Antivirus-Lösungen gehören zum Unternehmensstandard bei der IT-Sicherheit, trotzdem wird Malware noch immer regelmäßig erfolgreich ausgeführt. ISX-Keynote-Sprecher Dr. Siegfried Rasthofer gibt im Gespräch mit Security-Insider einen Überblick über die neuesten Entwicklungen und Technologien im Bereich Endpoint Security und welche Auswirkungen Bypass-Techniken in Malware auf die Sicherheit von Endpoints haben.
ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence.
(Bild: www.rasthofer.info)
Security-Insider: Herr Dr. Rasthofer, der Titel Ihrer Keynote auf der diesjährigen ISX Conference lautet „Schützen Antivirus- und Endpoint Protection-Lösungen wirklich?“ Jetzt hat man Unternehmen jahrzehntelang gesagt, dass ein guter Virenschutz unerlässlich ist und jetzt schützt das womöglich gar nicht mehr ausreichend?
Dr. Siegfried Rasthofer: Antivirus- und Endpoint Protection-Lösungen spielen nach wie vor eine wichtige Rolle beim Schutz vor Malware und anderen Bedrohungen. Allerdings hat sich die Landschaft der Cyberbedrohungen weiterentwickelt, und aktuelle Angriffsmethoden wie Zero-Day-Exploits und gezielte Angriffe erfordern zusätzliche Sicherheitsmaßnahmen. Daher ist es wichtig, dass Unternehmen ihre Sicherheitsstrategie erweitern und eine mehrschichtige Verteidigung implementieren. Eine ganzheitliche Sicherheitsstrategie, die auf aktuellen Bedrohungen basiert, ist unerlässlich, um die Sicherheit von Unternehmen zu gewährleisten.
Security-Insider: „Antivirus“ war ja eigentlich „gestern“, heute heißen die Lösungen „Endpoint Detection“, „EDR“ oder „EPP“ können Sie mal kurz beschreiben, was sich da denn in den vergangenen Jahren grundlegendes geändert hat?
Dr. Rasthofer: In den letzten Jahren hat sich der Fokus von herkömmlichen Antivirus-Lösungen hin zu Endpoint Detection and Response (EDR) verschoben. EDR bietet eine erweiterte Bedrohungserkennung und Reaktionsfähigkeit durch kontinuierliche Überwachung, automatisierte Bedrohungsanalyse und forensische Untersuchungen. Im Gegensatz zu traditionellen Signaturen bei Antivirus-Lösungen basiert EDR auf Verhaltensanalysen und maschinellem Lernen, um unbekannte oder fortschrittliche Bedrohungen zu erkennen. Durch umfangreiche Protokollierung und Echtzeitüberwachung ermöglicht EDR eine schnelle Reaktion auf Sicherheitsvorfälle und verbessert die Gesamtsicherheit des Endpunkts. Die Verlagerung von Antivirus zu EDR spiegelt die Notwendigkeit wider, sich an die sich entwickelnde Bedrohungslandschaft anzupassen und gezieltere Abwehrmaßnahmen einzusetzen.
Security-Insider: Die Anti-Malware-Lösungen haben sich ja vor allem weiterentwickelt, weil sich die Malware selbst immer mehr weiterentwickelt hat. Vor 15 Jahren begann gerade erst der Siegeszug der Ransomware. Was waren da die wichtigsten Entwicklungsschritte, die uns auch heute noch Probleme bereiten?
Dr. Rasthofer: Im Laufe der letzten 15 Jahre haben Anti-Malware-Lösungen wichtige Entwicklungsschritte vollzogen, um den sich weiterentwickelnden Bedrohungen durch Malware gerecht zu werden. Verbesserungen umfassen fortgeschrittene Erkennungstechnologien, Verhaltensanalyse, Sandboxing und maschinelles Lernen. Dennoch stellen uns bis heute unterschiedliche Bedrohungen wie Software-Supply-Chain Angriffe, Zero-Day und N-Day Schwachstellen und insbesondere der Aufstieg von Ransomware-as-a-Service (RaaS) vor große Probleme. RaaS ermöglicht es Kriminellen, leichter Ransomware-Angriffe durchzuführen. Um solche Herausforderungen zu bewältigen, sind kontinuierliche Innovationen in der Sicherheitsindustrie erforderlich, um auch fortgeschrittene Bypass-Techniken effektiv abzuwehren.
Security-Insider: Schadsoftware hat ja schon seit den ersten polymorphen Viren versucht Erkennungssoftware zu umgehen. Was zeichnet die neuen Bypass-Techniken denn im Besonderen aus, was macht sie so gefährlich?
Dr. Rasthofer: Bei der Betrachtung von Bypass-Techniken sollte zwischen Antivirus (AV) und Endpoint Detection and Response (EDR) unterschieden werden.
Bei AV-Bypass-Techniken werden häufig Code-Obfuskation oder die Ausnutzung einer Fehlkonfigurationen der Lösung eingesetzt. Zusätzlich kann das gezielte Beenden der AV-Engine durch Prozessbeendigung verwendet werden, um die Funktionalität des Schutzprogramms zu deaktivieren. Letzteres ist aber in der Regel erst möglich, wenn der Angreifer über die entsprechenden privilegierten Zugriffsrechte verfügt.
