Kompromittiertes System? Angreifer erreichen 85 Prozent der Umgebung

Kompromittiertes System? Angreifer erreichen 85 Prozent der Umgebung.

Um zu verstehen, wie sich erfolgreiche Angreifer nach dem ersten Zugriff entwickeln, analysierte Zero Networks über einen Zeitraum von zwölf Monaten (Dezember 2024 bis Dezember 2025) etwa 3,4 Billionen Aktivitäten in 400 Unternehmensumgebungen. Die Ergebnisse lassen eine klare Schlussfolgerung zu: Die gefährlichsten Aktivitäten sehen oft legitim aus, fügen sich in den täglichen Betrieb ein und finden nach dem ersten Zugriff statt – wenn Angreifer die Auswirkungen ihres Angriffs ausweiten.

Zusammenfassung (TL; DR):

• Daten zeigen, dass die Auswirkungen auf das Unternehmen weniger davon abhängen, wie Angreifer eindringen, sondern vielmehr davon, was sie erreichen können, sobald sie dies getan haben.
• Moderne Ransomware- und Intrusion-Kampagnen haben herkömmliche Sicherheitsmodelle überholt. Durch die systematische Umgehung von EDR- und XDR-Kontrollen, den Missbrauch legitimer Anmeldedaten und wechselnde Techniken haben Angreifer die Verteidigung zu einem reaktiven Spiel der Eskalation und Bereinigung gemacht.
• Echte geschäftliche und cybertechnische Resilienz erfordert eine Abkehr von der Denkweise „Erkennen und Reagieren“ hin zu einer standardmäßig geschlossenen Architektur, die auf dem Prinzip der geringsten Privilegien basiert.

KI-gestützte Angreifer beschleunigen den ersten Zugriff. Die Daten von Zero Networks zeigen jedoch, dass die Auswirkungen auf das Unternehmen weniger davon abhängen, wie Angreifer eindringen, sondern vielmehr davon, was sie erreichen können, sobald sie dies getan haben. Da KI-gesteuerte Sicherheitsverletzungen unvermeidlich sind, besteht der einzige dauerhafte Vorteil für Verteidiger darin, die Bewegungsfreiheit der Angreifer nach dem Eindringen zu begrenzen.

Dies hat erhebliche Auswirkungen darauf, wie Unternehmen über Prävention, Resilienz und Investitionen in Sicherheit denken. Es reicht nicht mehr aus, abzuwarten, bis eine Bedrohung entdeckt wird, um dann zu reagieren, wenn die Zugangswege, auf die sich Angreifer stützen, dauerhaft offenbleiben. Die Sicherheitsergebnisse verbessern sich am schnellsten, wenn Unternehmen den permanenten Zugriff eliminieren, die Angriffswege reduzieren und den Erfolg anhand der Zeit bis zur Eindämmung und der Verringerung des Ausmaßes der Auswirkungen messen, nicht anhand der Anzahl der Alarmmeldungen.

Hintergrund der Angreifer

Moderne Ransomware- und Intrusion-Kampagnen haben herkömmliche Sicherheitsmodelle überholt. Durch die systematische Umgehung von EDR- und XDR-Kontrollen, den Missbrauch legitimer Anmeldedaten und wechselnde Techniken haben Angreifer die Verteidigung zu einem reaktiven Spiel der Eskalation und Bereinigung gemacht. Das Versagen ist struktureller, nicht operativer Natur. Die meisten Unternehmensnetzwerke setzen nicht Tausende von Ports frei. Sie verlassen sich auf eine kleine, vorhersehbare Anzahl – in der Regel 20 bis 30 Ports –, um den Geschäftsbetrieb aufrechtzuerhalten. Innerhalb dieser Gruppe fungieren etwa zehn privilegierte Verwaltungsprotokolle (einschließlich RDP, SMB, WinRM und RPC) als hochvertrauenswürdige Autobahnen für den IT-Betrieb.

Dieselben Autobahnen sind heute für den Großteil der Ausbreitung von Sicherheitsverletzungen verantwortlich. Da sie rund um die Uhr offen und erreichbar bleiben, erhalten Angreifer, die sich einmal Zugang verschafft haben, dauerhafte laterale Bewegungspfade und benötigen selten ausgefeilte Exploits. Sie nutzen dieselben vertrauenswürdigen Zugriffspfade, auf die sich Administratoren täglich verlassen.

