Verschiedene Wege, eine Umgebung zu kompromittieren

26/05/2026
Andrew Heller
Andrew Heller, Marketing Manager

In Hunderten von Projekten von Lares und Damovo treten immer wieder dieselben grundlegenden Probleme auf – unabhängig davon, ob Umgebungen hauptsächlich On-Premises, in der Cloud oder hybrid betrieben werden:

  • Schwache Passwörter und ineffektive Passwort-Richtlinien
  • Unsichere Handhabung sensibler Informationen und mangelhafte Data Governance
  • Unzureichende Netzwerksegmentierung

Fehlkonfigurationen und ungepatchte Schwachstellen kommen ebenfalls häufig vor, doch diese drei Bereiche bilden konstant die Grundlage der schwerwiegendsten Angriffswege.

Schwache Passwörter: der Ausgangspunkt vieler Angreifer

Schwache Passwörter gehören nach wie vor zu den zuverlässigsten Wegen, Zugriff auf Unternehmensressourcen zu erlangen – von Windows-Domänen über Cloud-Anwendungen bis hin zu allem dazwischen. Kompromittierte Zugangsdaten durch externes Password Spraying oder geknackte Hashes aus Domain-Angriffen zählen weiterhin zu den häufigsten Findings.

Ein eng damit verbundenes Problem ist die Wiederverwendung von Passwörtern. Wird ein Satz Zugangsdaten kompromittiert, können damit mehrere Systeme betroffen sein, wenn dasselbe Passwort für VPN, E-Mail, SaaS-Dienste und interne Systeme verwendet wird. Viele Nutzer außerhalb technischer Rollen verstehen nicht vollständig, warum starke und einzigartige Passwörter wichtig sind – oder wie schnell ein einzelnes kompromittiertes Passwort missbraucht werden kann.

Typischer Ablauf eines Angriffs:

  • Nutzung von OSINT und Daten aus bekannten Leaks, um bereits offengelegte Passwörter aus Datenbank-Dumps und früheren Vorfällen zu finden
  • Analyse wahrscheinlicher Passwortmuster eines Unternehmens: etwa firmenname123, saisonale Begriffe kombiniert mit Jahreszahlen oder vorhersehbare Wörterbuchbegriffe mit Zahlenanhang
  • Durchführung von Credential Stuffing und Password Spraying gegen Portale und Dienste der Organisation, bis ein Zugriff gelingt

Die Bekämpfung schwacher Passwörter ist leichter gesagt als getan. Nutzer wählen oft Passwörter, die sie sich gut merken können, auch wenn diese leicht zu erraten sind. Auf hoher Ebene umfassen wirksame Maßnahmen:

  • Einführung von Passwort-Blocklisten und verbotenen Begriffen, damit häufige und vorhersehbare Passwörter abgelehnt werden
  • Regelmäßige Überprüfung der Passwortnutzung und Richtlinien, um schlechte Praktiken zu identifizieren
  • Fokus auf Nutzeraufklärung und positive Verstärkung statt ausschließlich strafender Maßnahmen, damit Mitarbeitende die Auswirkungen schlechter Passwort-Hygiene verstehen
  • Einsatz technischer Kontrollen wie Microsoft Entra Password Protection und ähnlicher Dienste, um die Verwendung häufiger Passwörter in hybriden Umgebungen zu reduzieren

Data Governance: Angreifer behandeln Daten wie Goldstaub

Neben schwachen Passwörtern zählt schlechte Data Governance zu den stärksten Faktoren, die Angriffe ermöglichen. Öffentliches Oversharing auf LinkedIn, GitHub und anderen Plattformen kann interne Systeme, Konfigurationen und Zugangsdaten offenlegen. Innerhalb des Netzwerks liefern lockere Praktiken bei Dokumenten und Dateifreigaben Angreifern oft alles, was sie zur Eskalation benötigen.

Schwache Data Governance entsteht häufig aus Gewohnheit und Bequemlichkeit: Administratoren und Nutzer verteilen sensible Informationen über SharePoint, File Shares, Skripte und Tabellenkalkulationen, weil es im Moment einfach ist. Mit der Zeit entsteht dadurch eine Umgebung, in der fast jeder etwas Nützliches finden kann – sofern er weiß, wonach er suchen muss.

