:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e5/93/e593783eab747d8bd50897c447ce9d2d/0129711721v2.jpeg "Von hybriden Angriffen durch staatliche Akteure sind in der Rüstungsindustrie nicht nur die Hersteller betroffen, sondern auch ihre Zulieferer, Mitarbeiter sowie militärische Nutzer und Forschungseinrichtungen, da sie alle wertvolle Informationen und Technologien bereitstellen oder nutzen. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/b3/fcb3e33cc8b9edfb6da342799d5f9258/0129776266v2.jpeg "Laut CrowdStrike Global Threat Report 2026 stiegen KI-gestützte Angriffe 2025 um 89 Prozent, die durchschnittliche Breakout-Time sank auf 29 Minuten und der schnellste beobachtete KI-Angriff dauerte nur 27 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/8f/ee8fd3e601efda83748e775362b135bc/0129532315v1.jpeg "Die CBL-Datenretter isolierten die Speicherchips aus den korrodierten Karten und stellten nach eigenen Angaben sämtliche bis zum Geräteausfall aufgezeichneten Messwerte wieder her. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e07f8ca94d913d6571de0aec3b84d6e/0130114230v2.jpeg "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht die Einhaltung der Datenschutzgesetze in Deutschland, insbesondere der Datenschutz-Grundverordnung. (Bild: Johanna Wittig)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
Angriffsmöglichkeiten und deren Spuren
Oftmals bietet ein Portscan die Möglichkeit, Informationen zu einem zukünftigen Opfersystem zu erfahren. Dabei ist es durchaus denkbar, dass ein Wurm, der für Apache Server konfiguriert wurde, auf die Reise geschickt wird, um ein System zu kompromittieren. Diese Informationen sind mit diversen Security Scannern (z.B. nmap) zu erfahren und bieten Angreifern aber auch Administratoren die Chance, mehr über das eigene oder über ein Opfersystem in Erfahrung zu bringen.
So sind z.B. falsch konfigurierte Samba Shares oder gar Dienste wie Telnet offene Einfallstore und können von außen durch offene Ports erkannt werden. Ein Angreifer hat nun die Möglichkeit, dazu passend einen Exploit aus dem Internet zu laden und diesen auf dem Opfersystem zu benutzen. Mittels eines Buffer Overflow gelangt ein Angreifer in das Privileg, höhere Rechte auf einem betroffenen System zu erlangen. Damit ist bereits der Status erreicht, in dem sich der Angreifer ungehindert in einem System bewegen und es auskundschaften kann. Angreifer nutzen sehr häufig die Möglichkeit eines so genannten OS-Fingerprint, um an Details zu gelangen. Ein mögliches Beispiel ist:
~# nmap -O 213.33x.3x.xx.
Der Angreifer kann damit Details über das Opfersystem erhalten und sich gezielt auf die Suche nach Schwachstellen machen, die auf dem System vorhanden sein können.
Bei der Hacker-Jagd sollte man nie von der Dummheit des Angreifers ausgehen
Grundsätzlich sei hier zu beachten, dass ein System zunächst einmal von der Verbindung zum Netzwerk und/oder Internet getrennt sein sollte. Somit ist gewährleistet, dass im Falle eines erfolgreichen Angriffes niemand mehr außer Sie Zugriff hat. Angreifer haben genau wie Sie selbst die Möglichkeit, ein System zu manipulieren, um Spuren zu verwischen. Ein Angreifer hat natürlich das wesentlich größere Interesse daran.
Man sollte niemals mit der „Dummheit“ eines Angreifers rechnen und nicht davon ausgehen, dass dieser auch entsprechende Spuren im System hinterlässt. Generell jedoch darf man unterstellen, dass ein attackiertes System sich anders verhält als unter normalen Betriebsumständen. Es gibt spürbare und sichtbare Anzeichen, auf die man bereits im Leerlaufbetrieb achten kann. Beispielsweise könnte die Prozessorlast deutlich über einem Normalwert liegen oder die Festplatte deutlich mehr Aktivität als im normalen Betriebszustand zeigen.
Oftmals verwenden Angreifer den internen Mailserver, um sich Daten nach außen zu senden, die dann über /var/spool/mail/user einzusehen sind. Hier ist zu prüfen, in wie fern dort Mails hinterlegt oder gesendet wurden, die definitiv nicht durch den Admin oder User versendet wurden. Auch ein ständiger Traffic auf der aktiven Netzwerkschnittstelle (eth0, eth1 etc.) kann ein Anzeichen eines erfolgreichen Angriffs sein. Hierbei ist davon auszugehen, dass der Angreifer das System noch aktiv nutzt.
Seite 3: Einbruchserkennung: Logfiles verraten den Angreifer
(ID:2012403)
:quality(80)/p7i.vogel.de/wcms/7a/60/7a60257935bfaaf43ac2212ce605e135/0126295684v2.jpeg "Das Synology Protokoll-Center hilft Unternehmen dabei, System- und Netzwerklogs zu konsolidieren, Anomalien frühzeitig zu erkennen und und Transparenz zu schaffen. (Bild: © vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/46/9c4624623fa895d407b0ea714dfe4a9e/0125908455v2.jpeg "Das Sicherheitsteam von Darktrace konnte verhindern, dass die eingebaute Backdoor für Datendiebstahl und -kompromittierung genutzt wurde. (Bild: Dall-E / KI-generiert)")