Echte geschäftliche und cybertechnische Resilienz erfordert eine Abkehr von der Denkweise „Erkennen und Reagieren“ hin zu einer standardmäßig geschlossenen Architektur, die auf dem Prinzip der geringsten Privilegien basiert. Durch die Beseitigung persistenter Zugriffspfade und die Durchsetzung identitätsbasierter Just-in-Time-Zugriffe wird Angreifern die Möglichkeit genommen, sich zu bewegen – oft noch bevor der erste Alarm ausgelöst wird. Aus Sicht des Geschäftsrisikos ist das Ziel strukturelle Immunität: Systeme sind standardmäßig unsichtbar, der Zugriff wird nur gewährt, wenn er ausdrücklich erforderlich ist, und der Explosionsradius wird durch das Design und nicht durch die Reaktionsgeschwindigkeit begrenzt.

Bedrohungsanalyse

Die meisten Bedrohungen sehen legitim aus – bis sie es nicht mehr sind

Die überwiegende Mehrheit der Erkennungen in diesem Datensatz stammt aus verifizierten Penetrationstests. Dies ist wichtig, da Penetrationstester sich wie echte Angreifer verhalten. Sie verwenden echte Anmeldedaten, setzen auf legitime Tools und nutzen vertrauenswürdige Zugriffspfade anstelle exotischer Schwachstellen.

In der Praxis bedeutet dies, dass Angreifer:

• mindestens 60 Prozent der Umgebung in weniger als einer Stunde kompromittieren können, sobald sie den ersten Zugriff erhalten haben
• bei Verwendung legitimer Zugangsdaten über längere Zeit unentdeckt bleiben

Angreifer behalten nach einer Kompromittierung oft auch dann noch bedeutenden Zugriff, wenn die Erkennung verbessert wird. Der M-Trends-Report von Mandiant beziffert die globale mittlere Verweildauer auf etwa zehn bis elf Tage, was zwar weniger ist als in den Vorjahren, aber immer noch lang genug für erhebliche laterale Bewegungen und Auswirkungen. Andere Studien zeigen, dass die Verweildauer je nach Art des Angriffs stark variiert, wobei Angriffe auf Basis von Anmeldedaten oft länger andauern, da sie sich in normale Verwaltungsaktivitäten einfügen. Dies unterstreicht, dass nicht nur die Erkennungsgeschwindigkeit, sondern auch die Eindämmung das Geschäftsrisiko bestimmt.

Für Führungskräfte ist die Schlussfolgerung klar: Wenn erfahrene Tester sich so leicht bewegen können, können dies auch echte Angreifer. Sobald ein Zugriff besteht, kann die Erkennung allein nicht mehr zuverlässig zwischen „gut“ und „böse“ unterscheiden.

Eine kleine Anzahl von Protokollen ist für den größten Teil des Risikos verantwortlich

In allen Umgebungen konzentrierten sich die Erkennungen durchweg auf eine kleine Gruppe von Unternehmensprotokollen. SMB, RDP, WinRM und RPC dominierten die Aktivitäten und machten 71 Prozent der 3,4 Millionen erkannten Bedrohungsaktivitäten aus. Diese Protokolle sind grundlegend für Windows, Active Directory und den IT-Betrieb. Sie sind für die Geschäftskontinuität erforderlich und können nicht einfach deaktiviert werden.

Diese Konzentration offenbart eine wichtige Erkenntnis: Angreifer benötigen nicht viele Techniken, um effektiv zu sein. Sobald sie sich Zugang verschafft haben, nutzen sie wiederholt dieselben vertrauenswürdigen Pfade, auf die Unternehmen für ihren Betrieb angewiesen sind. Die meisten Unternehmensrisiken entstehen somit durch eine Handvoll vertrauenswürdiger Pfade, die aus Gründen der betrieblichen Bequemlichkeit geschaffen wurden – nicht wegen der Raffinesse der Angreifer.

Laterale Bewegung ist das vorherrschende Risikomuster

Über Protokolle und Umgebungen hinweg traten wiederholt dieselben Verhaltensweisen auf:

• Wiederverwendung gültiger Anmeldedaten
• Bewegung von einem System zum anderen
• Aufzählung von Systemen, Diensten und Berechtigungen

In der Praxis bedeutet dies:

• Ein einziger kompromittierter Host könnte im ersten Schritt durchschnittlich 85 Prozent der internen Systeme erreichen und im zweiten Schritt effektiv 100 Prozent.
• Die Mehrheit der Warnmeldungen – 70 Prozent – ändern nichts am Ausmaß der Auswirkungen oder am Geschäftsrisiko.
• Das größte Geschäftsrisiko ist nicht die anfängliche Sicherheitsverletzung. Es ist die unkontrollierte interne Ausbreitung.

