Bitdefender sieht die Zukunft der Cybersicherheit in einer Mischung aus anpassungsfähiger Prävention, KI-gestützter Erkennung und menschlichem Know-how. Laut DACH-Chef ist das vor allem wegen der vielschichtigen LOTL-Problematik notwendig.
Der Begriff „Living-off-the-Land“ (LOTL) kommt aus dem Survival-Jargon und beschreibt die Fähigkeit, sich über gegebene Ressourcen aus der Wildnis zu versorgen.
(Bild: Midjourney / KI-generiert)
Living-off-the-Land (LOTL) beschreibt in der IT-Security die Taktik des lautlosen Einbruchs: Angreifer bringen keine auffällige Schadsoftware mit, sondern nutzen ausschließlich Ressourcen, die sie direkt im System vorfinden. Damit dieser Missbrauch mächtiger Bordmittel wie der PowerShell überhaupt starten kann, benötigen Hacker zunächst einen „Fuß in der Tür“ – etwa durch ein manipuliertes Office-Dokument oder eine kleine Sicherheitslücke. Einmal eingedrungen, zweckentfremden sie legitime Werkzeuge für ihre Zwecke.
Gegebene Ressourcen im System
Da diese Programme zum vertrauenswürdigen Standard gehören, agieren die Täter für klassische Virenscanner nahezu unsichtbar und tarnen ihren Angriff als gewöhnlichen Systemprozess. Im LOLBAS-Projekt sammelt „die gute Seite“ der IT-Security die bekannten LOTL-Angriffspunkte (Kasten). Der Begriff stammt ursprünglich aus dem Militär- und Survival-Bereich und beschreibt die Fähigkeit, in der Wildnis ohne mitgebrachte Vorräte zu überleben, indem man ausschließlich die Ressourcen nutzt, die man vor Ort in der Natur vorfindet.
Hintergrund
Living-off-the-Land (LOTL) und das LOLBAS-Projekt
Bei Living-off-the-Land-Taktiken nutzen Angreifer keine eigene Malware, sondern missbrauchen bereits installierte, legitime Systemwerkzeuge wie die PowerShell, WMI oder administrative Befehle für ihre Zwecke. Da diese Tools vom Betriebssystemhersteller signiert sind und für den regulären IT-Betrieb benötigt werden, bleiben solche Aktivitäten für herkömmliche Antiviren-Scanner oft unsichtbar. Diese „fileless“ Strategie minimiert den digitalen Fußabdruck und erschwert die forensische Analyse erheblich, da keine verdächtigen Dateien auf der Festplatte abgelegt werden. Eine Übersicht bekannter Missbrauchsmöglichkeiten bietet das LOLBAS-Projekt hier.
MDR-Abläufe im Wandel
Jörg von der Heydt, Regional Director DACH bei Bitdefender verrät, dass Living-of-the-Land-Taktiken die Arbeit in seinem Unternehmen grundlegend verändert haben. Denn: Eine klassische Signaturerkennung greift nicht mehr, da Angreifer legitime Windows-Bordmittel wie PowerShell oder WMI nutzen. „Unsere Managed-Detection-and-Response (MDR)-Analysten fokussieren sich deshalb stark auf Verhaltensanomalien und Prozess-Kontexte anstatt auf Datei-Hashes“, so der Bitdefender-Chef. Das erhöhe den analytischen Aufwand pro Alert erheblich. Auf der anderen Seite würde ein solches Vorgehen aber die erforderliche Tiefe erhöhen: „Ein Rund-um-die-Uhr-MDR-Dienst unserer Experten kann diese auch liefern.“ Dabei bewerten diese Analysten Sicherheitsereignisse zunehmend im Kontext der einhergehenden Risiken und priorisieren sie entsprechend.
Erkennungs- und Präventionsmaßnahmen
Jörg von der Heydt, Regional Director DACH, Bitdefender
(Bild: Bitdefender)
Neue Bedrohungen verlangen nach neuen Erkennungs- und Präventionsmaßnahmen. Bei Bitdefender setzt man auf ein granulares Logging und die Korrelation von Prozess-Lineage-Daten. Von der Heydt erklärt, dass die zugrundeliegende Frage vor diesem Hintergrund folgendermaßen lautet: „Wer hat welchen Prozess mit welchen Parametern gestartet?“ Mit der PHASR-Technologie (Proactive Hardening and Attack Surface Reduction) analysiert Bitdefender das individuelle Nutzerverhalten und schränkt automatisch Rechte und Tool-Zugriffe ein, die ein User nachweislich nicht benötigt. „Zusätzlich nutzen wir Behavioral-Heuristics-Regeln, die zum Beispiel Base64-einkodierte PowerShell-Aufrufe oder eine ungewöhnliche Windows Management Instrumentation Event Subscription sofort melden. Damit reduzieren wir die Angriffsfläche, bevor ein Angreifer überhaupt aktiv wird“, so der Bitdefender-Chef.
