulungsaufwand und operative Reibungsverluste mit sich.
Gerade im Netzwerkbereich lässt sich diese Entwicklung gut nachvollziehen: Zunächst gab es einfache Firewalls, später wurden diese zunehmend auf Anwendungssicherheit ausgerichtet. Dann kamen als weitere Schichten Intrusion Prevention – zur Abwehr bekannter Angriffe – und Malware-Protection als Schutzschild gegenüber bösartigen Dateien hinzu, gefolgt von Bausteinen zur E-Mail-Sicherheit, um Spam und Phishing zu filtern, DNS- und Domain-Blockierung zur Verhinderung des Zugriffs auf bösartige Websites und weitere Datenschutzkontrollen, um Datenverluste zu reduzieren. Dasselbe Muster findet sich bei Security-Konzepten rund um Endpunkte, Identitäten, Clouds und andere Teile der IT-Umgebung. Jede neue Bedrohung brachte ein weiteres Produkt zutage.
Das Ergebnis ist eine fragmentierte Sicherheitslandschaft mit vielen Oberflächen, Richtlinien, Updatezyklen und Alarmquellen – und entsprechend hohem Personalbedarf. Für kleine und mittlere Unternehmen (KMU) sowie Managed Service Provider (MSP), die vielen Kunden konsistente Sicherheit bieten müssen, ist das kaum praktikabel. Die meisten verfügen nicht über das Personal oder das Budget, um ein solch großes Set an unverbundenen Tools zu verwalten.
Hier spielt der Plattformansatz seine Stärken aus: Zahlreiche, sich ergänzende Sicherheitsfunktionen werden unter einer Oberfläche gebündelt – mit zentraler Transparenz, einheitlichen Richtlinien und geteilter Threat Intelligence. Ein passender Vergleich ist das Smartphone: Früher brauchte man separate Geräte für Telefonie, Navigation, E-Mail und Fotografie. Die Zusammenführung auf einem Gerät hat diese Technologien für alle zugänglich gemacht. Unified Security verfolgt denselben Gedanken für Cybersicherheit.
Durch entsprechende Konsolidierung sinkt der Verwaltungsaufwand bei gleichzeitiger Stärkung des Zusammenspiels der einzelnen Schutzmechanismen. Warnmeldungen werden aussagekräftiger, Richtlinien lassen sich konsistent umsetzen, und Sicherheitsteams verbringen weniger Zeit mit der Verwaltung der einzelnen Lösungen. Stattdessen können sie sich mit echtem Risikomanagement befassen. Für KMU und MSP macht dieser Ansatz Sicherheit auf Unternehmensniveau in großem Maßstab alltagstauglich.
WatchGuard bietet ein breites Spektrum an Endpoint-Lösungen an, die oft KI-gestützte Verhaltensanalysen nutzen. Was sind derzeit die kritischsten Punkte?
Wenn wir uns die heutigen Endpunktbedrohungen ansehen, stechen zwei Themen besonders hervor. Erstens: hochgradig angepasste, schwer erkennbare Malware. Angreifer verschicken heute nicht mehr dieselbe Malware-Datei an tausende Opfer. Stattdessen erhält jedes Ziel eine auf Binärcode-Ebene leicht veränderte Version. Durch Packing, Verschlüsselung und Neukompilierung sieht jede Datei anders aus.
Klassische signaturbasierte Erkennung verliert dadurch an Wirksamkeit. Wer diese Art von polymorpher Malware erkennen will, muss bei der Endpunktsicherheit auf moderne, proaktivere Erkennungstechniken wie Machine Learning, KI und Verhaltensanalyse setzen. Entscheidend ist nicht mehr, ob eine Datei vertraut aussieht, sondern ob sie sich nach dem Start bösartig verhält. Diese Verlagerung von der statischen Überprüfung zur Kontrolle des Laufzeitverhaltens ist unerlässlich, um mit modernen Bedrohungen Schritt zu halten.
Der zweite wichtige Punkt ist der starke Anstieg von Living-off-the-Land-Angriffen (LotL). Häufig beginnt Kompromittierung heutzutage ganz ohne Malware. Angreifer nutzen zunehmend legitime Betriebssystem-Tools, um schädliche Aktivitäten durchzuführen. Kommandozeilenprogramme oder Windows PowerShell werden in der Regel von Administratoren verwendet, lassen sich aber ebenso leicht für Angriffe einsetzen, wenn die Zugangsdaten kompromittiert wurden. Neben diesen bekannten Tools gibt es Hunderte von integrierten Binärdateien, die für Angriffe zweckentfremdet werden können. Eine umfassende Liste davon findet sich im LOLBAS-Projekt.
Unsere Endpunkt-Telemetrie zeigt, dass ein erheblicher Teil der Angriffe über manipulierte Skripte oder den Missbrauch legitimer Systemprozesse startet. Das erschwert die Erkennung, da traditionelle Antiviren-Tools nicht darauf ausgelegt sind, legitime Prozesse mit ungewöhnlichem Verhalten zu melden. Hier zählen Endpoint Detection and Response (EDR)-Lösungen, die das Laufzeitverhalten überwachen und die auffällige Nutzung von Standardtools erkennen.
