Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. Angriffsmethoden

Wie sich Angreifer in hybriden Umgebungen einen ersten Zugang verschaffen

November 12, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Wie sich Angreifer in hybriden Umgebungen einen ersten Zugang verschaffen

Sicherheitsteams und rote Teams gehen bei Bedrohungssimulationen oft mit komplexen Playbooks und ausgeklügelten Kill Chains vor. In der Praxis brauchen die Angreifer jedoch nicht so viel Raffinesse. Was wir regelmäßig sehen, ist, wie einfach es immer noch ist, einzudringen. Einbrüche in der realen Welt folgen selten diesen geskripteten Abläufen, sondern nutzen niedrig hängende Früchte: schwache Konfigurationen, durchgesickerte Anmeldeinformationen und nicht überwachte Zugangspunkte.

Der erste Zugriff ist nach wie vor der einfachste und effektivste Schritt bei einem Eindringen. Zu verstehen, wie Angreifer diese erste Gelegenheit nutzen, ist der Unterschied zwischen Präventions-Checklisten und echter Resilienz.

Die moderne Realität des Erstzugangs

Ihre Umgebung besteht nicht mehr nur aus einem einzigen Perimeter. Sie sichern ein zusammenhängendes Netz aus Rechenzentren, cloud , SaaS-Anwendungen und Remote-Endpunkten. Jeder dieser Punkte ist ein Einfallstor, und Angreifer wissen das.

Der Erstzugang erfolgt in der Regel über einen von zwei Wegen:

  1. Technische Ausnutzung: nicht gepatchte Sicherheitslücken, ungeschützte Dienste oder falsch konfigurierte Anlagen.
  2. Identitätsbasierte Kompromittierung: gestohlene oder missbrauchte Anmeldedaten, Infostealer, SIM-Austausch oder böswillige Föderationseinrichtungen.
Zwei Zugangswege: technische Schwachstellen und identitätsbasierte Kompromittierung

Angreifer brauchen nicht immer ausgeklügelte malware oder Zero-Days. In vielen Fällen stellen sie fest, dass Zugangsdaten, Token oder sogar VPN-Schlüssel online zum Verkauf angeboten werden. Es gibt ganze Untergrundmärkte, auf denen "Erstzugangsvermittler" mit verifizierten Zugangsdaten zu Unternehmen handeln, so dass es für Angreifer einfacher denn je ist, die harte Arbeit des Eindringens zu überspringen und direkt in Ihre Umgebung einzudringen.

Spielbücher der realen Welt: Wie Angreifer es tun

Angreifer greifen auf das zurück, was funktioniert. Hier sind einige häufige Szenarien, die SOC-Teams erkennen sollten:

1. Opportunistische Fehlkonfigurationen

DC Healthlink war einer meiner größten Hacks, und das war nicht einmal ein Hack. Es war ganz offen. Da war nichts Kompliziertes dran, es war einfach ein öffentlicher Eimer. Völlig offen.
- IntelBroker*

Akteure nutzen Suchmaschinen wie SHODAN und scannen nach öffentlich zugänglichen Datenspeichern oder falsch konfigurierten cloud . Sobald sie diese gefunden haben, nutzen sie schwache Berechtigungen oder durchgesickerte Zugriffsschlüssel aus, um die Kontrolle über Ressourcen zu erlangen, die von vornherein nicht hätten sichtbar sein dürfen.

Screenshot einer Suche in Shodan

2. Abkürzungen in der Lieferkette

Die Snowflake-Vorfall hat ein wachsendes Risiko aufgezeigt: Angreifer nutzen gestohlene Zugangsdaten von Auftragnehmern, die von gewöhnlichen Infostealern erbeutet wurden, um an Unternehmensdaten zu gelangen. Selbst wenn Ihre Verteidigungsmaßnahmen stark sind, kann der Laptop Ihres Partners Ihr schwächstes Glied sein.

Ich spioniere Angestellte zu Hause per Spearphishing und Spearmishing aus und benutze ihre Arbeitslaptops, so hacke ich MSPs. Manchmal spioniere ich auch deren Ehepartner aus, was einfacher sein kann, und schwenke dann zu ihnen.
- Ellyel8*

Ein weiteres Beispiel ist die jüngste NPM Supply-Chain-Exploitbei dem vergiftete Pakete bösartigen Code direkt in Entwicklungsumgebungen einschleusten. Die injizierte Nutzlast zielte zunächst auf Kryptowährungstransaktionen ab, verwandelte sich jedoch schnell in einen sich selbst replizierenden worm, der derzeit unter der Bezeichnung "Shai-Huludverfolgt wird, der für die Kompromittierung Hunderter von Softwarepaketen verantwortlich ist.

3. Identitätsdiebstahl und SIM-Austausch

Gruppen wie Scattered Spider nutzen das Vertrauen der Menschen aus. Sie greifen Mitarbeiter über phishing und Social Engineering an, klonen Telefonnummern und setzen MFA-Tokens zurück. Von dort aus verschaffen ihnen Mailbox-Regeln und der Missbrauch von föderalem Vertrauen Ausdauer. Diese Gruppen versuchen auch, Mitarbeiter/Insider zu "rekrutieren" und zahlen, um an ihre Anmeldedaten zu gelangen.

Scattered Lapsus$ Hunters wirbt auf Telegram für den Kauf von Erstzugängen und die Anwerbung von Insidern

4. Nationalstaatliche Tarnung

Kampagnen wie Volt Typhoon stützen sich auf eingebaute Hilfsmittel und die Taktik des "Lebens auf dem Lande".. Sie erfassen Registrierungs-Hives, löschen Protokolle und verwenden PowerShell, um im legitimen Datenverkehr unsichtbar zu bleiben - und umgehen so die meisten endpoint Schutzmaßnahmen.