SharePoint

SharePoint entwickelt sich häufig zu einer ergiebigen Quelle für Zugangsdaten und sensible Konfigurationen. Sobald Angreifer einen ersten Zugriff und gültige Credentials besitzen, können sie gezielt nach Begriffen wie „password“, „passwd“, „pwd“, „credential“ und ähnlichen Varianten suchen. Dokumentationen und Konfigurationsdateien enthalten dabei häufig hartkodierte Passwörter oder Connection Strings, die weitere Systeme öffnen.

Hybride Umgebungen erhöhen dieses Risiko zusätzlich. Da immer mehr Dokumente, Zugangsdaten und Konfigurationsdetails in Cloud-Kollaborationsplattformen gespeichert werden, werden schlecht verwaltete SharePoint-Seiten und ähnliche Dienste schnell zu einem direkten Weg zu erweiterten Berechtigungen.

File Shares

Windows-Dateifreigaben enthalten oft Datenbestände, die sich über Jahre angesammelt haben. Die größten Risiken entstehen durch:

  • Zu weitreichende Berechtigungen auf Freigaben
  • Fehlende Aufbewahrungs- und Bereinigungsrichtlinien
  • Skripte, Konfigurationsdateien und Tabellen, die produktive Zugangsdaten speichern

Werkzeuge wie Snaffler wurden speziell entwickelt, um genau diese Realität auszunutzen. Sie durchsuchen Computer und Freigaben aus Active Directory, indexieren Dateien und verwenden Muster sowie reguläre Ausdrücke, um „interessante“ Daten wie Zugangsdaten, Schlüssel und Konfigurationsgeheimnisse zu identifizieren. Besonders Tabellenkalkulationen sind häufige Quellen für Credentials, da Nutzer sie informell als Passwortmanager verwenden.

Wie ein besserer Ansatz aussehen kann

Die Verbesserung der Data Governance ist gleichermaßen Richtlinie, technische Kontrolle und Kulturwandel:

  • Klare Richtlinien etablieren, die das Speichern von Passwörtern in Dokumenten und Tabellen möglichst verbieten
  • Sensible File Shares auf spezifische Verzeichnisse mit Least-Privilege-Zugriff beschränken und regelmäßig prüfen, wer worauf Zugriff hat – insbesondere bei administrativen Freigaben mit hohem Schutzbedarf
  • Kritische Freigaben auf ungewöhnliche Zugriffsmuster überwachen, etwa wenn ein Standardnutzer plötzlich Tausende Dateien liest (z. B. mit Windows-SACLs und Event ID 5145 für detailliertes File-Share-Auditing)
  • Wartungs- und Automatisierungsskripte so überarbeiten, dass keine hartkodierten Zugangsdaten verwendet werden, sondern sichere Passwortspeicher, APIs oder Managed Identities genutzt werden, sofern unterstützt
  • Falls Zugangsdaten gespeichert werden müssen, sicherstellen, dass sie zweckgebunden, gehärtet und überwacht sind

Automatisierte Werkzeuge stehen Angreifern heute breit zur Verfügung. Deshalb sollten auch Verteidiger dieselben Werkzeuge nutzen, um Lücken in Erkennung und Behebung zu schließen. Crawler wie Snaffler oder ähnliche Ansätze können auf bestimmte Dateitypen oder Muster abgestimmt werden und helfen Sicherheitsteams dabei, Probleme zu finden und zu beheben, bevor Angreifer sie ausnutzen.

Fehlende Netzwerksegmentierung: erleichterte Laterale Bewegung

Unzureichende Netzwerksegmentierung ist eine weitere wiederkehrende Schwachstelle, insbesondere in weniger ausgereiften Umgebungen. Schlecht segmentierte Netzwerke vergrößern die Angriffsfläche und erleichtern laterale Bewegungen erheblich.