Modulares Framework
Bitdefender geht die Problematik mit einem „MDR-Plus-Service“ an, der auf einem modularen Framework basiert: Der Security-Experte erklärt: „Die Kernprozesse – Monitoring, Triage und Response – sind standardisiert und erprobt. Darüber legen wir eine Anpassungsebene, in der wir kritische Assets, Geschäftszeiten, Eskalationswege und zugelassene Tools für jeden Kunden individuell definieren.“ Individuell heißt dann: Ein legitimes Admin-Tool werten die Experten beim Kunden A nicht als Angriff, beim Kunden B aber sehr wohl – ohne dass Bitdefender jedes Mal die Grundlogik neu bauen muss. Zusätzlich können demnach im Vorfeld festgelegte Aktionen mit dem Kunden abgestimmt werden. Dabei handelt es sich um Maßnahmen, die Bitdefender im Falle von Sicherheitsereignissen oder bei beobachteten Anomalien eigenständig ergreifen darf, wenn der Kunde über keine eigenen Ressourcen verfügt oder ein Vorfall außerhalb der üblichen Geschäftszeiten erkannt wird. Standardisierung und individueller Kontext kommen so zusammen.
SOC-Analysten und MSP-Ingenieure
Bei Bitdefender arbeitet man im LOTL-Kontext mit klar definierten Eskalationspfaden und auf der Basis gemeinsamer Playbooks, welche die SOC- und MSP-Seite verbinden. Bei Fileless-Angriffen oder lateralen Bewegungen gibt es laut von der Heydt eine direkte Hot-Line zwischen dem detektierenden Analysten und dem zuständigen, die jeweilige Umgebung kennenden MSP-Ingenieur. Entscheidend sei im Tagesgeschäft, dass beide Seiten dieselbe Datenbasis sehen – in diesem Fall über die Bitdefender-Plattform als „Single Pane of Glass“, wie es von der Heydt ausdrückt. Das verkürzt seiner Darstellung nach die durchschnittliche Zeit von der Entdeckung bis zur Eindämmung (Mean Time To Contain - MTTC) erheblich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Alert-Flut und Fehlalarme
Zum Einsatz kommt eine mehrstufige Korrelations-Engine, die Einzel-Events zu Incidents aggregiert und mit einem Risiko-Score versieht. PHASR (Proactive Hardening and Attack Surface Reduction) liefert dabei laut von der Heydt den entscheidenden Baseline-Kontext: „Wenn ein Nutzer PowerShell nie verwendet, ist ein entsprechender Aufruf automatisch hochpriorisiert.“ Machine-Learning-Modelle, die auf Millionen von globalen Telemetriedaten trainiert sind, helfen dabei, gewöhnliches Admin-Verhalten von echten Angriffen zu trennen. Das Ergebnis: Die Analysten beschäftigen sich mehr mit den tatsächlichen Gefahren und weniger mit störendem Rauschen.
Wirksam gegen LOTL-Angriffe vorgehen
Will man LOTL-Angriffe unterbinden, hat laut dem Bitdefender-Manager den stärksten Effekt eine Kombination aus Prozess-Lineage-Analyse und dem KI-gestützten Erkennen von Anomalien. PHASR sei dabei ein Game-Changer, denn Anstatt nur zu detektieren, reduziert die Technologie proaktiv die Rechte und Zugriffe auf Systemtools, die ein bestimmter Nutzer oder Endpunkt nicht braucht. „Ergänzend setzen wir Deception-Technologien ein – Honeypots und Honeytokens –, die sich lateral bewegende Angreifer zuverlässig aufdecken“, so der Manager. KI übernimmt demnach dabei die Korrelation großer Datenmengen. Das letztendliche Urteil liege aber immer bei den menschlichen Experten.
Werkzeugkasteninventarisierung
RMM-Tools wie AnyDesk, TeamViewer oder ConnectWise sind laut von der Heydt legitim – und genau deshalb stellen sie einen bevorzugten Angriffsvektor dar. Bei Bitdefender wird daher bei jedem Kunden alle autorisierten Remote-Access-Tools inventarisiert. Dann wird definiert, welche Nutzer, Systeme und Zeiten zulässig sind. Abweichungen davon – zum Beispiel eine neue RMM-Instanz außerhalb der Geschäftszeiten – triggern sofort eine Überprüfung durch einen Analysten. PHASR kann darüber hinaus den Einsatz nicht autorisierter Tools auf Endpoint-Ebene proaktiv blockieren, so der Manager.
RMM-Tools wie AnyDesk, TeamViewer oder ConnectWise sind legitim – und genau deshalb ein bevorzugter Angriffsvektor.
Jörg von der Heydt, Regional Director DACH bei Bitdefender
Fazit: Angriffsflächen reduzieren
Der entscheidende Faktor zur Abwehr von LOTL-Angriffen ist aus Sicht von von der Heydt in letzter Konsequenz die Reduktion der Angriffsflächen im Vorfeld – was der Logik von reinen Detect-and-Response-Ansätzen widerspricht. „Kein SOC der Welt kann effizient arbeiten, wenn jeder Nutzer uneingeschränkten Zugriff auf alle Systemtools hat“, so der Regional Director DACH. Bei Bitdefender geht man daher davon aus, dass die Zukunft der Cybersicherheit in der Kombination aus adaptiver Prävention, KI-gestützter Detektion und menschlicher Expertise liegt – nicht auf einer dieser Säulen allein.