Cyberkriminelle gehen immer intelligenter vor, um Sicherheitslösungen und Mechanismen in Unternehmen auszutricksen. Mit speziellen Techniken verschleiern sie ihre Angriffe und verhindern deren Erkennung. Dadurch ist eine Kompromittierung von Netzwerken noch gefährlicher.
Hacker nutzen alle Optionen und Wege, um unentdeckt in Netzwerke einzudringen. Dabei kommen häufig Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen.
(Bild: Art_spiral - stock.adobe.com)
Hacker und andere Cyberkriminelle dringen zumeist still in Netzwerke ein, um zu verhindern, dass ihre Angriffe schnell erkannt werden. Dabei kommen Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen. Hacker nutzen alle Optionen und Wege, um in Netzwerke einzudringen. Der CrowdStrike 2024 Global Threat Report zeigt beispielsweise auf, dass Angreifer zunehmend mit größerer Geschwindigkeit und Heimlichkeit operieren. Identitätsbasierte Angriffe haben 2023 stark zugenommen, unterstützt durch generative KI, die neue Techniken für Phishing und Social Engineering ermöglicht. Dabei kommen Technologien zum Einsatz, die Angriffe verschleiern sollen und die man deshalb auch als Evasions-Techniken (Evasion Tactics) bezeichnet.
So umgehen Hacker Sicherheitsmechanismen in Unternehmen
Evasion Tactics sind Techniken, die Angreifer einsetzen, um Sicherheitsmechanismen und -kontrollen zu umgehen. Ziel ist es, unbemerkt in Netzwerke und Systeme einzudringen. Diese Taktiken umfassen eine Vielzahl von Methoden, wie zum Beispiel das Verschleiern von Malware, das Nutzen von Zero-Day-Schwachstellen oder das Verschlüsseln des Datenverkehrs, um der Erkennung durch Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) zu entgehen.
Angreifer nutzen zudem Social Engineering, um Benutzer dazu zu bringen, bösartige Anhänge zu öffnen oder auf schädliche Links zu klicken. Bei Techniken wie Polymorphing wiederum ändert eine Schadsoftware ständig ihren Code. Ziel ist es, signaturbasierte Erkennungssysteme zu umgehen.
Phishing und Social Engineering sind wichtige Faktoren bei Evasion Tactics
Ein wichtiger Faktor bei Evasion Tactics ist es, an die Anmeldedaten von Benutzern zu kommen. Dabei fälschen die Angreifer bekannte Seiten im Internet, wie die Oberflächen von Suchmaschinen oder Anmeldemasken von Clouddiensten, etwa Azure, AWS oder auch Microsoft 365. Auch Support-Seiten sind ein häufig gewählter Weg, die Anwender abzulenken und heikle Informationen abzugreifen.
Die Seiten sind inzwischen professionell gestaltet, teilweise mit Hilfe von KI. Oft merken selbst erfahrene Anwender nicht, dass sie sich gerade auf einer gefälschten Seite befinden, auf der Angreifer versuchen an Unternehmensdaten zu kommen. Dabei kommen auch Technologien wie irreführende Umleitungen von Internetseiten (Deceptive Redirection Chain) zum Einsatz. Hierbei werden Zugriffe auf Webseiten so oft weiter- und umgeleitet, dass Anwender und zum Teil auch Sicherheitslösungen so „verwirrt“ werden, dass die Umleitungen auf bösartige Seiten schlichtweg nicht auffallen.
HTML-Schmuggel auf dem Vormarsch
Beim HTML-Schmuggel (HTML-Smuggeling) schleusen Cyberkriminelle schädlichen HTML-Code in scheinbar harmlose Dateien oder E-Mails ein. Die Nutzer öffnen die Dateien in der Annahme, dass sie sicher sind, was jedoch zur Ausführung des schädlichen Codes führt. Ein aktuelles Beispiel ist der Einsatz von HTML-Dateien, die in E-Mail-Anhängen verschickt werden. Diese Dateien enthalten versteckten JavaScript-Code, der beim Öffnen durch den Nutzer eine Phishing-Seite erzeugt. Auf dieser gefälschten Seite werden die Nutzer aufgefordert, vertrauliche Informationen wie Login-Daten einzugeben.
