Fileless Malware agiert ausschließlich im RAM und hinterlässt kaum Spuren – ein Albtraum für IT-Security. Der Artikel zeigt, wie Angreifer Windows-Schutzmechanismen umgehen, welche Techniken im Einsatz sind und wie Unternehmen sich wirksam schützen können.
Fileless Malware nutzt legitime Tools wie PowerShell, um unbemerkt im Arbeitsspeicher zu agieren und klassische Schutzmechanismen zu umgehen.
Fileless Malware gehört zu den schwer erkennbaren Formen moderner Cyberbedrohungen. Im Gegensatz zu klassischer Schadsoftware kommt sie ohne Dateien aus und agiert ausschließlich im Arbeitsspeicher. Diese Eigenschaften macht es für konventionelle Antivirenlösungen, wie z.B. dem Windows Defender, besonders schwer sie zu erkennen. Diese zunehmend anzutreffende Technik hat vielerlei Nutzen für Angreifer: Sie erlaubt es, Systeme unbemerkt zu kompromittieren, Daten auszuspähen oder zu verschlüsseln – also typisches Schadverhalten, jedoch ohne, dass eine klassische Malware-Datei vorhanden ist. Dabei hat die Ausführung ohne Dateien entscheidende Vorteile, um bei etwaigen Analysen durch Forscher nur schwer nachvollziehbar zu sein und wenige Spuren zu hinterlassen. Die Infektion mit diesem Malwaretyp erfolgt überwiegend durch Phishing E-Mails mit darin enthaltenen bösartigen Links bzw. mittlerweile weniger oft genutzten Makros in Office-Dokumenten, die lediglich die Ausführung der eigentlichen Malware anstoßen, sowie Softwareschwachstellen, die ebenfalls die Ausführung der Schadsoftware herbeiführen.
Je nach Anwendungsgebiet agiert die Malware als Loader bzw. Dropper für weitere Malware, Remote-Access-Trojan (RAT; was den Vollzugriff der Angreifer auf das Opfersystem ermöglicht) oder sogar als Ransomware. Um dies zu erreichen sind die Methoden wie auch die Anwendungsgebiete vielfältig. Von Process-Injection, dem injizieren von Schadprogrammen in fremde Prozesse, über die Nutzung von PowerShell bis hin zur Persistenz über Registry-Einträge (Datenbank für Konfigurationsparameter) oder die Aufgabenplanung liegen unter Windows – dem bevorzugten Angriffsziel – die Grenzen weit auseinander. Gleichzeitig erschweren Fileless Malware-Angriffe viele Offline-Forensik Analysen, da keine oder nur minimale persistente Spuren hinterlassen werden. Während klassische Malware Spuren in Form von Dateien auf der Festplatte hinterlässt, die bspw. eine Kategorisierung dieser zulässt, sind bei Fileless Malware oft nur flüchtige Hinweise oder Spuren in Logs der Betriebssysteme vorhanden. Bei heruntergefahrenem System lassen sich unter anderem verdächtige Registry-Einträge, Aufgabenplanungen im Task-Scheduler oder Systemereignisse auswerten. Für eine umfassendere Analyse sind jedoch Live-Untersuchungen notwendig – etwa durch Memory-Dumps oder Verhaltensanalysen im laufenden Betrieb. Ein Grund mehr bei einem Angriff den Rechner nicht direkt auszuschalten, sondern zu isolieren, um so flüchtige Asservate, also Beweismittel, zu erhalten.
Zum Schutz vor Fileless Malware ist eine Kombination technischer Maßnahmen, systemseitiger Einschränkungen und organisatorischer Vorkehrungen wie Mitarbeiterschulungen und klare Rechtevergaben von großer Bedeutung.
Neben möglicher und häufig genutzter Komponenten und Techniken von Fileless Malware, zeigt dieser Artikel tiefergehende Techniken wie die Umgehung Windows-eigener Schutzmaßnahmen, der Verschleierung der Fileless Malware selbst, die Analyse des Opfersystems, sowie die Exfiltration von Daten.
Um sich vor Fileless Malware zu schützen, reicht es nicht, nur auf klassische AV- oder EDR-Lösungen zu setzen. Stattdessen sollten Unternehmen einen mehrschichtigen Ansatz verfolgen:
PowerShell & Skripte einschränken Unsichere Versionen wie PowerShell 2.0 deaktivieren, Execution Policies strenger setzen und nur signierte Skripte zulassen.