Das Risiko variiert stark je nach Unternehmen

Die Erkennungsmuster variierten stark zwischen den Unternehmen. Einige Umgebungen lösten Warnmeldungen über viele Protokolle hinweg aus, was auf eine breite interne Erreichbarkeit hindeutete. Andere zeigten ein viel geringeres Risiko. Diese Abweichung war weniger auf die Branche oder die Raffinesse der Angreifer zurückzuführen, sondern vielmehr auf die interne Zugriffsarchitektur. Zwei Unternehmen derselben Branche können radikal unterschiedliche Ausbreitungsradien aufweisen.

Die Sicherheitsreife sollte anhand folgender Kriterien gemessen werden:

• Wie viele Systeme sind standardmäßig erreichbar?
• Wie schnell kann der Zugriff widerrufen werden?
• Wie schnell können seitliche Bewegungen gestoppt werden? Nicht, wie viele Warnmeldungen generiert werden.

Signale mit niedriger Frequenz deuten oft auf ein hohes Risiko hin

Bestimmte Systeme tauchten seltener in den Erkennungen auf, darunter:

• Microsoft SQL Server (~drei Prozent der Erkennungen, Platz 9)
• System Center Configuration Manager (zwei Prozent, Platz 10)
• Active Directory Web Services (zwei Prozent, Platz 11)

Diese Systeme generieren zwar weniger Warnmeldungen, der Zugriff auf sie signalisiert jedoch eine potenzielle Kontrolle über Kerndatenbanken, Endpunktmanagement oder Identitätsinfrastruktur. Eine Kompromittierung auf dieser Ebene kann einen begrenzten Vorfall schnell in eine größere Betriebsstörung verwandeln. Für Führungskräfte bedeuten weniger Warnmeldungen nicht automatisch ein geringeres Risiko. Einige der gefährlichsten Zugriffspfade sind von Natur aus unauffällig.

Auswirkungen

Herkömmliche Sicherheitskennzahlen belohnen die Anzahl der Warnmeldungen und die Erkennungsgenauigkeit. Die Daten zeigen, dass dies nicht mit dem tatsächlichen Geschäftsrisiko übereinstimmt.

Was stattdessen zählt:

• Wie viel von der Umgebung ist von einer einzigen Kompromittierung aus erreichbar?
• Wie schnell können sich Angreifer einmal im Inneren bewegen?
• Wie schnell kann der Zugriff widerrufen und die Zugangswege beseitigt werden?

Ein ständig aktiver Zugriff schafft eine permanente Gefährdung. Selbst eine perfekte Erkennung lässt Angreifer immer noch schneller agieren als menschliche Reaktionszyklen.

Risikominderung der Angreifer

Die effektivsten Unternehmen kehren das Modell um. Anstatt die Infrastruktur zugänglich zu lassen und sich auf reaktive Warnmeldungen zu verlassen, setzen sie Folgendes durch:

• Standardmäßig geschlossener Netzwerkzugang
• Identitätsgeprüfte MFA
• Automatische Sperrung, wenn der Zugriff nicht mehr erforderlich ist

Dieser Ansatz:

• reduziert seitliche Bewegungen erheblich
• dämmt Bedrohungen an der Quelle ein und verringert so den Explosionsradius
• verringert Betriebslärm und unnötige Patches
• verbessert die Ausfallsicherheit, ohne die Komplexität der Tools zu erhöhen

Sichtbarkeit und Automatisierung sind heute unverzichtbare Voraussetzungen für den Übergang zu einer proaktiven Eindämmung von Bedrohungen. Der strategische Vorteil liegt in der identitätsbasierten Durchsetzung in Echtzeit auf Netzwerkebene, wodurch die Infrastruktur für unbefugte Benutzer effektiv unsichtbar wird.

Was dies für Führungskräfte in Unternehmen bedeutet

Sicherheitsverletzungen sind nicht das Problem – der Explosionsradius ist es. Unternehmen brauchen nicht noch mehr Warnmeldungen, sondern müssen dafür sorgen, dass es weniger Wege gibt, auf denen sich Angreifer bewegen können. Für CIOs und CISOs ist es eine Tatsache, dass Angreifer sich schneller bewegen als Menschen es jemals könnten. Daher ist es wichtiger, die Ausbreitung zu stoppen als das Eindringen an sich. Sicherheitsinvestitionen müssen das schützen, was für das Unternehmen wirklich wichtig ist – Verfügbarkeit, Wiederherstellungsgeschwindigkeit und Kontinuität – und nicht Dashboards oder die Anzahl der Warnmeldungen. Penetrationstests sollten nicht länger als Compliance-Artefakte behandelt werden, sondern als Frühwarnungen für die nächste echte Sicherheitsverletzung.