Warum Prävention allein nicht ausreicht

Vorbeugende Kontrollen (MFA, Patching, EDR) sind wichtig, aber keine sind narrensicher. Endgeräte werden nicht verwaltet, Anmeldeinformationen werden wiederverwendet, und Protokolle können manipuliert werden. Angreifer deaktivieren oder umgehen Agenten oft ganz. Sobald sich ein Angreifer Zugang verschafft hat, stellt sich die Frage: Können Sie sehen, was er als Nächstes vorhat?

Screenshot des EDR-Freeze-Tools auf GitHub

SOC-Teams benötigen einen Einblick, der sich nicht nur auf Endpunkte oder Protokollintegrität stützt. Hier kommt die Netzwerk- und Identitätstelemetrie ins Spiel.

Wie eine wirksame Detektion aussieht

Die Erkennung sollte sich auf das Verhalten konzentrieren , nicht auf Signaturen. Man kann ein Eindringen nicht immer verhindern, aber man kann die Aktionen des Angreifers identifizieren, bevor echter Schaden entsteht.

Das sind die wichtigsten Grundsätze:

  • Agentenlose Sichtbarkeit: Setzen Sie Sensoren ein, die den Datenverkehr auch dort beobachten, wo EDR nicht vorhanden ist - bei Remote-Geräten, nicht verwalteten Anlagen oder Altsystemen.
  • Identitätskontext: Korrelieren Sie Authentifizierungsereignisse mit Netzwerkflüssen. Eine legitime Anmeldung aus einem neuen Land oder von einem neuen Gerät sollte nicht ungeprüft bleiben.
  • Verhaltensanalytik: Verfolgen Sie Aktionen wie die Erstellung von Mailbox-Regeln, die Ausweitung von Berechtigungen oder Änderungen des Verbundvertrauens.
  • Beweissicherung: Gehen Sie davon aus, dass Protokolle gelöscht werden können; verwenden Sie passive Paketaufzeichnungen und Netzwerktelemetrie, die Angreifer nicht verändern können.
  • KI-Triage und Priorisierung: Automatisierte Erkennung von seitlichen Bewegungsmustern und risikoreichen Verhaltensketten.

Wie die Vectra AI frühe Einbruchsversuche aufdeckt

Der erste Zugriff erfolgt oft außerhalb des Erfassungsbereichs herkömmlicher Sicherheitskontrollen. Der Angriff kann auf einem nicht verwalteten Gerät, über den Laptop eines Auftragnehmers oder mithilfe von Anmeldedaten erfolgen, die Wochen zuvor von einem Infostealer abgegriffen wurden. Wenn die Anmeldung in der Umgebung erscheint, wirkt der Angreifer bereits wie ein legitimer Benutzer.

Die Vectra AI konzentriert sich auf das, was nach der Anmeldung geschieht.

Anstatt sich auf endpoint oder Protokolle zu verlassen, die verändert oder gelöscht werden können, analysiert die Plattform das aktuelle Netzwerk- und Identitätsverhalten in der gesamten hybriden Infrastruktur. Authentifizierungsaktivitäten, Netzwerkflüsse und Identitätsinteraktionen werden kontinuierlich miteinander in Beziehung gesetzt, um Verhaltensweisen aufzudecken, die mit der Übernahme von Konten, dem Missbrauch von Anmeldedaten und verdächtigen Zugriffsmustern in Verbindung stehen.

Auf diese Weise können SOC-Teams Angriffe erkennen, die die Präventionsmaßnahmen umgehen. Selbst wenn Angreifer sich mithilfe gestohlener Zugangsdaten oder aufgrund von Fehlkonfigurationen Zugang verschaffen, hinterlassen ihre Aktivitäten dennoch Verhaltensmuster, während sie mit der Umgebung interagieren.

Das Ergebnis ist eine frühzeitige Erkennung der Aktivitäten von Angreifern, noch bevor diese Persistenzmechanismen etablieren oder tiefgreifendere Kompromittierungen herbeiführen können.

Ihre nächsten Schritte

Der erste Zugriff ist nur der Anfang eines Einbruchs.

Sobald Angreifer einen Weg in eine Hybridumgebung gefunden haben, besteht ihre nächste Priorität darin, sicherzustellen, dass sie jederzeit wieder zurückkehren können. Das bedeutet, dass sie Persistenzmechanismen etablieren müssen , die Neustarts, das Zurücksetzen von Anmeldedaten und teilweise durchgeführte Maßnahmen zur Incident Response überstehen.

In „Attack Lab,Folge 1: Initial Access – Wie Angreifer in das Netzwerk eindringen gehen wir auf reale Einbruchswege ein , die Angreifer heute nutzen – von Fehlkonfigurationen und ungeschützten Diensten bis hin zu gestohlenen Zugangsdaten und identitätsbasierten Angriffen.

Wenn Sie verstehen möchten, was passiert, nachdem Angreifer eingedrungen sind, dann in der nächsten Folge Attack Lab, Folge 2: Persistenz – Wie sich Angreifer im Netzwerk verstecken untersucht, wie diese Eindringlinge ihre Anwesenheit verbergen und sich langfristigen Zugriff im Netzwerk verschaffen.

---

*Zitat aus dem Buch von Vinny Troia "Grey Area: Dark Web Data Collection and the Future of OSINT"

Häufig gestellte Fragen