Wer braucht schon Schadsoftware, wenn Windows selbst genug Werkzeuge liefert? Angreifende im Jahr 2025 sind nicht mehr auf auffällige Trojaner oder riesige Exploits angewiesen – sie nutzen einfach das, was schon da ist. PowerShell, WMIC, CMD – alles Werkzeuge, die auf jedem System vorhanden sind und für den normalen Betrieb gebraucht werden. Klingt clever? Ist es auch – leider. Dieser Ansatz nennt sich „Living off the Land“ (LotL) und ermöglicht es Angreifenden, mit Bordmitteln unbemerkt Systeme zu kompromittieren. In diesem Artikel zeigen wir, wie das funktioniert – und warum es so schwer zu erkennen ist.

1. Was bedeutet „Living off the Land“?

Der Begriff „Living off the Land“ stammt ursprünglich aus dem Survival-Kontext und beschreibt das Überleben mit den Ressourcen, die die Natur bietet. In der IT-Sicherheit bedeutet dies die geschickte Nutzung von bereits vorhandenen Tools und Systemfunktionen für Angriffszwecke.

Der entscheidende Vorteil: Es wird kein zusätzlicher Schadcode benötigt. Stattdessen werden legitime, vertrauenswürdige Programme zweckentfremdet. Das Hauptziel dieser Methode liegt in der Unauffälligkeit, Effektivität und der Umgehung klassischer Sicherheitsmaßnahmen.

Ein:e Angreifende:r, die/der nach diesem Prinzip vorgeht, hinterlässt deutlich weniger verdächtige Spuren als jemand, der traditionelle Malware einsetzt. 

2. Warum sind LotL-Angriffe so effektiv?

Die Effizienz von Living-off-the-Land-Angriffen basiert auf einer grundlegenden Umkehrung der üblichen Sicherheitsparadigmen. Während traditionelle Sicherheitskonzepte darauf ausgerichtet sind, unbekannte oder verdächtige Software zu identifizieren und zu blockieren, setzen LotL-Angriffe genau auf das Gegenteil: Sie nutzen Programme, die bereits auf dem System vorhanden und explizit erlaubt sind.

Betrachten wir diese Strategie im Detail. Konventionelle Malware muss zunächst auf das Zielsystem gebracht werden – sei es durch einen Download, einen E-Mail-Anhang oder einen infizierten USB-Stick. In jedem dieser Fälle entstehen neue Dateien auf dem System, die von Sicherheitslösungen gescannt und als verdächtig markiert werden können. LotL-Angriffe hingegen benötigen keine oder nur minimale externe Komponenten. Sie arbeiten mit dem, was bereits da ist, und umgehen so eine der fundamentalsten Verteidigungslinien moderner Sicherheitssysteme.

Ein weiterer Vorteil für Angreifende liegt in der Nutzung vertrauenswürdiger Programme. Windows-eigene Tools wie PowerShell oder WMIC sind digital signiert und werden von Microsoft selbst bereitgestellt. Sie genießen daher ein hohes Maß an Vertrauen und werden von Sicherheitssoftware selten als verdächtig eingestuft. Selbst wenn diese Tools ungewöhnliche Aktionen ausführen, werden sie oft nicht blockiert, da sie als legitime Systemkomponenten angesehen werden.

Die Integration in legitime Administrationswerkzeuge macht LotL-Angriffe besonders tückisch. IT-Administrator:innen verwenden täglich PowerShell-Skripts zur Automatisierung von Aufgaben, führen WMI-Abfragen zur Systemdiagnose durch oder nutzen andere native Windows-Tools zur Verwaltung. Diese legitimen Aktivitäten sind von böswilligen Aktionen, die dieselben Tools verwenden, kaum zu unterscheiden. Selbst für erfahrene Sicherheitsexpert:innen ist es oft eine Herausforderung, festzustellen, ob ein bestimmter PowerShell-Befehl im Kontext eines Angriffs oder einer legitimen administrativen Aufgabe ausgeführt wurde.

Das Gefahrenpotenzial von LotL-Angriffen potenziert sich, wenn sie mit anderen Angriffstechniken kombiniert werden. Ein:e Angreifende:r, die/der zunächst durch Phishing Zugang zu einem System erlangt hat, kann mit LotL-Techniken lateral im Netzwerk navigieren, Zugangsdaten stehlen und ihre/seine Präsenz festigen – alles ohne zusätzliche Malware und damit ohne die typischen Alarmsignale auszulösen, die bei traditionellen Angriffen entstehen würden.