Beim Öffnen der Datei im Browser werden Nutzer auf eine gefälschte Login-Seite eines bekannten Online-Dienstes umgeleitet, die täuschend echt wirkt. Die Eingabe der Login-Daten führt zur sofortigen Weiterleitung dieser Daten an die Angreifer. Die Methode zeigt die Gefährlichkeit von HTML-Schmuggel, weil sie herkömmliche Sicherheitsmechanismen umgeht und Anwendern eine vertrauenswürdige Umgebung vortäuscht.
Legitime Systemwerkzeuge im Fokus von Angreifern
Eine weitere Methode sind Living-off-the-Land (LotL)-Techniken, bei denen Angreifer legitime Systemwerkzeuge und -prozesse missbrauchen. Zum Beispiel werden PowerShell-Skripte verwendet, um Malware herunterzuladen und auszuführen, ohne dass herkömmliche Antivirenprogramme dies erkennen. Der Link dazu ist in E-Mails versteckt.
Eine ebenfalls gängige Taktik ist die Verschleierung von Malware mittels Packers und Crypters, die den Schadcode durch Verschlüsselung und Kompression verbergen. Diese Techniken erschweren die Identifizierung und Analyse durch signaturbasierte Erkennungssysteme. Verbreitet ist auch die Verwendung von Fileless Malware, die ausschließlich im Arbeitsspeicher operiert und keine Spuren auf der Festplatte hinterlässt. Das erschwert die Forensik beträchtlich. Diese Beispiele verdeutlichen die Notwendigkeit erweiterter Sicherheitsmechanismen, wie Verhaltensanalysen und maschinellem Lernen, um Evasion Tactics entgegenzuwirken. Moderne Scantools suchen zum Beispiel nach verdächtigem Netzwerkverkehr, ohne dass auf den Endgeräten Agenten installiert sein müssen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Domain-Generation-Algorithms und Command-and-Control-Server
Der Einsatz von Domain-Generation-Algorithms (DGA), bei denen Malware automatisch eine Vielzahl von Domainnamen generiert ist in „freier Wildbahn“ ebenfalls häufiger zu beobachten. Diese Domains kommen zum Einsatz, um Command-and-Control-Server (C2) zu kontaktieren. Dadurch wird es schwieriger, die Kommunikation zu blockieren. Slow-and-Low-Angriffe, bei denen Angreifer ihre Aktivitäten bewusst verlangsamen und minimieren, um unter dem Radar von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) zu bleiben sind ebenfalls eine nicht zu unterschätzende Gefahr. Diese Methode erschwert es, bösartige Aktivitäten in einem Meer von legitimem Datenverkehr zu erkennen.
Phishing-Attacken werden zunehmend durch den Einsatz von Homograph-Angriffen durchgeführt, bei denen Angreifer visuell ähnliche Zeichen in URLs verwenden, um täuschend echte Phishing-Websites zu erstellen. Zum Beispiel kann ein kyrillischer Buchstabe, der wie ein lateinischer Buchstabe aussieht, in der URL eingesetzt werden, um Nutzer zu täuschen. Darüber hinaus nutzen Angreifer vermehrt Spear-Phishing-Kampagnen, bei denen gezielt bestimmte Personen oder Organisationen ins Visier genommen werden. Diese Kampagnen sind meist gut recherchiert und dementsprechend personalisiert. Das erhöht die Wahrscheinlichkeit, dass die Opfer auf den Betrug hereinfallen. Der Bericht „Introduction to the 2024 Annual Cyber-Threat Report“ von ReliaQuest hebt hervor, dass 71,1 Prozent der beobachteten Angriffe Spearphishing-Techniken nutzen. Zudem wurde ein starker Anstieg von Business Email Compromise (BEC) Angriffen um 246 Prozent festgestellt, unterstützt durch Phishing-as-a-Service (Phaas)-Angebote. Das zeigt, dass die Angreifer mittlerweile den Fokus auf die Anwender im Unternehmen legen.
