Persistenz beschreibt Mechanismen, mit denen sich Angreifer dauerhaft im System verankern – etwa durch geplante Aufgaben oder Autostart-Einträge – um auch nach Neustarts Zugriff zu behalten.
Eine aktuelle Kampagne der russisch zugeordneten Gruppe APT28 zeigt, wie gefährlich „einfache“ Angriffstechniken im Jahr 2026 geworden sind. Unter dem Namen „Operation MacroMaze“ wurden gezielt Organisationen in West- und Mitteleuropa angegriffen. Das Besondere: Die Angreifer nutzten keine hochkomplexe Zero-Day-Exploit-Kette, sondern vertrauten auf klassische Makros, Webhooks und Standardfunktionen moderner Browser – kombiniert mit präzisem Social Engineering und legitimer Infrastruktur.
Für die Unternehmensführung ergibt sich daraus eine strategische Erkenntnis: Die größte Bedrohung geht nicht mehr zwingend von spektakulären High-Tech-Exploits aus, sondern von Angriffen, die alltägliche IT-Funktionen missbrauchen. Wer diese Grauzone nicht konsequent adressiert, öffnet Tür und Tor für Industriespionage, Wirtschaftskriminalität und massive Reputationsschäden.
APT28 – auch bekannt als „Fancy Bear“ – wird seit Jahren mit staatlich motivierten Spionagekampagnen in Verbindung gebracht. Die Gruppe ist im MITRE ATT&CK Framework umfassend dokumentiert. Dass ein Akteur dieser Kategorie nun auf vergleichsweise einfache Werkzeuge setzt, ist kein Zeichen von Schwäche. Es ist eine strategische Entscheidung.
Statt auf laute Exploits zu setzen, nutzt APT28 Spear-Phishing, also gezielte E-Mails mit individuell zugeschnittenen Inhalten. Der beigefügte Office-Anhang enthält eine XML-Struktur mit einem „INCLUDEPICTURE“-Feld. Dieses Feld verweist auf eine externe Webhook-Adresse. Beim Öffnen des Dokuments wird unbemerkt eine Bilddatei vom Server der Angreifer geladen.
Was technisch banal klingt, ist in Wahrheit ein raffinierter Mechanismus: vergleichbar mit einem Tracking-Pixel im Marketing bestätigt die HTTP-Anfrage, dass das Dokument geöffnet wurde. Die Angreifer wissen damit, dass der Köder funktioniert hat – ein wertvoller Informationsgewinn für weitere Schritte.
Der Angriff beginnt also nicht mit Malware, sondern mit einer verdeckten Kommunikationsaufnahme.
Besonders problematisch ist die Nutzung von „Webhook“-Diensten. Webhooks sind in der Geschäftswelt etablierte Mechanismen, um Systeme automatisiert miteinander kommunizieren zu lassen – beispielsweise zwischen CRM, ERP und Cloud-Plattformen. Dass diese Infrastruktur nun als Command-and-Control-Kanal und für Datenausleitung missbraucht wird, erschwert die Abwehr erheblich.
Das US-Cybersicherheitsministerium CISA weist seit Jahren darauf hin, dass legitime Cloud- und Webdienste zunehmend als Tarnung für staatliche Angriffe dienen. Der Grund ist offensichtlich: Verbindungen zu bekannten Webdiensten wirken unverdächtig, selbst in gut überwachten Netzwerken.
Für Vorstände bedeutet das: Klassische Perimeter-Sicherheit allein genügt nicht. Wenn Angriffe über „erlaubte“ Kanäle laufen, verliert das reine Blockieren an Wirkung. Entscheidend wird die Fähigkeit, Kontext zu erkennen: Wer kommuniziert mit wem, warum, wie oft – und mit welchem Geschäftsbezug?
Viele Organisationen wähnten sich nach Jahren intensiver Makro-Sicherheitskampagnen in Sicherheit. In Wahrheit sind Makros keineswegs verschwunden. Sie haben lediglich die Aufmerksamkeitsschwelle unterschritten.
Die US National Vulnerability Database zeigt kontinuierlich, wie Office-Komponenten, Skriptsprachen und verwandte Technologien Schwachstellen aufweisen. Auch wenn „Operation MacroMaze“ offenbar keinen spektakulären Exploit nutzte, basiert sie auf altbekannten Techniken der Makro-Ausführung und Skriptverarbeitung.
In der aktuellen Kampagne führt das Makro zu einem Visual-Basic-Skript, das wiederum Kommandozeilenbefehle startet. Diese richten unter anderem geplante Aufgaben („Scheduled Tasks“) ein, um Persistenz sicherzustellen. Das bedeutet: Der Angreifer bleibt langfristig im System – selbst wenn der initiale Prozess endet.
Für die Unternehmensführung heißt das konkret: Makros sind nicht nur ein technisches Detail, sondern ein Governance-Thema. Wer ihren Einsatz nicht strategisch reguliert – etwa durch Whitelisting, Signaturpflicht oder strikte Deaktivierung – akzeptiert bewusst eine Angriffsfläche.
Besonders bemerkenswert ist die Exfiltrationsmethode: Ein Base64-kodiertes HTML-Fragment wird im Microsoft Edge Browser – teils im Headless-Modus, teils außerhalb des sichtbaren Bildschirms – ausgeführt. Es sammelt Befehlsausgaben und übermittelt sie per Formular an einen weiteren Webhook.
Mit anderen Worten: Datendiebstahl erfolgt über Standard-Browserfunktionen. Keine exotischen Malware-Loader, keine auffälligen Netzwerkports.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmäßig vor derartigen Techniken, bei denen legitime Systemkomponenten zweckentfremdet werden. Die operative Realität ist klar: Je „normaler“ der Angriffsweg wirkt, desto später wird er entdeckt.