Für Sicherheitsteams stellt diese Kombination aus Unauffälligkeit, Legitimität und Flexibilität eine enorme Herausforderung dar. Die üblichen Sicherheitsmaßnahmen, die auf die Erkennung und Blockierung von Malware ausgerichtet sind, greifen hier oft ins Leere, was LotL-Angriffe zu einer der effektivsten und schwer zu bekämpfenden Bedrohungen der modernen Cybersicherheitslandschaft macht. 

3. Typische Tools & Techniken

​LotL-Angreifende bedienen sich gerne aus dem umfangreichen Arsenal vorinstallierter Windows-Programme:

PowerShell

Das Automatisierungstool von Microsoft eignet sich hervorragend für Script-Ausführung, Downloads und Datenzugriffe. Mit Befehlen wie dem folgenden können Angreifende unsichtbar nachladen und ausführen: 

WMIC (Windows Management Instrumentation Command-line)​

Dieses Tool ermöglicht die Prozesssteuerung und Remote-Abfragen im System. Angreifende können es nutzen, um Informationen zu sammeln oder Prozesse zu manipulieren. So können über diesen Befehl beliebige Prozesse terminiert werden. 

MSHTA

​Mit diesem Programm können HTML-Anwendungen nachgeladen und ausgeführt werden – ein beliebter Weg, um bösartige Skripte einzuschleusen.

Weitere „LOLBins” (Living Off the Land Binaries)​

Dazu gehören Programme wie CertUtil, Rundll32, Regsvr32 und viele weitere Windows-eigene Binärdateien, die für Angriffszwecke missbraucht werden können. 

4. Warum sind LotL-Angriffe so schwer zu erkennen?​

Die Erkennung von Living-off-the-Land-Angriffen stellt Sicherheitsteams vor besondere Herausforderungen, da sich die Angreifenden nahtlos in die normale Systemlandschaft einfügen. Ein PowerShell-Befehl, der von eine:r Administrator:in zur Systemwartung ausgeführt wird, kann in seiner Syntax identisch zu einem sein, den ein:e Angreifende:r für bösartige Zwecke nutzt. Diese Ambiguität macht die Unterscheidung zwischen legitimen und böswilligen Aktivitäten außerordentlich schwierig.

In vielen Unternehmen ist das Logging für diese nativen Windows-Tools standardmäßig minimal konfiguriert oder sogar deaktiviert. Selbst wenn umfangreiches Logging aktiviert ist, erzeugen administrative Tools so viele Ereignisse, dass verdächtige Aktivitäten in der Flut der Meldungen leicht übersehen werden können. Ohne spezialisierte Analysetools und Expert:innen, die wissen, wonach sie suchen müssen, bleiben solche Angriffe oft monatelang unentdeckt.

Ein weiterer Faktor, der die Erkennung erschwert, ist der zunehmend „dateilose“ Charakter dieser Angriffe. Traditionelle Erkennungsmethoden basieren auf der Identifizierung schädlicher Dateien auf der Festplatte. Bei LotL-Angriffen werden jedoch primär Skripte direkt im Arbeitsspeicher ausgeführt, ohne jemals persistent auf dem Datenträger gespeichert zu werden. Wird der Computer neu gestartet, verschwinden diese Spuren vollständig – zurück bleibt nur der kompromittierte Zustand des Systems, ohne klare Hinweise auf den Angriffsweg.

Hinzu kommt, dass viele Sicherheitsprodukte speziell darauf ausgerichtet sind, unbekannte oder verdächtige Programme zu identifizieren. Da bei LotL-Angriffen jedoch ausschließlich vertrauenswürdige, signierte Microsoft-Programme zum Einsatz kommen, laufen diese Erkennungsmechanismen ins Leere. Die gesamte Angriffskette kann mit Tools durchgeführt werden, die auf der Whitelist jedes Unternehmens stehen und deren Ausführung nicht beschränkt werden kann, ohne den normalen Betrieb zu beeinträchtigen. 

5. Erste Schutzmaßnahmen für Einsteigende

Angesichts der Raffinesse von Living-off-the-Land-Angriffen mag es entmutigend erscheinen, geeignete Abwehrmaßnahmen zu entwickeln. Doch es gibt effektive Strategien, mit denen sich Unternehmen schützen können – und viele davon lassen sich auch ohne tiefgreifendes Expertenwissen implementieren.