Ein groß diskutiertes Thema ist derzeit Identitätsschutz. Auf was sollten Unternehmen besonders achten, woran hapert es zumeist?
Identitätsschutz sollte eigentlich kein Diskussionsthema sein. Identität ist die Grundlage jeder Sicherheitsarchitektur. Es gilt der Spruch: Angreifer hacken nicht – sie loggen sich ein. Das fasst das Problem gut zusammen. Wenn es gelingt, sich als legitimer Benutzer auszugeben, lassen sich die meisten Sicherheitskontrollen ungehindert passieren. An diesem Punkt bieten selbst sehr starke Abwehrmaßnahmen nur noch begrenzten Schutz. Mehrfach wiederverwendete Passwörter, schwache Kennwörter oder Anmeldedatenlecks bei Drittanbietern bereiten Cyberkriminellen den Weg. Kürzere oder schwächere Passwörter werden, selbst wenn sie gehasht sind, oft geknackt. Da zahlreiche Benutzer für private und geschäftliche Konten nach wie vor gleiche Anmeldedaten verwenden, kann eine Sicherheitsverletzung an anderer Stelle leicht zu einer Gefährdung des Unternehmens führen. Phishing spielt ebenfalls weiterhin eine große Rolle, darunter auch fortgeschrittenere Man-in-the-Middle-Angriffe, bei denen Anmeldedaten und Sitzungscookies gestohlen werden.
Eine der wichtigsten Maßnahmen, die Unternehmen ergreifen sollten, ist die konsequente Durchsetzung von Multifaktor-Authentifizierung (MFA) für alle Benutzer – nicht nur für Administratoren oder Anwender mit wichtigen Rollen. Viele Unternehmen geben an, MFA zu verwenden, in der Praxis geschieht dies jedoch oftmals nicht flächendeckend. Das kann sich schnell rächen. Passwortlose Authentifizierung verbessert die Benutzerfreundlichkeit, muss aber dennoch mit einer starken MFA im Hintergrund verbunden sein. Moderne Single-Sign-On-Lösungen tragen dazu bei, Reibungsverluste zu reduzieren und sorgen gleichzeitig für hohe Wirksamkeit dieser zusätzlichen Schutzebene.
In dem Zusammenhang ist der Fernzugriff ein weiterer wichtiger Schwerpunkt. Hybrides Arbeiten und Remote-Arbeit sind mittlerweile Alltag, und dieselben Systeme, die den Fernzugriff so bequem machen, machen ihn auch zu einem attraktiven Ziel für Angreifer. Ungeschützte Fernzugriffsdienste sind ein beliebtes Angriffsziel – oft reichen kompromittierte Zugangsdaten, um einzudringen. Es ist daher unerlässlich, unnötige Risiken zu minimieren und für jeden Fernzugriff eine MFA einzurichten.
Letztendlich scheitert Identitätssicherheit meist nicht an besonders ausgefeilten Attacken, sondern aufgrund einfacher Lücken, die in großem Umfang ausgenutzt werden. Starke, konsequente Identitätskontrollen verhindern einen Großteil der Angriffe. Deshalb verdient Identität mehr Aufmerksamkeit und sollte nicht diskutiert werden.
Für welche Unternehmen und Branchen ist WatchGuard besonders geeignet?
WatchGuard eignet sich besonders gut für KMU und die Dienstleister, die diese Firmen betreuen. Hier bietet WatchGuard starke Sicherheit, ohne die Komplexität und den zusätzlichen Ressourcenaufwand großer Enterprise-Plattformen in Kauf nehmen zu müssen.
Viele unserer Kunden sind Unternehmen mit verteilten Standorten, mit vielleicht Hunderten oder sogar Tausenden Mitarbeitenden, die sowohl in der Zentrale als auch in Außenstellen, Filialen oder remote verbunden und abgesichert sein müssen. Unsere Plattform ist darauf ausgelegt, Sicherheit in solchen Umgebungen einfach und ohne großes internes Security-Team zu verwalten.
Ein besonders starker Fokus liegt dabei für uns auf den Anforderungen von Managed Service Providern (MSP) und Managed Security Service Providern (MSSP). Die meisten KMU verwalten ihre Cybersicherheit nicht komplett selbst, sondern verlassen sich auf vertrauenswürdige Partner, die IT- und Sicherheitsdienste in großem Umfang bereitstellen. Entsprechend haben wir unsere Plattform bewusst MSP-freundlich gestaltet, mit zentraler Verwaltung, Automatisierung und effizientem Mandantenbetrieb.
Einsetzbar sind unsere Lösungen in allen Branchen, wir sehen jedoch eine besonders starke Nachfrage in Einzelhandel, Gesundheitswesen, Bildung, Fertigung, öffentlicher Verwaltung und im Sektor professioneller Dienstleistungen. Diese Organisationen teilen ähnliche Herausforderungen: begrenzte Ressourcen, verteilte Standorte und den Bedarf an zuverlässigem Schutz, der einfach zu implementieren und zu handhaben ist. Kurz gesagt: WatchGuard richtet sich an Unternehmen, die umfassende und schlagkräftige Sicherheit ohne die Komplexität überdimensionierter Lösungen brauchen – und an Dienstleister, die diesen Schutz für viele Kunden konsistent bereitstellen wollen.
