Missbrauch legitimer Tools: Warum Angreifer auf vertrauenswürdige Werkzeuge setzen
Missbrauch legitimer Tools wird zu einem zentralen Bestandteil moderner Cyberangriffe. Patch-Management, Penetrationstests und die Erkennung von Exploits bleiben wesentliche Säulen eines reifen Sicherheitsprogramms. Technische Schwachstellen schaffen weiterhin Angriffsgelegenheiten, und Angreifer nutzen sie dort aus, wo sie vorhanden sind. Parallel dazu verdient jedoch ein weiterer Trend genauso viel Aufmerksamkeit: Threat Actor missbrauchen zunehmend legitime Unternehmens-Tools, entweder zu Beginn eines Angriffs oder währenddessen. Hier ist ein genauerer Blick darauf, was gerade passiert.
Warum der Missbrauch legitimer Tools zunimmt
Der Missbrauch legitimer Tools ist im Cybersecurity-Kontext kein neues Phänomen. In der Mitte der 2010er-Jahre wurde das Thema deutlich sichtbarer, als Analysten zunehmend beobachteten, dass Angreifer verstärkt auf Folgendes zurückgreifen:
- Native Windows-Dienstprogramme (PowerShell, WMI, certutil, netsh)
- Integrierte Skript-Engines
- Administrations-Tools, die bereits auf Systemen vorhanden sind
Anstatt eigene Malware auf ein System zu bringen, „lebten“ Angreifer zunehmend von dem, was das Betriebssystem bereits bereitstellt.
Später wurde das Konzept durch das öffentliche LOLBAS-Projekt (Living Off the Land Binaries and Scripts) weiter gefasst, das legitime Windows-Binärdateien, Skripte und Bibliotheken katalogisiert, die sich für bösartige Zwecke missbrauchen lassen.
Verändert haben sich heute vor allem Größe und Reichweite dieses Musters. Früher bedeutete „Living off the Land“ vor allem den Missbrauch von Betriebssystem-Werkzeugen. Heute umfasst es unter anderem:
- Cloud-Administrationskonsolen
- VPNs
- SaaS-APIs
- RMM-Plattformen
- Identity Provider
- Backup-Systeme
Jüngste Untersuchungen zeigten, dass in einem Datensatz von 700.000 analysierten Sicherheitsvorfällen bei 84 Prozent der hochkritischen Vorfälle Living-off-the-Land-Taktiken eine Rolle spielten. Ein weiterer Bericht hob zudem den breiteren Trend hervor, dass Angreifer vertrauenswürdige administrative Werkzeuge und Zugangswege missbrauchen. Unabhängig davon zeigten öffentliche Berichte auch, wie die APT-Gruppe APT41 Google-Kalender-Ereignisse zur Command-and-Control-Kommunikation in kompromittierten Umgebungen nutzte.
Moderne IT-Umgebungen stellen heute deutlich leistungsfähigere legitime Werkzeuge bereit, die Threat Actor für ihre Ziele nutzen können, wenn sie diese übernehmen. Cloud-Administrationskonsolen können ganze Infrastrukturen neu konfigurieren. RMM-Plattformen ermöglichen dauerhaften Fernzugriff über ganze Endpunkt-Flotten hinweg. Identity Provider bündeln die Authentifizierung über zahlreiche Dienste hinweg. Backup-Plattformen und Orchestrierungs-Tools arbeiten mit weitreichenden, oft unterschätzten Berechtigungen.
Sobald Angreifer authentifiziert sind, können sie innerhalb genehmigter Kontrollebenen operieren, ohne fremde Binärdateien einzuführen oder zwangsläufig Exploit-Signaturen auszulösen. Moderne IT-Umgebungen sind zudem auf Fernzugriff und Automatisierung ausgelegt. Hybrides Arbeiten, ausgelagerter IT-Support, Drittanbieter-Integrationen und Cloud-first-Architekturen erfordern legitime administrative Zugänge. Genau diese Zugänge werden besonders attraktiv, sobald sie kompromittiert sind.
Was das für KMU bedeutet
Für viele kleine und mittelständische Unternehmen stellt der Missbrauch legitimer Tools eher eine strukturelle als eine rein technische Herausforderung dar. KMU-IT-Umgebungen entwickeln sich oft pragmatisch. Identitätssysteme wachsen mit jeder neuen SaaS-Plattform. Remote-Management-Tools werden eingeführt, um hybrides Arbeiten oder externe IT-Dienstleister zu unterstützen. Administrative Berechtigungen sammeln sich im Lauf der Zeit an, wenn Teams wachsen und Zuständigkeiten sich verschieben. Service Accounts ermöglichen Automatisierung und Integrationen und bleiben danach oft weitgehend unverändert bestehen.
Breit gefasste administrative Rollen sind in mittelständischen Umgebungen nicht ungewöhnlich, insbesondere wenn IT-Teams klein sind. Ein einziges kompromittiertes Konto kann Sichtbarkeit über Cloud-Infrastruktur, Endpoint-Management, Backup-Systeme und Kollaborationsplattformen hinweg ermöglichen. Remote-Management-Tools, die zur Effizienzsteigerung im Support eingeführt wurden, können tiefen Zugriff auf den gesamten Gerätebestand eines Unternehmens eröffnen.
In diesem Kontext sind Living-off-the-Land-Taktiken besonders wirksam. Das Problem ist nicht zwingend das Fehlen von Sicherheitskontrollen. Auch KMU setzen zunehmend MFA, Endpoint-Schutz und zentrale Protokollierung ein. Das Problem ist vielmehr, dass Identitäts- und Administrationspfade inhärent vertrauenswürdig sind und oft weiter gefasst sind, als es eigentlich sinnvoll wäre.
