Illustration Absmeier foto freepik

Ein erfolgreicher Angriff auf ein Unternehmensnetzwerk ermöglicht es Angreifern oft, in kürzester Zeit einen Großteil der Umgebung zu kompromittieren, da sie legitime Zugriffswege und administrative Protokolle nutzen. Das größte Risiko besteht nicht im initialen Eindringen, sondern in der schnellen und weitreichenden lateralen Bewegung innerhalb des Netzwerks, wobei klassische Sicherheitsmetriken wie die Anzahl der Alarmmeldungen das tatsächliche Risiko oft nicht widerspiegeln. Effektive Risikominderung erfordert daher eine standardmäßig geschlossene Netzwerkarchitektur, die auf dem Prinzip der geringsten Privilegien basiert und den Zugriff nur bei Bedarf gewährt.

Um zu verstehen, wie sich erfolgreiche Angriffe nach dem ersten Zugriff entwickeln, analysierte Zero Networks über einen Zeitraum von zwölf Monaten (Dezember 2024 bis Dezember 2025) etwa 3,4 Billionen Aktivitäten in 400 Unternehmensumgebungen. Die Ergebnisse lassen eine klare Schlussfolgerung zu: Die gefährlichsten Aktivitäten sehen oft legitim aus, fügen sich in den täglichen Betrieb ein und finden nach dem ersten Zugriff statt – wenn Angreifer die Auswirkungen ihres Angriffs ausweiten [1].

KI-gestützte Angriffe beschleunigen den ersten Zugriff. Die Daten von Zero Networks zeigen jedoch, dass die Auswirkungen auf das Unternehmen weniger davon abhängen, wie Angreifer eindringen, sondern vielmehr davon, was sie erreichen können, sobald sie dies getan haben. Da KI-gesteuerte Sicherheitsverletzungen unvermeidlich sind, besteht der einzige dauerhafte Vorteil für Verteidiger darin, die Bewegungsfreiheit der Angreifer nach dem Eindringen zu begrenzen.

Dies hat erhebliche Auswirkungen darauf, wie Unternehmen über Prävention, Resilienz und Investitionen in Sicherheit denken. Es reicht nicht mehr aus, abzuwarten, bis eine Bedrohung entdeckt wird, um dann zu reagieren, wenn die Zugangswege, auf die sich Angreifer stützen, dauerhaft offenbleiben. Die Sicherheitsergebnisse verbessern sich am schnellsten, wenn Unternehmen den permanenten Zugriff eliminieren, die Angriffswege reduzieren und den Erfolg anhand der Zeit bis zur Eindämmung und der Verringerung des Ausmaßes der Auswirkungen messen, nicht anhand der Anzahl der Alarmmeldungen [2].

Hintergrund

Moderne Ransomware- und Intrusion-Kampagnen haben herkömmliche Sicherheitsmodelle überholt. Durch die systematische Umgehung von EDR- und XDR-Kontrollen, den Missbrauch legitimer Anmeldedaten und wechselnde Techniken haben Angreifer die Verteidigung zu einem reaktiven Spiel der Eskalation und Bereinigung gemacht. Das Versagen ist struktureller, nicht operativer Natur. Die meisten Unternehmensnetzwerke setzen nicht Tausende von Ports frei. Sie verlassen sich auf eine kleine, vorhersehbare Anzahl – in der Regel 20 bis 30 Ports –, um den Geschäftsbetrieb aufrechtzuerhalten. Innerhalb dieser Gruppe fungieren etwa zehn privilegierte Verwaltungsprotokolle (einschließlich RDP, SMB, WinRM und RPC) als hochvertrauenswürdige Autobahnen für den IT-Betrieb.

Dieselben Autobahnen sind heute für den Großteil der Ausbreitung von Sicherheitsverletzungen verantwortlich. Da sie rund um die Uhr offen und erreichbar bleiben, erhalten Angreifer, die sich einmal Zugang verschafft haben, dauerhafte laterale Bewegungspfade und benötigen selten ausgefeilte Exploits [3]. Sie nutzen dieselben vertrauenswürdigen Zugriffspfade, auf die sich Administratoren täglich verlassen.