An erster Stelle steht das Prinzip der geringsten Rechte (Least Privilege). Indem Nutzenden und Prozessen nur die minimal notwendigen Berechtigungen zugewiesen werden, kann der potenzielle Schaden bei einer Kompromittierung erheblich reduziert werden. Konkret bedeutet dies, dass nicht jede:r Mitarbeitende Administrator-Rechte benötigt und selbst IT-Personal nur für spezifische Aufgaben temporär höhere Berechtigungen erhalten sollte. Besonders kritisch ist die Einschränkung der PowerShell-Ausführungsrichtlinien: Während PowerShell ein unverzichtbares Tool für die Systemadministration darstellt, sollte seine Nutzung für normale Benutzerkonten stark eingeschränkt sein.

Die Aktivierung umfassender Logging-Mechanismen bildet eine weitere wichtige Verteidigungslinie. Insbesondere das PowerShell Script Block Logging und Module Logging sind entscheidend, um verdächtige Aktivitäten nachvollziehen zu können. Diese Protokollierung erfasst alle ausgeführten PowerShell-Befehle – auch solche, die direkt im Arbeitsspeicher ausgeführt werden. In Verbindung mit einem zentralen Log-Management-System können Sicherheitsexpert:innen so Muster erkennen, die auf einen LotL-Angriff hindeuten.

Die Überwachung verdächtiger Prozesse stellt einen weiteren essenziellen Baustein dar. Besondere Aufmerksamkeit sollte Programmen wie Rundll32, Regsvr32 oder MSHTA gelten, besonders wenn sie ungewöhnliche Netzwerkverbindungen aufbauen oder in unüblichen Kontexten ausgeführt werden. Moderne EDR-Lösungen (Endpoint Detection and Response) können dabei helfen, solche Anomalien zu erkennen und automatisch zu melden.

Nicht zu unterschätzen ist auch die Rolle der Security-Awareness. Da viele LotL-Angriffe mit Phishing-E-Mails oder Social Engineering beginnen, ist die Sensibilisierung der Mitarbeitenden ein entscheidender Faktor. Regelmäßige Schulungen, simulierte Phishing-Tests und klare Richtlinien für den Umgang mit verdächtigen E-Mails können dazu beitragen, die initiale Kompromittierung zu verhindern, die oft am Anfang einer LotL-Angriffskette steht.

Für Organisationen mit fortgeschrittenen Sicherheitsanforderungen empfiehlt sich zudem der Einsatz von Application Whitelisting, um die Ausführung von Skripten und Programmen auf zugelassene Anwendungsfälle zu beschränken. Ebenso wichtig ist die Implementierung von Mikrosegmentierung im Netzwerk, um laterale Bewegungen zu erschweren, sowie regelmäßige Sicherheitsaudits, die speziell auf die Erkennung von LotL-Techniken ausgerichtet sind.

Diese Maßnahmen bilden zusammen ein mehrschichtiges Verteidigungskonzept, das zwar keinen hundertprozentigen Schutz bietet, aber die Hürden für Angreifende deutlich erhöht und die Chancen verbessert, einen LotL-Angriff frühzeitig zu erkennen und einzudämmen. 

Fazit: Moderne Angriffe brauchen keine Malware mehr

Living off the Land zeigt, wie kreativ und anpassungsfähig moderne Cyberangriffe geworden sind. Umso wichtiger ist es, die „ganz normalen“ Tools nicht zu unterschätzen – und Systeme wie Nutzende gleichermaßen zu sensibilisieren. Denn manchmal genügt ein PowerShell-Befehl – und die/der Angreifende ist drin.

Die IT-Sicherheit muss sich weiterentwickeln und neben klassischen Malware-Signaturen verstärkt auf verhaltensbasierte Erkennung und kontextbezogene Analysen setzen. Nur so können wir den Angreifenden, die sich unserer eigenen Werkzeuge bedienen, einen Schritt voraus sein.

Möchtet ihr mehr darüber erfahren, wie ihr eure Server zuverlässig verteidigen und selbst potenzielle Sicherheitslücken identifizieren könnt? Besucht unser Seminar „Linux Serverhärtung und Security Testing“ oder lernt in „Grundlagen der IT-Sicherheit“ zuerst das Basis-Wissen und steigt mit dem Ein-Tages-Workshop in die IT-Security ein. 

Seminarempfehlungen