Bedrohungsakteure versuchen oft, diszipliniert und hochqualifiziert zu wirken. Einige betreiben ransomware, während andere organisierte Cyberkriminalitätsgruppen oder staatlich geförderte Teams sind. Sie investieren Zeit in Tools, Infrastruktur und Umgehungsstrategien.
Öffentliche Berichte zeigen, dass dieses Bild nicht immer der Realität entspricht.
In mehreren Fällen aus jüngster Zeit haben Angreifer grundlegende Fehler in Bezug auf die operative Sicherheit (OPSEC) begangen. Diese Fehler haben ihre Infrastruktur, ihre Werkzeuge und ihr Verhalten offenbart. Anstatt unsichtbar zu bleiben, haben die Angreifer den Verteidigern Sichtbarkeit verschafft.
Nachfolgend sind drei OPSEC-Fehler aufgeführt, die von Forschern im Dezember 2025 gemeldet wurden.
Devman: Verfahrensfehler bei der OPSEC in ransomware
In einem früheren Artikel habe ich die technischen Details der ransomware behandelt, darunter ihre Funktionsweise und welche Elemente aus bestehendem ransomware wiederverwendet wurden.
Nach dem Start wurde Devman in der Öffentlichkeit für das kritisiert, was Forscher als „mangelhafte OPSEC“ bezeichneten . Mehrere Analysten wiesen darauf hin, dass die Gruppe bei der Einführung ihres ransomware(RaaS) ihre eigene Infrastruktur und ihre internen Systeme offengelegt habe.
Zu den gemeldeten Problemen gehörten:
- Freigelegte interne Infrastruktur während des Starts – Systeme zur Verwaltung des Betriebs, einschließlich interner Dienste, waren über das Internet zugänglich.
- Schwacher Schutz von Management- und Kommunikationssystemen – Forscher konnten beobachten, wie Teile des Betriebs koordiniert wurden.
- Eine überstürzte öffentliche Einführung – Die RaaS-Plattform wurde live geschaltet, bevor die internen Systeme ordnungsgemäß isoliert oder gesichert waren.
- Wiederverwendung von Werkzeugen ohne ausreichende Härtung – Der Vorgang stützte sich auf vorhandene Komponenten, die aus Sicht der OPSEC nicht ausreichend getestet worden waren.
Das Ergebnis war eine öffentliche Wahrnehmung, dass die Operation unreif und schlecht kontrolliert war, insbesondere für eine Gruppe, die versucht, Partner zu gewinnen.
Verstreute Lapsu$ Hunters: Verhaltensbezogene OPSEC-Fehler bei der Zielüberprüfung
Schauspieler, die mit SLSH verbundenen Schauspieler behaupteten öffentlich, sie hätten ein Cybersicherheitsunternehmen gehackt. Sie veröffentlichten Screenshots und gaben an, dass sensible Daten gestohlen worden seien.
Die Nachverfolgung ergab, dass es sich bei den angegriffenen Systemen nicht um Produktionsumgebungen handelte. Die Angreifer hatten mit einem Honeypot interagiert, der mit realistisch wirkenden synthetischen Daten gefüllt war .
Die Forscher hoben mehrere OPSEC-Fehler hervor:
- Fehlende Validierung der Zielumgebung – Zugängliche Systeme wurden als echt angenommen, ohne zu überprüfen, ob sie isoliert oder überwacht waren.
- Vertrauen in synthetische Daten – Daten, die legitim erschienen, wurden ohne eingehendere Überprüfung als Beweis für eine Kompromittierung akzeptiert.
- Voreilige öffentliche Behauptungen – Der Verstoß wurde bekannt gegeben, bevor er bestätigt worden war.
- Automatisierungsprobleme, die technische Details offenlegen – Wiederholte Scraping- und Zugriffsversuche führten zu Proxy-Ausfällen, wodurch technische Informationen offengelegt wurden, die für die Nachverfolgung nützlich sind.
Die Glaubwürdigkeit der Gruppe litt, als sich die Behauptung als falsch herausstellte.
Staatlich geförderte APT: Technische OPSEC-Fehler bei der Systemisolierung
Forscher fanden heraus, dass ein von einem nordkoreanischen Bedrohungsakteur verwendetes System mit LummaC2 infiziert war, einer weit verbreiteten malware zum Diebstahl von Informationen. Der infizierte Rechner gehörte einem Entwickler, der an den Cyberoperationen Nordkoreas beteiligt war.
Die Log-Analyse ergab, dass Anmeldedaten und Tools mit dem System in Verbindung standen. Weitere Untersuchungen brachten den Rechner mit der Infrastruktur in Verbindung, die mit dem Diebstahl von Kryptowährungen im Wert von 1,4 Milliarden Dollar durch Bybit in Verbindung gebracht wird, der nordkoreanischen Akteuren wie dem Lazarus Group, in Verbindung gebracht.
Zu den gemeldeten OPSEC-Fehlern gehörten:
- Mangelhafte endpoint – Ein von einem Angreifer kontrolliertes System wurde durch einen gängigen Infostealer kompromittiert.
- Wiederverwendung von Anmeldedaten – Auf dem Gerät gespeicherte E-Mail-Konten und Anmeldedaten wurden mit bekannter bösartiger Infrastruktur in Verbindung gebracht.
- Mangelnde Isolierung – Tools, phishing und operative Ressourcen befanden sich auf einem einzigen System.
- Unvollständige Anonymisierung – Die VPN-Nutzung konnte die Browserkonfiguration, Spracheinstellungen und Nutzungsmuster nicht vollständig maskieren.
Dies war kein Einzelfall. Im Mai 2025 infizierten die Entwickler der malware versehentlich ihre eigenen Rechner, und die wiederhergestellten Anmeldedaten wurden später von Ermittlern verwendet.
Beide Fälle zeigen, wie Angreifer Opfer derselben Bedrohungen werden können, die sie selbst einsetzen.
Warum OPSEC-Fehler für Verteidiger wichtig sind
Diese Vorfälle verdeutlichen eine einfache Wahrheit: Bedrohungsakteure sind immer noch Menschen, und selbst erfahrene Teams machen menschliche Fehler.
Wenn solche Fehler passieren, erzeugen sie Signale, die Verteidiger beobachten können:
- Wie sich Angreifer nach dem Erlangen des Zugriffs verhalten
- Welche Tools und Infrastruktur sie wiederverwenden
- Wie sie testen, validieren und Erfolge bekannt geben
- Wo Isolation und Anonymisierung versagen
Betrugsumgebungen, synthetische Daten und verhaltensbasierte Überwachung verhindern Angriffe nicht – sie decken das Verhalten von Angreifern auf, wenn Annahmen fehlschlagen.
Angreifer setzen zunehmend KI-gesteuerte Tools ein. Automatisierung und KI können die Aufklärung, Zielauswahl und Ausnutzung beschleunigen, aber sie ersetzen nicht das menschliche Urteilsvermögen. Sie können auch neue Fehler verursachen:
- Übermäßiges Vertrauen in automatisierte Ergebnisse
- Falsche Annahmen schneller skalieren
- Fehler mit Maschinengeschwindigkeit wiederholen
Die Technologie verändert sich. Die Menschen nicht.
Undgenau dort gewinnen Verteidiger immer noch an Sichtbarkeit.