< Zurück
Blog

Warum die Grundlagen nach wie vor wichtig sind: Erkenntnisse aus dem SOC zu USB-Malware und ungeschützten Geräten

Im Bereich der Cybersicherheit ist es leicht, sich für die neuesten Zero-Days, KI-gesteuerte Bedrohungen oder mehrstufige Angriffe zu begeistern. Aber von meinem Platz im Security Operations Center (SOC) aus kann ich Ihnen sagen, dass einige der schwerwiegendsten Vorfälle, auf die wir reagieren, auf viel einfachere Ursachen zurückzuführen sind - vor denen wir schon seit Jahren gewarnt haben.

Trotz aller Fortschritte bei der Erkennung und Reaktion stellen Bedrohungen wie über USB übertragene Malware und unsachgemäß gesicherte Geräte immer noch ein ernstes Risiko dar. Diese “grundlegenden” Probleme öffnen oft die Tür zu viel größeren Kompromissen. Die ATO stellte einen Anstieg der USB-basierten Bedrohungen um 27% im ersten Halbjahr 2025 im Vergleich zum zweiten Halbjahr 2024 fest.

Das USB-Laufwerksproblem

In einem aktuellen Fall steckte ein Benutzer ein privates USB-Laufwerk in eine vom Unternehmen verwaltete Workstation. Diese eine Aktion reichte aus, um eine Malware-Infektion auszulösen, die schwerwiegende Folgen hätte haben können. Glücklicherweise hat die ION-Plattform von Ontinue die Bedrohung schnell erkannt und eingedämmt. Dennoch ist es eine ernüchternde Erinnerung daran, wie kleine Handlungen ein großes Risiko darstellen können.

Diese Angriffsmethode ist nicht neu. Malware, die über USB übertragen wird, gibt es schon seit Jahrzehnten. Laut einem Honeywell-Bericht aus dem Jahr 2024 hatten mehr als die Hälfte der USB-basierten Bedrohungen (51%) das Potenzial, größere Störungen in Industrie- und Unternehmensumgebungen zu verursachen. Selbst jetzt, wo Tools zum Schutz von Endgeräten und Gerätekontrollfunktionen weit verbreitet sind, erlauben viele Unternehmen die Verwendung von Wechselmedien ohne strenge Einschränkungen.

Gefährdete Geräte: Ein modernes Risiko aus alten Gewohnheiten

In einem anderen Fall haben wir ein verwaltetes Gerät identifiziert, das dem öffentlichen Internet ausgesetzt war - nicht aufgrund einer Sicherheitslücke, sondern weil ein Benutzer einen SSH-Tunnel zu seinem Heimrouter erstellt hatte. Dadurch wurde eine Hintertür geöffnet, durch die Angreifer den Endpunkt entdecken, auskundschaften und versuchen konnten, sich mit gestohlenen Zugangsdaten aus dem Dark Web mit roher Gewalt Zugang zu verschaffen.

Die Angriffstechniken waren weder fortschrittlich noch neu, sondern lediglich alte Methoden, die für moderne Umgebungen neu verpackt wurden. Genau das macht sie so gefährlich. Sie sind leicht auszuführen und werden oft übersehen.

Wir haben diese Aktivität dank einer Kombination aus Echtzeit-Telemetrie, Bedrohungsdaten und Verhaltenskontext, angereichert durch Agentic AI, erkannt. Doch selbst die beste Technologie kann nur bis zu einem gewissen Grad eingesetzt werden, wenn menschliches Verhalten unnötige Risiken mit sich bringt.

Warum menschliches Versagen nach wie vor ein Hauptrisiko darstellt

Diese Vorfälle spiegeln eine allgemeine Wahrheit im Bereich der Cybersicherheit wider: Der Großteil der Sicherheitsverletzungen ist immer noch auf menschliches Verhalten zurückzuführen. Laut dem Data Breach Investigations Report 2024 von Verizon ist bei 74% der Sicherheitsverletzungen der Mensch beteiligt, sei es durch Fehler, Missbrauch oder Social Engineering.

In unserem Arbeitsalltag sehen wir das oft:

  • Mitarbeiter mit lokaler Admin-Zugang die nicht zugelassene Software installieren oder wichtige Einstellungen falsch konfigurieren.
  • Fehlen von USB-Kontrollen, wodurch externe Geräte um Malware einzuführen.
  • Schatten-IT Verhaltensweisen wie persönliches Tunneling oder unüberwachter Fernzugriff.
  • Geräte mit Standard- oder schwache Konfigurationen ohne ordnungsgemäße Patches oder Segmentierung dem Internet ausgesetzt sind.

Diese Probleme sind vermeidbar, aber zur Vorbeugung braucht man mehr als nur Werkzeuge, sondern auch eine klare Politik, kontinuierliche Schulung und die kulturelle Stärkung der Sicherheitshygiene.

Wie agentenbasierte KI hilft, aber nicht die Sicherheitsgrundlagen ersetzt

Bei Ontinue nutzen wir Agentic AI, die in den ION MXDR-Dienst integriert ist. Dadurch erhalten wir tiefe, kontextbezogene Einblicke, bevor unsere Analysten überhaupt mit der Untersuchung beginnen.