Echte geschäftliche und cybertechnische Resilienz erfordert eine Abkehr von der Denkweise »Erkennen und Reagieren« hin zu einer standardmäßig geschlossenen Architektur, die auf dem Prinzip der geringsten Privilegien basiert [4]. Durch die Beseitigung persistenter Zugriffspfade und die Durchsetzung identitätsbasierter Just-in-Time-Zugriffe wird Angreifern die Möglichkeit genommen, sich zu bewegen – oft noch bevor der erste Alarm ausgelöst wird. Aus Sicht des Geschäftsrisikos ist das Ziel strukturelle Immunität: Systeme sind standardmäßig unsichtbar, der Zugriff wird nur gewährt, wenn er ausdrücklich erforderlich ist, und der Explosionsradius wird durch das Design und nicht durch die Reaktionsgeschwindigkeit begrenzt.

Bedrohungsanalyse

Die meisten Bedrohungen sehen legitim aus – bis sie es nicht mehr sind

Die überwiegende Mehrheit der Erkennungen in diesem Datensatz stammt aus verifizierten Penetrationstests. Dies ist wichtig, da Penetrationstester sich wie echte Angreifer verhalten. Sie verwenden echte Anmeldedaten, setzen auf legitime Tools und nutzen vertrauenswürdige Zugriffspfade anstelle exotischer Schwachstellen.

In der Praxis bedeutet dies, dass Angreifer:

mindestens 60 Prozent der Umgebung in weniger als einer Stunde kompromittieren können, sobald sie den ersten Zugriff erhalten haben
bei Verwendung legitimer Zugangsdaten über längere Zeit unentdeckt bleiben

Angreifer behalten nach einer Kompromittierung oft auch dann noch bedeutenden Zugriff, wenn die Erkennung verbessert wird. Der M-Trends-Report von Mandiant beziffert die globale mittlere Verweildauer auf etwa zehn bis elf Tage, was zwar weniger ist als in den Vorjahren, aber immer noch lang genug für erhebliche laterale Bewegungen und Auswirkungen [5]. Andere Studien zeigen, dass die Verweildauer je nach Art des Angriffs stark variiert, wobei Angriffe auf Basis von Anmeldedaten oft länger andauern, da sie sich in normale Verwaltungsaktivitäten einfügen. Dies unterstreicht, dass nicht nur die Erkennungsgeschwindigkeit, sondern auch die Eindämmung das Geschäftsrisiko bestimmt.

Für Führungskräfte ist die Schlussfolgerung klar: Wenn erfahrene Tester sich so leicht bewegen können, können dies auch echte Angreifer. Sobald ein Zugriff besteht, kann die Erkennung allein nicht mehr zuverlässig zwischen »gut« und »böse« unterscheiden.

Eine kleine Anzahl von Protokollen ist für den größten Teil des Risikos verantwortlich

In allen Umgebungen konzentrierten sich die Erkennungen durchweg auf eine kleine Gruppe von Unternehmensprotokollen. SMB, RDP, WinRM und RPC dominierten die Aktivitäten und machten 71 Prozent der 3,4 Millionen erkannten Bedrohungsaktivitäten aus. Diese Protokolle sind grundlegend für Windows, Active Directory und den IT-Betrieb. Sie sind für die Geschäftskontinuität erforderlich und können nicht einfach deaktiviert werden.

Diese Konzentration offenbart eine wichtige Erkenntnis: Angreifer benötigen nicht viele Techniken, um effektiv zu sein. Sobald sie sich Zugang verschafft haben, nutzen sie wiederholt dieselben vertrauenswürdigen Pfade, auf die Unternehmen für ihren Betrieb angewiesen sind. Die meisten Unternehmensrisiken entstehen somit durch eine Handvoll vertrauenswürdiger Pfade, die aus Gründen der betrieblichen Bequemlichkeit geschaffen wurden – nicht wegen der Raffinesse der Angreifer.