AMSI und Logging aktiv nutzen Sicherstellen, dass das Antimalware Scan Interface (AMSI) nicht deaktiviert ist, und verdächtige Events (z. B. 4103, 4688) im Windows-Event-Log kontinuierlich überwachen.
Sofortmaßnahmen etablieren Tools für Memory-Dumps und Live-Analysen im Incident-Response-Plan vorsehen, um flüchtige Artefakte rechtzeitig sichern zu können.
Least-Privilege-Strategie durchsetzen Administratorrechte nur restriktiv vergeben, um Angriffsvektoren wie Process Injection zu erschweren.
Fazit: Wer Fileless Malware erkennen und abwehren will, braucht proaktives Monitoring, klare Richtlinien und geschulte Mitarbeiter. Nur so lassen sich die schwer fassbaren Angriffe effektiv eindämmen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fileless Malware unter Windows: Komponenten, Techniken und Herausforderungen
Im Rahmen einer Bachelorarbeit an der Hochschule Esslingen wurde untersucht, wie Fileless Malware unter Windows mit Powershell und C# generiert und ausgeführt werden kann. Das Ziel: zeigen, dass selbst komplexe Angriffe mithilfe von definierten Fileless Malware Komponenten innerhalb kurzer Zeit entwickelt und getestet werden können.
Eine weit verbreitete Eigenschaft – die besonders bei Fileless Malware vorkommt – ist die Modularität der einzelnen Komponenten. Zu den häufig eingesetzten Komponenten von Fileless Malware gehören Techniken zur Umgehung von PowerShell-Restriktionen (bestimmte Kommandos sollen nicht ausgeführt werden dürfen), AMSI-Bypass (System zur Schadcodeerkennung ausschalten), verschiedene Verschleierungstechniken (eine Analyse der Schadsoftware erschweren), Systemumgebungsanalysen (was könnte ein Angreifer auf dem System finden?), Prozessinjektion (einbinden von Schadcode in andere Prozesse) und Datenextraktion (nützliche Daten, wie Zugangsdaten, sind für Angreifer von großer Bedeutung). Nicht selten kommen auch weitere Funktionalitäten bis hin zur Datenverschlüsselung – dem typischen Ransomware-Verhalten – vor.
Einzelne Angriffsschritte – vom Initialzugriff bis zur Privilegienerweiterung (engl. Privilege Escalation, bspw. vom normalen Nutzer zum Administrator) – lassen sich durch flexible lose gekoppelte Module besonders einfach und performant umsetzen. Durch die Flexibilität einzelner Module erlaubt dies den Angreifern, ihre Werkzeuge schnell anzupassen oder weiterzuentwickeln, ohne das Gesamtkonstrukt grundlegend zu verändern. Zusätzliche Module können so ohne große Probleme entwickelt, bei Bedarf miteinbezogen und mehrfach wiederverwendet werden. Die ständige Anpassung der Komponenten und die dateilose Existenz sind zugleich einfache Methoden, um gegenüber von Antivirensystemen schwer erkennbar zu werden.
Im Folgenden wird erläutert, wie diese Komponenten funktionieren und wie erfolgreich Angriffe damit sind.
Abschalten des Constrained-Language Mode und PowerShell-Restriktionen
In Windows-Umgebungen werden Sicherheitsmechanismen wie der Constrained Language Mode (CLM) und die Begrenzung bestimmter PowerShell Versionen verwendet, um die Ausführung potentiell gefährlicher PowerShell-Befehle zu verhindern. Für Fileless Malware würde dies eine stark eingeschränkte Anzahl an Möglichkeiten oder sogar die Erkennung als Schadsoftware bedeuten. Um diese Schutzmechanismen zu umgehen, werden Bypass-Methoden verwendet. Eine Methode um den CLM zu umgehen bzw. diesen in den FullLanguage Mode zurückzusetzen besteht darin, die Umgebungsvariable „Temp“ auf ein anderes passendes Verzeichnis mit gleichen Rechten und Eigenschaften z.B. „C:\Windows\Task“ umzuleiten, da innerhalb dieses alternativen Verzeichnisses temporäre C#-Assembly-Dateien, die für die Ausführung von Payload erforderlich sind, gespeichert werden können. Des Weiteren können Angreifer auf die alte PowerShell Version 2.0 zurückgreifen, da diese Version viele moderne Sicherheitsmechanismen nicht unterstützt und so – trotz teils geringerer Funktionen – die Umgehung dieser ermöglicht. Voraussetzung ist aber, dass PowerShell 2.0 und auch das .NET-Framework 3.5 als Laufzeitumgebung aktiviert sind. Es zeigt sich aber, dass nicht nur die Implementierung dieser Bypass-Methoden sehr einfach ist, sondern auch die Umgehung von PowerShell-Restriktionen und des CLM entsprechend sehr erfolgreich und performant abläuft.