Was bedeutet das in der Praxis? Da sich das Verhalten von Angreifern zunehmend in Richtung Missbrauch von Zugangsdaten und Kontrollebenen verschiebt, müssen KMU ihren defensiven Blick erweitern. Schwachstellenmanagement und Penetrationstests bleiben wichtig, decken aber nur einen Teil des tatsächlichen Risikobilds ab. Genauso viel Aufmerksamkeit sollte auf Berechtigungskonzentration, Identity Governance und den Umfang administrativer Remote-Werkzeuge gelegt werden.
Abwehrprioritäten für KMU
Wenn Angriffe zunehmend auf gültigen Zugangsdaten und genehmigten Werkzeugen aufsetzen, muss die Verteidigungsstrategie über das Patchen exponierter Systeme hinausgehen. Für KMU werden drei Prioritäten strukturell wichtig.
Berechtigungsdisziplin gegen den Missbrauch legitimer Tools
Administrative Zugriffe wachsen in mittelständischen Umgebungen oft schrittweise. Ein Drittanbieter erhält dauerhaften Zugriff, um Support zu beschleunigen. Ein internes Administratorkonto wird plattformübergreifend wiederverwendet, weil es einfacher ist, als Rollen sauber zu trennen. Service Accounts behalten Rechte, obwohl sich die ursprüngliche Integration längst verändert hat. Mit der Zeit entsteht so eine stille Konzentration von Privilegien.
Um das Risiko zu verringern, ist eine systematische Überprüfung erforderlich:
- Abbildung, wer administrative Rechte über Cloud-, Endpoint-, Backup- und SaaS-Plattformen hinweg hält
- Identifikation gemeinsamer oder veralteter Service Accounts
- Einschränkung breit angelegter „Global Admin“-Rollen
- Einführung zeitlich begrenzter oder rollenbasierter Erhöhungen, wo praktikabel
Es geht darum, Berechtigungen bewusst zu vergeben, statt sie einfach fortzuschreiben.
Sichtbarkeit und Aufsicht gegen den Missbrauch legitimer Tools
Traditionelles Monitoring konzentriert sich stark auf Endpoint-Alarme und Perimeter-Ereignisse. Der Missbrauch legitimer Tools verlagert den Blick jedoch auf die Kontrollebene:
- Protokolle des Identity Providers
- Aktivitäten in Administrationskonsolen
- Aktionen auf Remote-Management-Plattformen
- Änderungen an Backup-Konfigurationen
- Ereignisse rund um Rechteausweitung
Diese Protokolle existieren häufig bereits. Die eigentliche Frage ist, ob sie mit dem richtigen Kontext ausgewertet werden. Auffälligkeiten bei legitimer Tool-Nutzung kündigen sich selten eindeutig an. KMU profitieren davon, klar zu definieren, wie Aktivitäten auf der Kontrollebene überwacht, eskaliert und regelmäßig überprüft werden.
Governance gegen Risiken durch den Missbrauch legitimer Tools
Am wichtigsten ist vielleicht, dass der Missbrauch legitimer Tools die Lücke zwischen schriftlicher Richtlinie und operativer Realität sichtbar macht. Viele KMU verfügen über dokumentierte Zugriffsrichtlinien. Deutlich weniger prüfen systematisch, ob die tatsächlich vergebenen Berechtigungen diesen Richtlinien entsprechen, oder bewerten regelmäßig, ob ihre Sicherheitsarchitektur das aktuelle Angreiferverhalten noch realistisch abbildet.
Wenn sich die Angriffstechniken weiterentwickeln, muss sich Governance mitentwickeln. Genau hier wird eine strukturierte Risikobewertung essenziell. Statt nur auf einzelne Vorfälle zu reagieren, können Unternehmen gezielt prüfen:
- Wie Berechtigungen über Systeme hinweg verteilt sind
- Ob die Identitätsarchitektur den Prinzipien geringstmöglicher Rechte folgt
- Wie administrativer Fernzugriff kontrolliert und protokolliert wird
- Wo Vertrauen über Cloud- und SaaS-Plattformen hinweg konzentriert ist
Ein diszipliniertes Governance- und Risikoframework hilft dabei, diese Fragen in messbare Kontrollen und dokumentierte Verbesserungen zu übersetzen. Wenn legitime Werkzeuge zur Infrastruktur des Angreifers werden, hängt Resilienz davon ab, wie konsequent diese Infrastruktur gestaltet, überwacht und überprüft wird.
Der Missbrauch legitimer Tools macht eine einfache Realität sichtbar: Sicherheitsprobleme entstehen zunehmend innerhalb dessen, was technisch als „erlaubt“ gilt. Die eigentliche „Schwachstelle“ liegt dann oft in übermäßigen Berechtigungen, geerbten Administrationsrollen, unzureichend geprüften Service Accounts und locker gesteuerten administrativen Fernzugängen.
Ein reifes Governance-, Risk- und Compliance-Framework zwingt Organisationen dazu, notwendige, aber unbequeme Fragen zu beantworten: Wer hat heute privilegierten Zugriff? Entspricht dieser Zugriff der dokumentierten Richtlinie? Werden Service Accounts und administrative Fernzugänge nach einem festen Rhythmus überprüft? Wo ist Vertrauen konzentriert?
Strukturierte GRC-Arbeit schafft einen Mechanismus, um Privilegienwildwuchs zu reduzieren, die Aufsicht über die Kontrollebene zu schärfen und sicherzustellen, dass sich die Sicherheitsarchitektur parallel zu modernen Angriffstechniken weiterentwickelt. Für Organisationen, die Unterstützung dabei möchten, diese Fragen in der Praxis zu überprüfen, kontaktieren Sie uns noch heute, um mehr zu erfahren.