Laterale Bewegung ist das vorherrschende Risikomuster

Über Protokolle und Umgebungen hinweg traten wiederholt dieselben Verhaltensweisen auf:

Wiederverwendung gültiger Anmeldedaten
Bewegung von einem System zum anderen
Aufzählung von Systemen, Diensten und Berechtigungen

In der Praxis bedeutet dies:

Ein einziger kompromittierter Host könnte im ersten Schritt durchschnittlich 85 Prozent der internen Systeme erreichen und im zweiten Schritt effektiv 100 Prozent.
Die Mehrheit der Warnmeldungen – 70 Prozent – ändern nichts am Ausmaß der Auswirkungen oder am Geschäftsrisiko.
Das größte Geschäftsrisiko ist nicht die anfängliche Sicherheitsverletzung. Es ist die unkontrollierte interne Ausbreitung.

Das Risiko variiert stark je nach Unternehmen

Die Erkennungsmuster variierten stark zwischen den Unternehmen. Einige Umgebungen lösten Warnmeldungen über viele Protokolle hinweg aus, was auf eine breite interne Erreichbarkeit hindeutete. Andere zeigten ein viel geringeres Risiko. Diese Abweichung war weniger auf die Branche oder die Raffinesse der Angreifer zurückzuführen, sondern vielmehr auf die interne Zugriffsarchitektur. Zwei Unternehmen derselben Branche können radikal unterschiedliche Ausbreitungsradien aufweisen.

Die Sicherheitsreife sollte anhand folgender Kriterien gemessen werden:

Wie viele Systeme sind standardmäßig erreichbar?
Wie schnell kann der Zugriff widerrufen werden?
Wie schnell können seitliche Bewegungen gestoppt werden? Nicht, wie viele Warnmeldungen generiert werden.

Signale mit niedriger Frequenz deuten oft auf ein hohes Risiko hin

Bestimmte Systeme tauchten seltener in den Erkennungen auf, darunter:

Microsoft SQL Server (~drei Prozent der Erkennungen, Platz 9)
System Center Configuration Manager (zwei Prozent, Platz 10)
Active Directory Web Services (zwei Prozent, Platz 11)

Diese Systeme generieren zwar weniger Warnmeldungen, der Zugriff auf sie signalisiert jedoch eine potenzielle Kontrolle über Kerndatenbanken, Endpunktmanagement oder Identitätsinfrastruktur. Eine Kompromittierung auf dieser Ebene kann einen begrenzten Vorfall schnell in eine größere Betriebsstörung verwandeln. Für Führungskräfte bedeuten weniger Warnmeldungen nicht automatisch ein geringeres Risiko. Einige der gefährlichsten Zugriffspfade sind von Natur aus unauffällig.

Auswirkungen

Herkömmliche Sicherheitskennzahlen belohnen die Anzahl der Warnmeldungen und die Erkennungsgenauigkeit. Die Daten zeigen, dass dies nicht mit dem tatsächlichen Geschäftsrisiko übereinstimmt.

Was stattdessen zählt:

Wie viel von der Umgebung ist von einer einzigen Kompromittierung aus erreichbar?
Wie schnell können sich Angreifer einmal im Inneren bewegen?
Wie schnell kann der Zugriff widerrufen und die Zugangswege beseitigt werden?

Ein ständig aktiver Zugriff schafft eine permanente Gefährdung. Selbst eine perfekte Erkennung lässt Angreifer immer noch schneller agieren als menschliche Reaktionszyklen.

Risikominderung

Die effektivsten Unternehmen kehren das Modell um. Anstatt die Infrastruktur zugänglich zu lassen und sich auf reaktive Warnmeldungen zu verlassen, setzen sie Folgendes durch:

Standardmäßig geschlossener Netzwerkzugang
Identitätsgeprüfte MFA
Automatische Sperrung, wenn der Zugriff nicht mehr erforderlich ist

Dieser Ansatz:

reduziert seitliche Bewegungen erheblich
dämmt Bedrohungen an der Quelle ein und verringert so den Explosionsradius
verringert Betriebslärm und unnötige Patches
verbessert die Ausfallsicherheit, ohne die Komplexität der Tools zu erhöhen

Sichtbarkeit und Automatisierung sind heute unverzichtbare Voraussetzungen für den Übergang zu einer proaktiven Eindämmung von Bedrohungen. Der strategische Vorteil liegt in der identitätsbasierten Durchsetzung in Echtzeit auf Netzwerkebene, wodurch die Infrastruktur für unbefugte Benutzer effektiv unsichtbar wird.