Windows Antimalware Methoden umgehen
Seit Windows 10 überprüft das Antimalware Scan Interface (AMSI) in Echtzeit Skripte und PowerShell Befehle auf schädlichen Code. Für Fileless Angriffe wäre dies fatal, da AMSI bei entsprechendem Verdacht die Ausführung des Powershell-Codes unterbinden und damit schon die erste Ausführung verhindert werden könnte. Damit das AMSI nicht auf schädliche Skripte reagiert, werden häufig AMSI-Bypass Methoden eingesetzt. Eine Möglichkeit zur Umgehung von AMSI besteht darin, fehlerhafte Zustände in diesem zu erzeugen. Dazu werden interne AMSI-Variablen im Bereich „System.Management.Automation.AmsiUtils“ auf ungültige Referenzen oder „null“ gesetzt. Damit befindet sich AMSI in einem fehlerhaften Zustand, wodurch keine Eingaben oder Skripte mehr analysiert werden. Alternativ kann AMSI direkt im Arbeitsspeicher manipuliert werden. Dazu wird die Speicheradresse der Funktion „AmsiScanBuffer“ aus der geladenen „amsi.dll“ ermittelt, diese mit einem manipulierten Code-Block gezielt überschrieben und damit deaktiviert. Diese alternative Methode erfordert allerdings erhöhte Rechte eines Administrators. Während der Bypass mittels Fehlererzeugung einfach umzusetzen ist, wird der Memory Patching Angriff durch den Windows Defender in den Tests zuverlässig blockiert.
Angriffe durch Fileless Malware sollen aus Sicht des Angreifers möglichst unerkannt bleiben, weshalb diese nicht nur bei dieser Art von Malware umfangreiche Verschleierungstechniken einsetzen. Damit signaturbasierte Erkennungsverfahren die Angriffe nicht verhindern, müssen Angreifer entsprechende Anpassungen vornehmen. Dies geschieht etwa dadurch, dass die Variablen- und Funktionsnamen durch zufällige Zeichenketten ersetzt werden, die aber bei Ausführung trotzdem noch dasselbe Ergebnis zu Tage bringen.
Eine weitere grundlegende Technik zur Verschleierung ist es den Malwarecode mithilfe von Base64 zu kodieren. Außerdem kann eine Komprimierung bspw. mit GZip verwendet werden, die erst zum Zeitpunkt der Ausführung dekomprimiert wird. Ein Vorteil dabei ist, dass die Zeichen nicht einfach wie bei Base64 dekodiert werden können. Daneben stellt die Verschlüsselung mit AES eine fortschrittliche Methode dar. Die Payload wird verschlüsselt und kann nur mithilfe eines passenden Schlüssels und PowerShell-Befehls wieder entschlüsselt und damit ausgeführt werden. Das Ergebnis ist ein nicht erkennbares Datenkonstrukt, welches den schädlichen Inhalt erst nach der Entschlüsselung zur Ausführung bringt. In praktischen Experimenten hat sich gezeigt, dass die Verschlüsselung mit AES oder Base64 Kodierung des Payloads keine Probleme bei der Ausführung der Fileless Malware macht, die (De-)Komprimierung durch Antivirensysteme, wie dem Windows Defender, aber relativ einfach erkannt und blockiert werden. Dennoch erschweren alle Verschleierungsmethoden die Analyse und bei geeigneter Anpassung könnte sogar die Erkennung des GZip-Bausteins verhindert werden.
Erkennung von Antivirus Software und virtuellen Maschinen
Um Analysen und die Erkennung der Fileless Malware zu verhindern, nutzen Entwickler von Schadsoftware nicht selten Systemumgebungsanalysen. Diese ermöglichen es bspw. Antiviren-Lösungen (AV) und virtualisierte Umgebungen (VMs) zu erkennen. Sollten deaktivierte Antiviren-Lösungen erkannt werden, hat die Malware erhöhte Aussichten auf Erfolg. So kann sie nicht mehr bei der Ausführung behindert werden. Erkennt die Fileless Malware aber eine virtuelle Umgebung, kann eine Analysesituation vorliegen und es könnte entsprechend reagiert werden, denn Analysten nutzen in der Regel virtuelle Maschinen – zumeist sind Reaktionen darauf, dass sich die Malware dann selbst beendet oder selbst löscht. Um AVs bzw. VMs zu finden genügt es zumeist auf spezifische Prozesse, Treiber oder Speicherorte, die auf solche Produkte hinweisen zu prüfen. Typische Suchwörter sind bspw. „vbox“ oder „virtualbox“ für Oracles Virtualisierungsumgebung, „vmware“ für die von Broadcom oder „hyperv“ bzw. „hyper-v“ für die Windowslösung. Wie sich gezeigt hat, unterbinden diese Analysen herkömmliche Antivirensystemen, wie der Windows Defender nicht. Das hilft Fileless Malware zusätzlich unerkannt zu operieren und einer Analyse zu entgehen.