EDR-Bypass-Techniken hingegen sind komplexer und nutzen Techniken wie Zero-Day Schwachstellen oder auch das Prinzip des "Living off the Land". Letzteres bezieht sich auf die Ausnutzung bereits vorhandener Tools und Funktionen des Systems, um schädliche Aktivitäten auszuführen, was es schwieriger macht, sie zu erkennen und zu blockieren. Hierbei sind auch Techniken wie das Einbinden von unsicheren Treibern („bring your own vulnerable driver“) eine gängige Technik.
Die Gefährlichkeit dieser Bypass-Techniken liegt in ihrer Fähigkeit, den herkömmlichen Schutz zu umgehen und schädliche Aktivitäten unauffällig auszuführen. Dadurch können Angreifer länger im System unentdeckt bleiben, was das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden erhöht. Unternehmen müssen sich dieser Bypass-Techniken bewusst sein und ihre Sicherheitsmaßnahmen kontinuierlich verbessern, um ihnen effektiv entgegenzutreten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Security-Insider: Welche Bypass-Technik sehen Sie am Häufigsten in der Praxis?
Dr. Rasthofer: In der Praxis sind die häufigsten Bypass-Techniken eher einfacher Natur, wie das Beenden des Antivirus-Programms (Prozess) oder die Ausnutzung von Fehlkonfigurationen in Antivirus und Endpoint Detection and Response. Diese Techniken ermöglichen es Angreifern, vorübergehend unerkannt zu bleiben. Allerdings treten auch gelegentlich aufwendigere Techniken auf, wie beispielsweise die Nutzung fortschrittlicher Code-Obfuskation oder Zero-Day-Exploits, um gezielte Angriffe durchzuführen.
Security-Insider: Was können Unternehmen tun, um sich gegen solche sich tarnenden Malware-Exemplare zu wehren, wenn es schon der dafür gekaufte Endpoint-Schutz nicht hundertprozentig kann?
Dr. Rasthofer: Um sich gegen sich aktuelle Angriffe zu wehren, sollten Unternehmen eine umfassende Sicherheitsstrategie verfolgen. Neben dem Einsatz von Antivirus und Endpoint Protection ist es wichtig, weitere Sicherheitsmaßnahmen zu implementieren.
Ein Zero-Trust-Ansatz stellt sicher, dass keine Verbindung oder Zugriff als vertrauenswürdig angesehen wird, sondern stets gründlich überprüft wird. Identitäts- und Zugriffsmanagement ermöglichen eine granulare Kontrolle über Berechtigungen und verhindern unbefugten Zugriff auf sensible Daten und Systeme. Patch-Management stellt sicher, dass Sicherheitslücken geschlossen werden und keine bekannten Schwachstellen ausgenutzt werden können.
Netzwerksegmentierung hilft, die Ausbreitung von Malware einzudämmen und begrenzt potenzielle Schäden auf bestimmte Bereiche des Netzwerks. Durch die Implementierung von Multi-Faktor-Authentifizierung wird die Sicherheit von Konten erhöht, da mehrere Bestätigungsschritte erforderlich sind.
Darüber hinaus ist die Vorbereitung auf den Ernstfall von großer Bedeutung. Ein Incident Response Plan legt klare Verfahren fest, um auf Sicherheitsvorfälle effektiv zu reagieren. Regelmäßige Übungen ermöglichen es den Mitarbeitern, mit den Verfahren vertraut zu werden und im Ernstfall angemessen zu handeln.
Indem Unternehmen diese Maßnahmen umsetzen, können sie ihre Verteidigungsfähigkeiten stärken und sich gegen aktuelle Angriffe besser schützen, selbst wenn der Endpoint-Schutz nicht hundertprozentig wirksam ist. Eine umfassende Sicherheitsstrategie, die diese Aspekte berücksichtigt und die Vorbereitung auf den Ernstfall einschließt, minimiert das Risiko von Sicherheitsverletzungen und trägt zur effektiven Abwehr von Bedrohungen bei.
Über die ISX IT-Security Conference
Die ISX 2023 findet am 28. Juni in Hamburg, am 4. Juli in Mainz und am 6. Juli in München statt. Für Anwender ist die Teilnahme an der ISX kostenfrei. IT-Dienstleister nehmen mit dem Zugangscode ISX23-SEI zum reduzierten Preis von 75 Euro (inkl. MwSt.) teil.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/da/83da562438dce687572cd0c63e3d0e70/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/29/81/2981228e15e6c04bbc02519fb0e88d4a/0124646314v2.jpeg "Dr. Siegfried Rasthofer gibt auf der ISX IT-Security Conference 2025 wertvolle Einblicke in seine Arbeit als IT-Sicherheitsberater und teilt sein Wissen über Cyberkriminalität mit uns. (Bild: © Christopher - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/50/655055f82cccc1605622861a613da2cf/0112503478.jpeg "Intercept X bietet fortschrittlichen Schutz gegen Ransomware und stellt verschlüsselte Dateien wieder her. (Bild: Canva)")