Inmitten der digitalen Bedrohungslage 2025 hat ein Vorfall ein neues Kapitel in der Geschichte der Cyberangriffe aufgeschlagen: Cyberkriminelle nutzten das Open-Source-Forensik-Tool „Velociraptor“, um sich heimlich Zugang zu IT-Systemen zu verschaffen und diese für Command-and-Control (C2)-Tunneling zu missbrauchen – und zwar nicht in einem Testlabor, sondern in einem echten Unternehmenssystem. Ziel war es offenbar, rechtmäßige Prozesse zu imitieren, um so Malware und Fernzugriffsmöglichkeiten unbemerkt in Netzwerke einzuschleusen.
Diesen Vorfall hat das renommierte IT-Security-Portal „The Hacker News“ kürzlich akribisch analysiert. Der Fall zeigt eines klar und mit Brisanz: Die Grenze zwischen legitimer IT-Überwachung und einem gezielten Angriff verschwimmt zunehmend – dabei geraten Unternehmen in ein gefährliches Dilemma zwischen Kontrollverlust und trügerischem Vertrauen in scheinbar bekannte Tools.
Doch was bedeutet das für CEOs, CIOs und CISOs? Warum betrifft dieses Thema nicht nur technisches Personal, sondern die gesamte Unternehmensführung? Und wie können sich wirtschaftlich ausgerichtete Organisationen effizient davor schützen?
Velociraptor ist ein legitimes Open-Source-Werkzeug, das ursprünglich für die digitale Forensik und Endpoint-Überwachung entwickelt wurde. Unternehmen, IT-Forensiker und auch Incident Response Teams nutzen es, wenn es bereits zu einem Sicherheitsvorfall gekommen ist. Es erlaubt die Analyse von verdächtigen Aktivitäten auf Endgeräten – also zum Beispiel Computern, die kompromittiert wurden.
Was wie ein wertvoller Schutzschild für Fälle der Notfallanalyse klingt, hat sich in diesem konkreten Vorfall aber ins Gegenteil verkehrt. Hacker missbrauchten Velociraptor, um über technische Umwege bekannte Entwickler-Tools wie „Visual Studio Code“ auf Unternehmensrechnern zu installieren – mit präzise dem Ziel, eine versteckte Verbindung, ein sogenanntes „C2-Tunnel“, zum Angreifer-Server herzustellen. Damit konnten sie nicht nur aus der Ferne auf Unternehmensdaten zugreifen – sie konnten auch eigene Befehle ausführen.
In der Praxis bedeutet das: Ein Tool, das eigentlich zur Aufklärung von Angriffen dient, wurde selbst zur Einbruchshilfe.
Besonders perfide: Die Angriffe nutzen Windows-eigene Werkzeuge. Genauer gesagt: den Dienst „msiexec“, der normalerweise zur Installation von Software-Paketen verwendet wird. Damit werden zusätzliche Komponenten nachgeladen, darunter Fernwartungstools wie Radmin sowie Software von legitim erscheinenden Domains des CDN-Anbieters Cloudflare.
Recht häufig in der Diskussion: die Technik des „Living off the Land“. Das bedeutet, dass Angreifer auf bereits vorhandene Systemdienste oder Anwendungen zurückgreifen, anstatt eigene Malware zu verwenden. Damit umgehen sie gängige Sicherheitsmechanismen, die auf bekannten Schadcode und verdächtige Installationsroutinen achten.
Das Zusammenspiel von bislang vertrauenswürdigen Tools, bekannten Infrastrukturen und ohnehin vorhandenen Windows-Prozessen sorgt dafür, dass Angreifer zunehmend unsichtbar bleiben. Eine neue Dimension des „Low-and-Slow”-Angriffs entsteht: heimlich, langsam, aber effektiv.
Auf den ersten Blick mag dieser Fall wie ein weiteres technisches Detail aus der Welt der IT-Sicherheit erscheinen. Doch gerade als C-Level-Verantwortliche müssen Sie diesen Angriff und seine Implikationen ernst nehmen – aus vier zentralen Gründen:
Tool-Kontrolle statt Tool-Vertrauen
Der Einsatz legitimer Tools durch Angreifer stellt einen Paradigmenwechsel dar. Vorbei sind die Zeiten, in denen Malware an ihren bösartigen Dateinamen oder Quellen erkennbar war. Heute können Tools wie Velociraptor in Unternehmensnetzwerken verwendet werden, ohne Verdacht zu erregen – selbst im Rahmen interner Compliance-Programme.