Infiltrieren von anderen Prozessen durch Process-Injections und Exfiltration von Daten
Angriffe durch Fileless Malware zielen normalerweise darauf ab Code nicht selbst, sondern durch harmlose Opferprozesse (also z.B. die des Browsers oder Taschenrechners) auszuführen, um höhere Rechte zu erlangen oder um versteckt zu bleiben. Damit dies erreicht wird, ist eine Komponente für Process-Injections notwendig. Dadurch kann Code direkt im Speicher eines laufenden Prozesses, beispielsweise des Taschenrechners, geladen und ausgeführt werden. Weit verbreitete Methoden wie die Self-Injection oder Remote-Injection basieren unter Windows darauf, verschiedene API-Funktionen aus der kernel32.dll, die die nötigen Funktionalitäten enthält, zu nutzen, um so Speicherbereiche zuzuweisen, darin Code zu laden und auszuführen. Meist sind die Unterschiede der Techniken nur marginal, benötigen aber in der Regel Administratorrechte. Trotz der seit Langem bekannten Injection-Methoden ist deren Implementierung und Ausnutzung nach wie vor sehr einfach und wird in praktischen Experimenten vom Windows Defender nicht erkannt.
Ebenfalls ohne Probleme kann eine Exfiltration von Daten jeglicher Art erfolgen – solange keine entsprechende Sicherheitslösung im Netzwerk dazwischen geschalten ist. Das Ziel der Exfiltration von Daten insbesondere bei Fileless Malware ist es, zumeist sensible Informationen auch aus dem Arbeitsspeicher zu extrahieren. So kann es vorkommen, dass ein Datenverlust erst spät entdeckt und durch die wenigen Spuren, die die Fileless Malware hinterlässt, schwer nachvollziehbar wird. Für eine erfolgreiche Exfiltration kann mithilfe von NativeDump ein Abbild des Speichers erstellt und dieses mit Hilfe von bspw. Mimikatz untersucht werden. Mimikatz ist in der Lage Anmeldedaten aus dem Speicherabbild auszulesen. Trotzdem werden für den Speicherdump in der Regel Administratorrechte benötigt, die in betrieblichen Umgebungen nicht vorhanden sein sollten. Daneben bieten sich viele weitere Tools und Exfiltrationsziele an. Nicht selten werden lokale Passwortspeicher oder Browserhistorien Ziel dieser Methoden.
Trotz ihrer flüchtigen Natur hinterlässt dateilose Schadsoftware – wenn auch nur wenige – Spuren im System, etwa in der Windows-Ereignisanzeige. Ereignis-IDs wie: 4103 (ausgeführte PowerShell-Skriptblöcke), 4688 (neue Prozessstarts), 1026 (.NET-Fehlermeldungen), oder Systemevents wie 1000 (Anwendungsfehler), 1001 (Windows Fehlerberichte), 400 (Start von PowerShell), und 800 (PowerShell Befehlsausführung (Pipeline Execution)) können Hinweise auf laufende Angriffe liefern. Dennoch gelingt es vielen Angriffen, diese Spuren gezielt zu unterdrücken oder zu manipulieren. Im Gegensatz zu herkömmlicher Malware liegen die Vorteile damit auf der Hand.
Ein Praxisbeispiel für die Umsetzung solcher Techniken wurde im Rahmen der Bachelorarbeit an der Hochschule Esslingen entwickelt. Hierbei entstand ein modulares Framework, das die verschiedenen Fileless-Komponenten kombiniert zusammenfasst. Die Analyse dieser Werkzeuge erfolgte in einer kontrollierten Windows 11 Umgebung mit eingeschaltetem Microsoft Defender. Besonderer Fokus lag auf der Untersuchung der Umgehungstechniken, forensische Spuren und schließlich der Performanz der Module.