Eine raffinierte Technik ist auch die Nutzung von CAPTCHA-Busting-Diensten. Sie ermöglichen es einem Angreifer, automatisierte Bots zu verwenden, um Phishing-Seiten vor Entdeckung zu schützen. Durch den Einsatz solcher Dienste stellen Angreifer sicher, dass nur menschliche Nutzer Zugriff auf die Phishing-Seite erhalten, während Sicherheits-Bots ausgesperrt werden. Auch die Verwendung von HTTPS auf Phishing-Seiten hat zugenommen, so dass Nutzer diesen Seiten tendenziell eher vertrauen. Gleichzeitig sind die Phishing-Seiten schwerer als solche zu erkennen, weil verschlüsselter Datenverkehr schwieriger zu analysieren ist.
Wie sollten Unternehmen auf Angriffe mit Evasion Tactics reagieren?
Um Unternehmen besser vor den genannten Angriffsmethoden zu schützen, sind Sicherheitsmaßnahmen erforderlich, die über herkömmliche Lösungen hinausgehen. Traditionelle Malware-Scanner und IDS-Systeme stoßen an ihre Grenzen, da sie hauptsächlich auf signaturbasierte Erkennung setzen und oft nicht in der Lage sind, die dynamischen und verschleierten Angriffe zu identifizieren. Stattdessen sollten Unternehmen auf agentenlose Systeme setzen, die den gesamten Netzwerkverkehr in Echtzeit überwachen und analysieren.
Solche Systeme haben den Vorteil, dass sie keinen zusätzlichen Software-Agenten auf Endgeräten benötigen, was die Systemleistung schont und die Verwaltung vereinfacht. Der Netzwerkverkehr wird kontinuierlich überwacht, so dass man verdächtige Aktivitäten und Anomalien, die auf potenzielle Bedrohungen hinweisen, frühzeitig erkennt. Zum Beispiel kann eine plötzlich auftretende Kommunikation mit einer großen Anzahl neu registrierter Domains, wie sie bei DGA-basierten Angriffen vorkommt, sofort identifiziert und blockiert werden.
Bei HTML-Schmuggel und Fileless Malware, die herkömmliche Erkennungsmethoden umgehen, spielen verhaltensbasierte Analysen eine entscheidende Rolle. Agentenlose Systeme identifizieren auffällige Verhaltensmuster, wie ungewöhnliche PowerShell-Aktivitäten oder das Laden von HTML-Dateien, die JavaScript-Code enthalten. Das gibt Firmen die Möglichkeit entsprechende Maßnahmen zu ergreifen, bevor Schäden entstehen. Anomalien im Netzwerkverkehr können auch auf die schon erwähnten Slow-and-Low-Angriffe verweisen, die gezielt IDS-Systeme umgehen.
Homograph-Angriffe und HTTPS-verschlüsselte Phishing-Seiten erfordern eine tiefgehende URL- und Inhaltsanalyse. Agentenlose Systeme registrieren subtile Unterschiede in URLs und analysieren den verschlüsselten Datenverkehr, um Phishing-Seiten trotzdem zu entlarven.
Wenn Unternehmen diese Techniken miteinander kombinieren, können sie eine robuste Verteidigungslinie gegen die vielfältigen und zunehmend raffinierten Bedrohungen aufbauen.
Über den Autor: Etay Maor ist Chief Security Strategist bei Cato Networks.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/df/c0df4b2e8ef61ceeab6ab50eac91e67b/0127003872v2.jpeg "Cyberkriminelle entwickeln neue Techniken und Methonden und nutzen immer häufiger legitime Tools aus, um Systeme zu kompromittieren. (©jariyawat - stock.adobe.com)")