Auf den Punkt: Angreifer nutzen legale Systemtools statt Malware, um unsichtbar zu bleiben – CISOs müssen ihre Erkennungslogik auf Verhaltensanomalien und Zugriffskontrolle ausrichten.
Angreifer nutzen zunehmend native IT-Werkzeuge wie SSH oder PowerShell für Cyberangriffe, um sich unter legitimen Systemaktivitäten zu verstecken. Für CISOs wird dies zur Herausforderung, da traditionelle Sicherheitskontrollen solche Angriffe oft nicht erkennen.
Living-off-the-Land-Angriffe setzen auf bereits installierte Systemtools statt auf spezialisierte Malware. SSH, PowerShell, WinRM oder ähnliche administrative Werkzeuge bieten Angreifern legitimen Zugriff auf Systeme, ohne Verdacht zu erregen. Die Aktivitäten erscheinen im Netzwerk und in Logs als normale Wartungs- oder Administrationstätigkeiten.
Diese Strategie hat für Angreifer erhebliche Vorteile: Sie vermeiden Endpoint-Detection, umgehen signaturbasierte Antimalware und hinterlassen minimale forensische Spuren. Gleichzeitig entschärfen sie auch ein zentrales Erkennungsmerkmal – unerwartete Prozesse oder verdächtige Software – auf dem angegriffenen System.
Für CISOs bedeutet dies, dass eine reine Perimeter- und Signatur-Verteidigung unzureichend ist. Die Sichtbarkeit aller Systemaktivitäten – insbesondere von PowerShell-Ausführungen, SSH-Verbindungen und WinRM-Nutzungen – wird zur Voraussetzung für die Detektion. Verhaltensbasierte Anomalieerkennung hilft, ungewöhnliche Muster solcher Tools zu identifizieren. Gleichzeitig ist schnelles Containment entscheidend: Wer verdächtige Administrative-Tool-Nutzung erkennt, muss Sitzungen sofort beenden und betroffene Konten isolieren können.
Quelle: www.computerweekly.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.