In einem korrekt segmentierten Netzwerk:

  • Sind exponierte Dienste auf ein Minimum reduziert
  • Werden Systeme entsprechend ihres Zwecks und ihrer Sensibilität in Segmente getrennt
  • Führt eine Kompromittierung in einer Zone nicht automatisch zur Offenlegung aller anderen Bereiche

In flachen oder schwach segmentierten Netzwerken können Angreifer:

  • ARP-Poisoning und andere Man-in-the-Middle-Angriffe durchführen
  • Netzwerkdienste (SQL, HTTP, RDP, VoIP, SMB usw.) sowie ausgehenden Traffic abfangen
  • Zugangsdaten stehlen und schwache Authentifizierungsprotokolle herabstufen oder ausnutzen
  • Massenhafte Client-Side-Angriffe starten und Malware wie Ransomware schnell verbreiten

Selbst wenn Endpoint Detection and Response (EDR)-Lösungen eingesetzt werden, sorgen Fehlkonfigurationen, Firewall-Lücken und fehlende Segmentierung oft dafür, dass sensible Systeme unnötig exponiert bleiben. Sobald ein erster Zugriff besteht, wird die Eindämmung eines Vorfalls schwierig, und Angreifer gewinnen Zeit, mehrere Zugriffswege und Persistenzmechanismen aufzubauen.

Wenn Schwächen zu echten Angriffspfaden werden

Treffen schwache Passwörter, schlechte Data Governance und fehlende Netzwerksegmentierung zusammen, entstehen mehrere überlappende Möglichkeiten für Angreifer. Kompromittierte Zugangsdaten ermöglichen den Erstzugriff, in File Shares oder SharePoint gespeicherte Credentials und Konfigurationsdaten treiben die Eskalation voran, und flache Netzwerke machen laterale Bewegungen trivial. Genau deshalb bleiben Ransomware und ähnliche Angriffe in unreifen Umgebungen so erfolgreich.

Diese Muster gelten sowohl für On-Premises- als auch für Cloud-Umgebungen. Azure und andere Cloud-Plattformen reduzieren gewisse Risiken durch erzwungene Best Practices, doch Fehlkonfigurationen, Schwächen im Identity Management und zu großzügige Freigaben schaffen weiterhin ausnutzbare Angriffswege. Lares veröffentlicht öffentliche Angriffswerkzeuge und Forschungsergebnisse, um sowohl Testern als auch Verteidigern zu helfen, diese Muster in hybriden Umgebungen besser zu verstehen.

Eine Bottom-up-Betrachtung Ihrer Umgebung

Ein praktischer Ansatz zur Reduzierung solcher Angriffswege besteht darin, die Sicherheitslage einer Organisation „bottom up“ zu betrachten:

  • Security-Awareness-Trainings bereitstellen, die sich gezielt auf Passwortmanagement, Datenhandling und das Erkennen riskanter Verhaltensweisen konzentrieren
  • Netzwerkdesign überprüfen und sinnvolle Segmentierung planen – insbesondere rund um kritische Systeme und administrative Schnittstellen
  • Windows- und hybride Cloud-Umgebungen auf Schwächen in der Data Governance prüfen und Richtlinien mit technisch durchsetzbaren Kontrollen absichern
  • Prävention priorisieren, wo immer möglich, und dort, wo Prävention nicht realistisch ist, Detection- und Response-Maßnahmen regelmäßig abstimmen und testen

Wie Damovo und Lares unterstützen können

Damovo unterstützt Organisationen bei der Planung, Integration und dem Betrieb sicherer Netzwerke, Kollaborationsplattformen und Cloud-Umgebungen – mit starkem Fokus auf Transparenz und Kontrolle. Lares fungiert innerhalb von Damovo als Offensive-Security-Einheit und testet diese Umgebungen so, wie reale Angreifer es tun würden. Dabei werden schwache Passwörter, mangelhafte Data Governance und Segmentierungslücken durch Penetrationstests, Red Teaming und Insider-Threat-Assessments sichtbar gemacht.

Gemeinsam helfen Damovo und Lares dabei:

  • Reale Angriffspfade zu identifizieren, über die Angreifer eine Umgebung kompromittieren könnten
  • Maßnahmen zur Behebung über Identity, Data Governance und Netzwerkdesign hinweg zu priorisieren
  • Verbesserungen durch adversarial Testing zu validieren – abgestimmt auf Threat Reports und Frameworks wie die ENISA Threat Landscape und das NIST CSF

Wenn Sie verstehen möchten, welche Schwächen in Ihrer Umgebung am wahrscheinlichsten zu einer vollständigen Kompromittierung führen und wie sich diese Wege praxisnah schließen lassen, kann Damovo Sie mit einem auf Ihren Kontext zugeschnittenen Bewertungsansatz unterstützen.