Wenn beispielsweise eine Malware-Warnung ausgelöst wird, hat Agentic AI bereits die Rolle des Benutzers, sein Verhalten, seine Dateiaktivitäten und bekannte Bedrohungsverknüpfungen überprüft. Im Fall des USB-Geräts wurde die bösartige Datei automatisch unter Quarantäne gestellt und eine Untersuchung eingeleitet, bevor das SOC sie berührte.

Diese Schnelligkeit und der Kontext verändern das Spiel. Doch auch die beste KI kann schlechte Nutzerentscheidungen nicht verhindern oder laxe Richtlinien kompensieren. Es ist die Partnerschaft von intelligenter Automatisierung gepaart mit starken Fundamenten.

Verstärkung der Grundlagen

Wenn es eine Erkenntnis gibt, die ich jedem CISO, IT-Leiter oder Sicherheitsteam mit auf den Weg geben möchte, dann ist es diese: Bevor Sie die nächste Innovation anstreben, sollten Sie sicherstellen, dass die Grundlagen gesichert sind. Aus meiner Sicht in der SOC macht das den größten Unterschied:

  • Sperren oder strenge Kontrolle von USB-Geräten auf verwalteten Systemen.
  • Entfernen Sie unnötige lokale Administratorrechte - Die Nutzer brauchen keine vollständige Kontrolle über ihre Rechner.
  • Kontinuierliche Überwachung auf gefährdete Vermögenswerte und kennzeichnen ungewöhnliche Fernzugriffsaktivitäten.
  • Benutzer regelmäßig schulen über sichere Computergewohnheiten und sich entwickelnde Angriffsvektoren.
  • Konfiguration behandeln Hygiene (Patching, Segmentierung, Zugangskontrolle) sowie Erkennung und Reaktion.

Wir sprechen viel über den Schutz vor hochentwickelten Bedrohungen, und das zu Recht, aber vergessen Sie nicht, dass es oft die kleinen, übersehenen Schwachstellen sind, die die größten Lücken schaffen.

Im Bereich der Cybersicherheit ist nicht immer die Raffinesse der Feind. Manchmal ist es auch die Einfachheit.

Lesen Sie mehr über diese und andere Bedrohungen in Ontinue's 1H Threat Intelligence Bericht.

Teilen

Artikel von

Biren Patel

Senior Manager, Amerika SOC

Biren Patel ist Senior Manager bei Ontinue und leitet das SOC-Team in Amerika.

Schlüsselwörter

Verwandte Artikel

Ein Cover-Design für den "1H 2024 Threat Intelligence Report" von Ontinue mit einem dunklen abstrakten Hintergrund und farbenfrohen digitalen Mustern.
E-Book
Bericht zur Bedrohungslage im ersten Halbjahr 2024

Weiterlesen >
Eine digitale Darstellung eines Mikrochips auf einem gemusterten Leiterplattenhintergrund, mit dem Text "AGENTIC AI" in der Mitte.
Blog
Vertrauen in KI aufbauen: Wie agentenbasierte KI den Sicherheitsdienst verändert

Weiterlesen >
Ein humanoider Roboter, der durch eine hell erleuchtete rote Tür tritt, vor einem dunklen blauen Hintergrund. Die Szene betont den Kontrast zwischen Farben und Elementen und symbolisiert möglicherweise Übergänge oder Neuanfänge, was mit den Themen des Threat Intelligence Reports für das erste Halbjahr 2025 übereinstimmt.
Blog
Cyber-Bedrohungen im Jahr 2025: Warum Identität, Cloud-Persistenz und Malware der alten Schule nach wie vor eine Rolle spielen

Weiterlesen >
Ein Muster aus schwarzen und weißen Disketten auf rosa Hintergrund, das Retro-Technologie und Datenspeicherung illustriert und für die Geschichte der Ransomware relevant ist.
Blog
Wie Ransomware sich von einem Betrug mit Disketten zu einer Milliardenindustrie entwickelte

Weiterlesen >
Eine Illustration einer Figur in einem schwarzen Outfit und einer Maske, die mit einem stilisierten Fingerabdruck hinter sich herläuft. Der Hintergrund hat einen violetten Farbverlauf, und der Text 'Ontinue' befindet sich am unteren Rand. Dieses Bild bezieht sich auf den 2H Threat Intelligence Report.
Blog
Neue Forschung: Wenn es online und angreifbar ist, ist es ein Ziel - und zwar schnell

Weiterlesen >
Eine Person hält ein Smartphone in der Hand, während sie auf einem Bildschirm im Hintergrund Programmiercode sieht. Der Code enthält Fehlermeldungen und Programmiersyntax und schafft eine technisch orientierte Atmosphäre, die für digitale Sicherheit und Fehlerbehebung relevant ist, einschließlich PlugX Utilising Steam.
Blog
Neue PlugX-Kampagnen, die Steam nutzen

Weiterlesen >