Die Studie zeigt: Die Effektivität klassischer Schutzmaßnahmen sinkt deutlich, wenn Angriffe vollständig im RAM ausgeführt werden und damit bekannte Kontrollmechanismen umgangen werden können. Daraus ergibt sich ein dringender Handlungsbedarf: Neben der Einschränkung von PowerShell und der Vergabe minimaler Rechte, sollten sich Unternehmen nicht nur auf oberflächliche Schutzmechanismen, wie Antivirenscanner oder E-Mail Spam-Scanner verlassen. Vielmehr können gezieltes Monitoring der Infrastrukturbestandteile (u.a. des Datenverkehrs, um bspw. Exfiltrationen festzustellen) und verstärkte Schulungsmaßnahmen der Mitarbeiter im Umgang mit E-Mails und dem Internet, die Wahrscheinlichkeit von Angriffen vermindern. Speziell die Techniken Social-Engineering und Phishing gelten als potentielle Einfallslöcher für den initialen Kontakt und dies geschieht überwiegend mittels vom Nutzer ausgeführter E-Mail Anhänge oder heruntergeladener Dateien. Neben dem technischen Know-how gilt es auch Verhaltensweisen bei infizierten Geräten zu trainieren, sodass diese nicht heruntergefahren, sondern wie erwähnt isoliert werden, um Angriffe durch Analysen zu kategorisieren und Schäden gezielt abwehren zu können.
Über die Autoren
Enrico Belgiovine ist Bachelorabsolvent der Hochschule Esslingen und arbeitet derzeit als Penetrationtester.
Bastian Buck ist in seiner Freizeit Malwareanalyst und momentan als Doktorand im Bereich der Netzwerksicherheit an der Hochschule Esslingen tätig. In früheren Arbeiten evaluierte er Unterschiede bei der Erkennung von Ransomware durch Wahl der Programmiersprache und analysierte Verhalten realer Malwaredropper/-loader.
Nils Lohmiller ist ebenfalls Doktorand im Bereich der IT-Sicherheit, genauer der Automotive Security an der Hochschule Esslingen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/34/58/34585089574d7ffc153c01ad695f8bd7/0125189196v2.jpeg "Unternehmen sollten Endnutzer sensibilisieren, keine Anweisungen auf dubiosen CAPTCHA-Seiten zu befolgen, besonders wenn dabei manuelle Eingaben oder das Ausführen von Befehlen gefordert werden. (Bild: © Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/87/8a874aca94cc1b29ca0f0e2de6717088/0121305879v1.jpeg "Hacker nutzen alle Optionen und Wege, um unentdeckt in Netzwerke einzudringen. Dabei kommen häufig Evasion Tactics zum Einsatz, mit denen sich viele Sicherheitslösungen umgehen lassen. (Bild: Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/6a/c16ab999d16f44e9f00c986227c97590/0121372505v2.jpeg "Eine neue Bedrohung erobert das Netz: Registered Domain Generation Algorithms (RDGAs) ermöglichen es Cyberkriminellen, Millionen von Domains zu registrieren und ihre Angriffe unentdeckt zu skalieren. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/de/2cdef9c7a86c5b4b60afbfc392c66726/0105856060.jpeg "Bei der Steganografie wird meist nicht bemerkt, dass sich in Datenordnern noch weitere, verschlüsselte Informationen verbergen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/0e/320e04f5e11f6c78c4ee94b0269b18cc/0123808176v2.jpeg "Cyberkriminelle erstellen gefälschte Captcha-Abfragen, um Nutzer dazu zu bringen, bösartige Programme zu installieren. (Bild: NTB - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/bc/f6bc084b6c5823f48c6729ad1fd100d9/0123772860v1.jpeg "Für Phishing- und Malware-Kampagnen nutzen Cyberkriminelle immer häufiger vertrauenswürdige Web-Infrastruktur- und CDN-Services um ihre bösartigen Aktivitäten zu tarnen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/58/34585089574d7ffc153c01ad695f8bd7/0125189196v2.jpeg "Unternehmen sollten Endnutzer sensibilisieren, keine Anweisungen auf dubiosen CAPTCHA-Seiten zu befolgen, besonders wenn dabei manuelle Eingaben oder das Ausführen von Befehlen gefordert werden. (Bild: © Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/df/c0df4b2e8ef61ceeab6ab50eac91e67b/0127003872v2.jpeg "Cyberkriminelle entwickeln neue Techniken und Methonden und nutzen immer häufiger legitime Tools aus, um Systeme zu kompromittieren. (©jariyawat - stock.adobe.com)")