Was dies für Führungskräfte in Unternehmen bedeutet

Sicherheitsverletzungen sind nicht das Problem – der Explosionsradius ist es. Unternehmen brauchen nicht noch mehr Warnmeldungen, sondern müssen dafür sorgen, dass es weniger Wege gibt, auf denen sich Angreifer bewegen können. Für CIOs und CISOs ist es eine Tatsache, dass Angreifer sich schneller bewegen als Menschen es jemals könnten. Daher ist es wichtiger, die Ausbreitung zu stoppen als das Eindringen an sich. Sicherheitsinvestitionen müssen das schützen, was für das Unternehmen wirklich wichtig ist – Verfügbarkeit, Wiederherstellungsgeschwindigkeit und Kontinuität – und nicht Dashboards oder die Anzahl der Warnmeldungen. Penetrationstests sollten nicht länger als Compliance-Artefakte behandelt werden, sondern als Frühwarnungen für die nächste echte Sicherheitsverletzung.

[1] https://zeronetworks.com/blog/how-to-prevent-malware-free-attacks-living-off-the-land-protection-strategies

[2] https://zeronetworks.com/blog/edr-security-gaps-why-instant-breach-containment-beats-detection

[3] https://zeronetworks.com/resource-center/topics/lateral-movement-innovations-prevention-techniques

[4] https://zeronetworks.com/resource-center/topics/zero-trust-architecture-how-to-achieve-cyber-resilience

[5] https://services.google.com/fh/files/misc/m-trends-2025-en.pdf

[6] https://zeronetworks.com/resource-center/webinars/why-edr-isnt-enough

Hier die wichtigsten Maßnahmen und Ansätze zusammengefasst:

Standardmäßig geschlossene Netzwerkarchitektur

Unternehmen sollten ihre Netzwerke so gestalten, dass Systeme und Zugriffswege grundsätzlich geschlossen sind und nur bei tatsächlichem Bedarf geöffnet werden. Das Prinzip der geringsten Privilegien steht dabei im Mittelpunkt: Jeder Zugriff wird nur temporär und nach Identitätsprüfung gewährt, wodurch Angreifern die Möglichkeit zur lateralen Bewegung stark eingeschränkt wird.

Identitätsbasierte Zugriffskontrolle und Automatisierung

Effektive Risikominderung setzt auf identitätsgeprüfte Multi-Faktor-Authentifizierung (MFA) und automatische Sperrung von Zugängen, sobald diese nicht mehr benötigt werden. Sichtbarkeit und Automatisierung sind entscheidend, um Bedrohungen proaktiv einzudämmen und die Infrastruktur für unbefugte Nutzer unsichtbar zu machen.

Fokus auf Eindämmung statt Erkennung

Die Sicherheitsergebnisse verbessern sich, wenn Unternehmen den permanenten Zugriff eliminieren, Angriffswege reduzieren und den Erfolg anhand der Zeit bis zur Eindämmung sowie der Verringerung des Ausmaßes der Auswirkungen messen – nicht anhand der Anzahl der Alarmmeldungen. Ziel ist eine strukturelle Immunität, bei der Systeme standardmäßig unsichtbar sind und der Explosionsradius durch Design begrenzt wird.

Praktische Vorteile

Dieser Ansatz reduziert seitliche Bewegungen, dämmt Bedrohungen an der Quelle ein, verringert Betriebslärm und unnötige Patches und verbessert die Ausfallsicherheit, ohne die Komplexität der eingesetzten Tools zu erhöhen.

Standardmäßig geschlossene Netzwerkarchitektur

Systeme und Zugriffswege sind grundsätzlich geschlossen und werden nur bei tatsächlichem Bedarf geöffnet.
Umsetzung des Prinzips der geringsten Privilegien: Jeder Zugriff wird temporär und nach Identitätsprüfung gewährt, wodurch Angreifern die Möglichkeit zur lateralen Bewegung stark eingeschränkt wird.

Identitätsbasierte Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA)

Einführung von MFA für alle privilegierten Zugänge.
Automatische Sperrung von Zugängen, sobald diese nicht mehr benötigt werden.
Identitätsgeprüfte Freigabe von administrativen Protokollen wie RDP, SMB, WinRM und RPC.

