Cyberkriminelle kapern jetzt legale IT-Tools

Die größte Gefahr für Unternehmen lauert nicht mehr in Schadsoftware, sondern in ihren eigenen Administrationsprogrammen. Neue Studien zeigen einen dramatischen Strategiewechsel bei Ransomware-Angriffen.

Die neue Angriffsstrategie: Tarnung im Alltagsverkehr

Cyberkriminelle verabschieden sich zunehmend von eigener Schadsoftware. Stattdessen missbrauchen sie legale Administrationswerkzeuge, die bereits in jedem Unternehmen installiert sind. Diese als Living-off-the-Land (LotL) bekannte Taktik ermöglicht es Angreifern, sich im normalen Netzwerkverkehr zu verstecken. Traditionelle Sicherheitsperimetern werden so wirkungslos.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, liegt oft an unterschätzten Sicherheitslücken in der Infrastruktur. Dieses kostenlose E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

Laut dem aktuellen Jahresbericht von Blackpoint Cyber nutzen Bedrohungsakteure heute eher legitime Zugangswege als Software-Schwachstellen. Parallel bestätigen Forschungen von Seqrite und Proofpoint: Über 30 Prozent aller identifizierbaren Sicherheitsvorfälle involvieren mittlerweile den Missbrauch von Remote-Monitoring-and-Management (RMM)-Tools. Die zentrale Herausforderung für Verteidiger liegt damit nicht mehr in der Erkennung bösartigen Codes, sondern darin, autorisierte Admin-Aktionen von kriminellen Angriffen zu unterscheiden.

Windows-Eigenmittel ersetzen Hacker-Toolkits

Das klassische Ransomware-Modell mit maßgeschneiderter Malware wird abgelöst. Angreifer bedienen sich stattdessen der vorhandenen Infrastruktur ihres Ziels. Daten der Google Threat Intelligence Group zeigen einen starken Rückgang externer Werkzeuge wie Cobalt Strike. Deren Nutzung sank innerhalb eines Jahres von 11 auf nur noch 2 Prozent.

An ihre Stelle treten eingebaute Windows-Fähigkeiten und administrative Hilfsprogramme, die vom Betriebssystem bereits als vertrauenswürdig eingestuft werden. Tools wie PowerShell, Windows Management Instrumentation (WMI) und Remote Desktop Protocol (RDP) ermöglichen Angreifern, Erkundungen durchzuführen und sich im Netzwerk seitlich zu bewegen – ohne Alarme auszulösen. Laut Huntress machen diese LotL-Techniken heute etwa 84 Prozent aller Hochrisiko-Datenpannen aus.

Systemwerkzeuge werden zur Waffe gegen Sicherheitssoftware

Besonders besorgniserregend: In den letzten 72 Stunden beobachten Forscher, wie spezielle System-Utilities zweckentfremdet werden, um Sicherheitsvorkehrungen zu deaktivieren. Ransomware-Groups kapern Tools wie Process Hacker und IOBit Unlocker. Ursprünglich für IT-Techniker entwickelt, nutzen Angreifer diese Anwendungen nun, um Antivirenprozesse zu beenden.

Da diese Programme über gültige digitale Signaturen legitimer Anbieter verfügen, erhalten sie oft hohe Berechtigungen. Ein Fall von Huntress zeigt die Professionalität der Angreifer: Sie nutzten Net Monitor for Employees Professional – eigentlich ein Tool zur Produktivitätsüberwachung – als primären Fernzugangskanal. Über dessen Befehlsschnittstelle installierten sie eine zweite Persistenzschicht und manipulierten Windows Defender.

RMM-Software als Einfallstor für Erpressung

Der Missbrauch von Remote-Monitoring-and-Management-Software dominiert die Bedrohungslandschaft 2026. Laut Blackpoint Cyber war ScreenConnect in über 70 Prozent der analysierten RMM-Missbrauchsfälle präsent. Diese Tools sind für Erpresserbanden besonders attraktiv: Sie bieten dauerhaften, hochprivilegierten Zugriff auf zahlreiche Endgeräte gleichzeitig.

Gelingt die Übernahme einer RMM-Instanz, können Angreifer bösartige Skripte oder Verschlüsselungsbefehle mit einem einzigen Befehl auf Hunderte Systeme verteilen – eine verheerende Taktik besonders für Managed Service Provider (MSPs). Proofpoint-Forscher beobachten parallel einen Anstieg RMM-bezogener Aktivitäten zur Steuersaison. Spezifische Bedrohungsgruppen wie TA4922 und TA2730 führen organisierte Phishing-Kampagnen durch, in denen sie das US-Finanzamt oder Personalabteilungen imitieren.

Rekordschäden durch Phishing zeigen, wie wichtig gezielte Awareness-Kampagnen für den Schutz Ihrer Unternehmensdaten geworden sind. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Sie psychologische Manipulationstaktiken entlarven und sich wirksam absichern. Kostenloses Anti-Phishing-Paket für Unternehmen sichern

Neue Verteidigungsstrategien werden notwendig

Diese Entwicklung zwingt zur Neubewertung herkömmlicher Cybersicherheitsprotokolle. Experten fordern einen Fokuswechsel: Statt bekannter "böser" Dateien muss das Verhalten "guter" Tools überwacht werden. Der Cyber Claims Report 2026 von Coalition zeigt, dass Lösegeldforderungen im letzten Jahr um 47 Prozent stiegen. Die Kosten verdoppeln sich jedoch oft, wenn sowohl Verschlüsselung als auch Datendiebstahl vorliegen – ein Markenzeichen von Angriffen mit legitimen Tools.

Sicherheitsverbände fordern strengere Allow-Listing-Policies für RMM- und Administrationswerkzeuge. Unternehmen sollten ein vollständiges Inventar genehmigter Tools führen und ungenutzte Agenten entfernen. Die Implementierung von Verhaltensanalysen gilt als entscheidend: PowerShell sollte beispielsweise nicht typischerweise große Active-Directory-Objekte abfragen oder zu ungewöhnlichen Zeiten mit unbekannten IPs kommunizieren.

Ausblick: KI wird Angriffe weiter verfeinern

Der Trend zur Ausnutzung legitimer IT-Tools wird sich 2026 voraussichtlich beschleunigen. Cybersicherheitsforscher erwarten, dass Künstliche Intelligenz diese Angriffe weiter verfeinern wird. Software könnte automatisch die spezifischen Administrationswerkzeuge in einer Zielumgebung identifizieren und als Waffe einsetzen.

Für Unternehmen sind die finanziellen Auswirkungen erheblich. Bei durchschnittlichen Lösegeldforderungen von über 1,3 Millionen Euro ist das Risiko eines "abhängigkeitsgetriebenen" Ausfalls eine Hauptsorge für Aufsichtsräte. Die Branche wird voraussichtlich stärker auf Active-Insurance-Modelle und Echtzeit-Incident-Response-Dienste setzen. Letztlich hängt die erfolgreiche Verteidigung moderner Netzwerke davon ab, dass Sicherheitsteams jedes Fernzugriffsereignis und jeden Administrationsbefehl als Hochrisiko-Aktivität behandeln – unabhängig von der Legitimität des verwendeten Tools.

boerse | 69053127 |