Berechtigungen bestimmen den Zugriff, den ein User oder Gerät auf ein Netzwerk erhält. Hacker, die diese Privilegien kapern, können enorme Schäden anrichten. Es gibt jedoch Möglichkeiten, Systeme und Netzwerke zu schützen.
Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen.
(Bild: NicoElNino - stock.adobe.com)
Systeme und Software beziehen sich auf Berechtigungen, um den Benutzer- und Gerätezugriff auf Konfigurationseinstellungen, Funktionen und Daten zu beschränken. Zugriffsrechte sind daher eine äußerst wichtige Sicherheitsfunktion. Sie regeln das Ausmaß, in dem ein User mit einem System oder einer Anwendung und den zugehörigen Ressourcen interagieren kann.
Diese können einfachen Privilegien betreffen, die nur grundlegende Aktivitäten erlauben – wie beispielsweise den Zugriff auf Office-Anwendungen – oder sich bis hin zu weitreichenderen Administrator- oder Root-Privilegien erstrecken, die potenziell eine komplette Systemkontrolle gewähren. Daher sollte es nicht überraschen, dass Privilegien ein beliebtes Ziel für Angreifer darstellen. Das Ziel einer Privilege-Escalation-Attacke ist es, zusätzliche Privilegien für Systeme und Anwendungen innerhalb eines Netzwerks, Systems oder Online-Dienstes zu erlangen.
Funktionsweisen der Angriffe
Ein typischer Exploit könnte damit beginnen, dass der Hacker zuerst Zugriff auf ein Konto mit niedrigen Berechtigungen erhält. Nach der Anmeldung untersucht der Hacker das System, um andere Schwachstellen zu identifizieren, die er weiter ausnutzen kann. Anschließend verwendet er die Berechtigungen, um sich als einer der tatsächlichen User auszugeben, um Zugriff auf Zielressourcen zu erhalten und verschiedene Aktivitäten unentdeckt auszuführen.
Im Hinblick auf den Ablauf einer Privilege-Escalation-Attacke verwenden Hacker beispielsweise die Ausnutzung von Anmelde-Daten, Systemschwachstellen und sonstige Exploits, Social Engineering, Malware oder Fehlkonfigurationen eines Systems. Durch die Anwendung einer dieser Methoden verschaffen sich Angreifer einen Einstiegspunkt in ein System. Abhängig von ihren Zielen können sie ihre Privilegien weiter erhöhen, um die Kontrolle über ein Root- oder Administratorkonto zu übernehmen.
Arten von Privilege-Escalation-Attacken
Es gibt zwei Arten von Angriffen zur Rechteausweitung:
Horizontale Rechteausweitung
Einem Hacker gelingt es, Zugang zu einem Konto zu erhalten, das einem anderen User vorbehalten wird, der allerdings selbst nicht hochprivilegiert ist. Eine Sicherheitslücke tritt auf, wenn ein Hacker beispielsweise innerhalb einer Web-Anwendung in der Lage ist, auf das Konto eines anderen Users durch böswillige Aktivitäten zuzugreifen.
Vertikale Rechteausweitung
Dem Angreifer gelingt es, Zugriffsrechte mit dem Ziel zu kapern, Ressourcen, die eigentlich höher privilegierten Usern aus ganz anderen User-Gruppen vorbehalten sind, nutzen zu können.
Häufige Privilege-Escalation-Angriffe
In der Folge sind kurz einige gängige Beispiele für Privilegien-Eskalations-Angriffe skizziert:
Windows Sticky Keys
Dies ist eines der häufigsten Beispiele für Privilegien-Eskalationsangriffe von Windows-Betriebssystemen. Dieser Angriff erfordert physischen Zugriff auf das Zielsystem und die Möglichkeit, von einer Reparaturdiskette zu booten.
Windows-Systeminterna
Befehle bieten eine Quelle für Privilege-Escalation-Attacken in Windows. Diese Methode geht davon aus, dass der Angreifer über eine Hintertür von einem früheren Angriff verfügt, wie beispielsweise die Sticky-Keys-Methode von Windows. Der Angreifer muss Zugriff auf lokale Administratorrechte haben und sich dann bei Backdoor-Konten anmelden, um Berechtigungen auf Systemebene zu eskalieren.
Metasploit ist ein bekanntes Tool, einschließlich einer Bibliothek bekannter Exploits. Diese Bibliothek enthält den Privilege-Escalation-Angriff auf gerootete Android-Geräte. Es erstellt eine ausführbare Datei, bekannt als Super-User-Binärdatei, die es Angreifern ermöglicht, Befehle mit Administrator- oder Root-Zugriff auszuführen.