Für CEOs und CISOs ist das eine unbequeme Wahrheit: Selbst hochinvestive EDR- oder SIEM-Systeme erkennen nicht automatisch jede missbräuchliche Nutzung regulärer Software. Entscheidend ist die Qualität der Use Cases, der Korrelation von Ereignissen und der personellen Kompetenz im SOC.
APT28 ist kein gewöhnlicher Cyberkrimineller. Die Gruppe wird regelmäßig mit staatlich gesteuerter Spionage in Verbindung gebracht. Ziel sind häufig politische Institutionen, Rüstungsunternehmen, Energieversorger oder technologiegetriebene Industrien.
Wer in Europa in strategischen Branchen tätig ist, muss davon ausgehen, dass geistiges Eigentum, Forschungsdaten, Verhandlungsstrategien oder Lieferketteninformationen im Fokus stehen.
Das NIST Cybersecurity Framework betont, dass Cyberrisiken integraler Bestandteil der Unternehmensführung sind – nicht nur operative IT-Fragen. Wenn Datenausleitung über Wochen unentdeckt bleibt, entstehen nicht nur technische Schäden, sondern strukturelle Wettbewerbsnachteile.
Compliance schützt nicht vor Realitätsverlust
Viele Unternehmen verweisen auf ISO 27001, interne Richtlinien und regelmäßige Audits. Doch formale Compliance ersetzt keine Resilienz.
Die aktuelle Kampagne zeigt, dass selbst mit Basisschutzmaßnahmen erhebliche Risiken bestehen, wenn:
Die Führungsebene muss sich daher eine zentrale Frage stellen: Ist unsere Sicherheitsarchitektur verhaltensbasiert – oder noch immer signaturgetrieben?
Ein isolierter IT-Maßnahmenkatalog reicht nicht. Notwendig ist ein unternehmensweites Sicherheitsverständnis, das folgende Aspekte adressiert:
Erstens: Governance für Office und Skripttechnologien. Makros dürfen nur dort möglich sein, wo sie geschäftlich zwingend erforderlich sind.
Zweitens: Monitoring legitimer Dienste. Webhook- und Cloud-Kommunikation muss inhaltlich bewertet werden.
Drittens: Threat Intelligence auf C-Level. Erkenntnisse über Akteure wie APT28 müssen in strategische Entscheidungen einfließen.
Viertens: Krisenvorbereitung. Wer bemerkt, dass Daten abgeflossen sind, braucht klare Entscheidungsprozesse – juristisch, kommunikativ, operativ.
Wer Sicherheit nur als Budgetposten betrachtet, unterschätzt ihren strategischen Mehrwert. Ein Unternehmen, das Datensouveränität glaubwürdig demonstrieren kann, stärkt seine Position im Markt.
Investoren, Partner und Kunden bewerten zunehmend die Cyberreife von Organisationen. Sicherheit wird Teil der Markenidentität.
Das OWASP-Prinzip „Secure by Design“ verdeutlicht, dass Sicherheit nicht additiv funktioniert, sondern integrativ gedacht werden muss. Für Vorstände bedeutet das: Cybersecurity ist ein Führungsinstrument – kein rein technisches Projekt.
ProSec begleitet Organisationen auf strategischer wie operativer Ebene bei der Transformation ihrer Sicherheitsarchitektur.
Im Kontext einer Bedrohung wie „Operation MacroMaze“ unterstützen wir mit:
Unser Ansatz ist wertorientiert: Wir analysieren nicht nur technische Schwachstellen, sondern deren potenzielle wirtschaftliche Auswirkungen. Ziel ist es, Risiken in messbare Entscheidungsgrößen zu übersetzen – und Sicherheitsinvestitionen strategisch zu priorisieren.
Cybersecurity darf kein IT-Projekt bleiben. Sie ist ein Bestandteil moderner Unternehmensführung
APT28 beweist, dass die Zukunft der Cyberangriffe nicht zwingend komplexer, sondern oft einfacher wird. Die Kombination aus legitimer Infrastruktur, Standardsoftware und strategischer Geduld ist extrem wirkungsvoll.
Wer als Führungskraft glaubt, dass nur Zero-Days und spektakuläre Ransomware-Angriffe relevant sind, unterschätzt die Realität moderner Cyberkriminalität und staatlicher Spionage.
Europas Unternehmen stehen unter Beobachtung. Die Frage ist nicht, ob sie angegriffen werden – sondern ob sie den Angriff frühzeitig erkennen und strukturell darauf vorbereitet sind.
APT28 ist eine staatlich zugeordnete Cyber-Spionagegruppe, die häufig mit strategischen Angriffen auf Regierungen und Unternehmen in Verbindung gebracht wird. Sie nutzt gezielte Phishing-Kampagnen und langfristige Infiltrationstechniken.
Makro-Malware nutzt die Makro-Funktion von Office-Dokumenten, um beim Öffnen des Dokuments automatisch Skripte auszuführen. Diese Skripte können Schadcode nachladen oder Systembefehle ausführen.
Ein Webhook ist ein legitimer Mechanismus zur automatischen Datenübertragung zwischen Anwendungen. Missbraucht können Webhooks als verdeckter Kommunikationskanal für Angreifer dienen.
Dabei wird ein Browser oder Programm ohne sichtbare Benutzeroberfläche gestartet. Aktionen erfolgen im Hintergrund und bleiben für den Nutzer unsichtbar.
Persistenz beschreibt Mechanismen, mit denen sich Angreifer dauerhaft im System verankern – etwa durch geplante Aufgaben oder Autostart-Einträge – um auch nach Neustarts Zugriff zu behalten.