Attack Surface Management

Kontinuierliche Erkennung, Inventarisierung, Klassifizierung und Sicherung aller potenziellen Angriffspunkte (Software, Hardware, Cloud-Dienste).
Regelmäßige Überprüfung und Minimierung der Angriffsfläche, um unbefugte Zugriffe zu verhindern.

Automatisierung und Sichtbarkeit

Einsatz von automatisierten Tools zur Überwachung und Durchsetzung von Zugriffsrichtlinien.
Infrastruktur für unbefugte Nutzer unsichtbar machen, z. B. durch Netzwerksegmentierung und dynamische Firewall-Regeln.

Regelmäßige Cybersecurity-Schulungen und Sicherheitsüberprüfungen

Sensibilisierung der Mitarbeitenden für aktuelle Bedrohungen und sichere Verhaltensweisen.
Routinemäßige Sicherheitsüberprüfungen zur Identifikation und Behebung von Schwachstellen.

Incident Response und Wiederherstellungspläne

Entwicklung umfassender Pläne für die Reaktion auf Sicherheitsvorfälle, inklusive Strategien zur Eindämmung, Wiederherstellung und Kommunikation.

Schrittweise Einführung einer Zero-Trust-Architektur

Beginne mit einer umfassenden Bestandsaufnahme aller Netzwerkressourcen (Asset-Discovery und -Klassifizierung), um Transparenz über alle Geräte und Systeme zu schaffen.
Segmentiere das Netzwerk, sodass nur notwendige Kommunikationswege offen sind. Nutze hierfür Mikrosegmentierung und dynamische Firewall-Regeln.
Implementiere das Prinzip der geringsten Privilegien: Jeder Zugriff wird nur temporär und nach Identitätsprüfung gewährt.

Identitätsbasierte Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA)

Führe MFA für alle privilegierten und sensiblen Zugänge ein.
Automatisiere die Sperrung von Zugängen, sobald diese nicht mehr benötigt werden.
Setze identitätsgeprüfte Freigaben für administrative Protokolle wie RDP, SMB, WinRM und RPC um.

Attack Surface Management und kontinuierliche Überwachung

Nutze Tools zur kontinuierlichen Erkennung, Inventarisierung und Klassifizierung aller potenziellen Angriffspunkte (Software, Hardware, Cloud-Dienste).
Überprüfe und minimiere regelmäßig die Angriffsfläche, um unbefugte Zugriffe zu verhindern.

Automatisierung und Sichtbarkeit

Setze automatisierte Tools zur Überwachung und Durchsetzung von Zugriffsrichtlinien ein.
Mache die Infrastruktur für unbefugte Nutzer unsichtbar, z. B. durch Netzwerksegmentierung und dynamische Firewall-Regeln.

Incident Response und Wiederherstellungspläne

Entwickle und teste regelmäßig Pläne für die Reaktion auf Sicherheitsvorfälle, inklusive Strategien zur Eindämmung, Wiederherstellung und Kommunikation.

Empfehlung für die Praxis:
Starte mit einer Pilotphase in einem abgegrenzten Bereich deiner Organisation, um Prozesse und Technologien zu testen. Binde alle relevanten Stakeholder (IT, Management, Fachbereiche) frühzeitig ein und schule Mitarbeitende regelmäßig zu neuen Sicherheitsprozessen.

Albert Absmeier & KI

1072 Artikel zu „Zero Trust MFA“

News | IT-Security | Künstliche Intelligenz | Ausgabe 11-12-2025 | Security Spezial 11-12-2025

Daten in Behörden: Über den gesamten Lebenszyklus hinweg bestens geschützt – Umfassender Schutz sensibler Daten

30. Dezember 2025

Sichere Hardware und BSI-zugelassene Softwarekomponenten sind notwendig, um sensible Daten in Behörden zu schützen und den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu entsprechen. KI auf dem Gerät und nicht in der Cloud sowie eine sichere Entsorgung am Ende ihres Lebenszyklus ist ebenfalls entscheidend, um den Schutz der Daten zu gewährleisten.