Mögliche Angriffstechniken
Das Ziel einer Privilege-Escalation-Attacke besteht in der Regel darin, möglichst hochrangige Privilegien zu erlangen und Zugangspunkte zu kritischen Systemen zu finden. Es gibt verschiedene Techniken, die Angreifer zur Rechteausweitung verwenden. Hier werden die häufigsten Techniken kurz vorgestellt:
User-Kontensteuerung umgehen
Die User-Kontensteuerung dient als Brücke zwischen Usern und Administratoren. Es beschränkt die Anwendungssoftware auf Standard-Berechtigungen, bis ein Administrator die Erhöhung der Berechtigungen autorisiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zugriffstoken manipulieren
In diesem Fall besteht die Hauptaufgabe des Angreifers darin, dem System vorzutäuschen, dass die laufenden Prozesse einem anderen User als dem autorisierten Benutzer gehören, der den Prozess gestartet hat.
Verwendung gültiger Konten
Hacker können Zugriffstechniken für Anmeldedaten nutzen, um Anmeldeinformationen von bestimmten Benutzerkonten zu erhalten oder sie mithilfe von Social Engineering auszuspähen. Sobald Angreifer auf das Netzwerk der Organisation zugreifen, können sie diese Anmeldedaten verwenden, um die Zugriffskontrolle auf IT-Systeme und verschiedene Ressourcen zu umgehen.
Best Practices zur Verhinderung von Angriffen
Im Folgenden sind einige Best Practices zur Vermeidung von Privilege-Escalation-Angriffen aufgelistet:
Systeme, Netzwerke und Anwendungen scannen und schützen: Der Einsatz von Schwachstellen-Scan-Tools hilft dabei, unsichere und nicht gepatchte Betriebssysteme, Anwendungen, schwache Kennwörter, Fehlkonfigurationen und andere Schwachstellen zu erkennen.
Privilegierte Konten verwalten: Das IT-Security-Team benötigt eine Bestandsaufnahme aller vorhandenen Konten und deren Zweckbestimmung.
Einrichtung solider Passwort-Richtlinien und MFA: Anwender müssen starke und eindeutige Passwörter verwenden. Einsatz einer Multi-Faktor-Authentifizierung für eine zusätzliche Sicherheitsebene. Damit sollen gleichzeitig Schwachstellen überwunden werden, die durch schwache Passwörter entstehen.
Security Awareness Trainings: Der User ist meist das schwächste Glied in der Sicherheitskette und gefährdet das gesamte Unternehmen. Dafür sollten regelmäßig IT-Security-Bewusstseinsprogramme mit Schulungen veranstaltet werden.
Datenbanken sichern und Benutzereingaben bereinigen: Datenbanken sind attraktive Ziele für Hacker, da Web-Anwendungen alle Daten wie Anmeldedaten, Konfigurationseinstellungen und Benutzerdaten in Datenbanken speichern. Mit einem erfolgreichen Angriff, wie beispielsweise SQL-Injection, können Hacker auf alle sensiblen Daten zugreifen und sie für weitere Angriffe nutzen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/45/f1/45f15040a97ad08135d7c7635f737ea7/0128764776v2.jpeg "In Veeam Backup & Replication fand der Hersteller bei internen Testings vier Sicherheitslücken, die mit der Version 13.0.1.1071 behoben wurden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/06/81063301a7b1384446e1956b0962da7c/0128938076v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/d8/73/d87362ef0fcf479f5f38706e92fe06bb/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/55/0855bf8e2dad6b6523d30edcbbf5adf4/0124411560v1.jpeg "Cloudflare meldet weltweit zahlreiche Internetunterbrechungen im Q3 2025 – ausgelöst durch Regierungsmaßnahmen, Kabelbrüche, Stromausfälle und technische Fehler. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/d5/38/d538c3e0f42fef61c34b1cadf2e6883c/0121532646v2.jpeg "Privileged Access Management (PAM) ist ein Sicherheitskonzept zur Absicherung privilegierter Konten mit erweiterten Berechtigungen.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/95/bb/95bbd9abdcef3a607b8a8f1841efe072/0124594202v2.jpeg "Cyberkriminelle attackieren Unternehmen zunehmend simultan über diverse Kommunikationswege. Der Artikel beleuchtet, wie diese Multivektor-Angriffe funktionieren und welche Strategien IT-Sicherheits-Experten ergreifen können, um ihre Organisationen wirksam zu schützen. (Bild: © StockUp - stock.adobe.com)")