Die entscheidende Frage lautet somit nicht mehr: „Ist das Tool bekannt?“, sondern vielmehr: „Ist sein Einsatz zu diesem Zeitpunkt, an diesem Ort, in diesem Zusammenhang legitim und bekannt?“
Fernzugriff neu gedacht
Was früher mit einem Remote-Zugriff per AnyDesk oder RDP begann, wird künftig tiefergehender, subtiler – und aus der Sicht technischer Systeme deutlich schwerer zu erkennen.
Selbst cloudbasierte Sicherheitslösungen können in derartigen Fällen scheitern, wenn ein legitimes Monitoring-Tool Teil des Angriffsvektors ist. Die verblüffende Konsequenz: Unternehmen verlieren unbemerkt die Kontrolle über zentrale Workstations, auf denen später Angriffsoperationen oder sogar Ransomware gestartet werden können.
Audit-Daten als Frühwarnmelder
Der Artikel hebt hervor, dass das Angriffsmuster sehr früh anhand ungewöhnlicher Audit-Aktivitäten erkennbar war – wenn man denn weiß, worauf man zu achten hat.
Ein intelligentes Endpoint-Detection- and Response-System (EDR) gekoppelt mit Kontextanalyse und gezielter Alarmierung kann hier den Unterschied machen. Doch viele Unternehmen unterschätzen das Potenzial ihrer Audit-Protokolle – oder nutzen sie gar nicht zur aktiven Verteidigung.
Vertrauen ist (k)ein Sicherheitskonzept
Der Fall zeigt eindrucksvoll: Vertrauen in Tools, Domains oder Marken ist kein valider Schutz. Cloudflare, Microsoft, Visual Studio Code – allesamt vertrauenswürdige Namen. Doch auch diese können missbraucht werden. Was früher ein Indikator für Sicherheit war, wird heute durch Angreifer bewusst instrumentalisiert – gerade weil Sicherheitsabteilungen fraglose Ausnahmelisten und Whitelists pflegen.
Wer also Tools oder Domains basierend auf Reputation und nicht auf Verhalten bewertet, positioniert sich in der heutigen Bedrohungslage bereits als Angriffsoberfläche.
Velociraptor ist nicht der einzige Missbrauchsfall mit Enterprise-Diensten. Parallel dazu wurden in einer weiteren ausführlich dokumentierten Kampagne interne Kommunikationstools wie Microsoft Teams für gezielte Social Engineering-Angriffe missbraucht – in vielen Fällen erfolgreich.
Angreifer verschickten über kompromittierte Office365-Tenants angebliche „IT Helpdesk“-Nachrichten via Microsoft Teams. Ziel war es, vermeintlich legitime Supportanfragen vorzutäuschen, Nutzer zur Installation von Fernwartungstools wie AnyDesk zu bewegen – und dann in einem zweiten Schritt direkt auf Systeme zuzugreifen.
Die Maskerade: authentisch, freundlich, hilfsbereit. Die Konsequenz: kompromittierte Systeme, gestohlene Zugangsdaten und Potenziale für die nachgelagerte Installation von Ransomware über PowerShell-Skripte – vom ahnungslosen Mitarbeitenden initiiert.
Was diese Social Engineering-Technik besonders gefährlich macht: Sie umgeht klassische E-Mail-Filter, beruht auf Plattform-Vertrauen – und spielt mit der Dynamik heutiger Remote- und Hybrid-Arbeitsformen. Wer seiner IT-Nachricht in Microsoft Teams nicht mehr trauen kann, der hat ein strukturelles Problem in der Sicherheitskultur.
Was beide Beispiele – Velociraptor und Microsoft Teams – eint, ist die neue Qualität der Bedrohung. Angreifer installieren keine klassische Schadsoftware mehr. Sie nutzen Tools, die bereits da sind oder deren Einsatz nicht ungewöhnlich erscheint. Damit gelingt es ihnen, Sicherheitsprogramme auszutricksen, Verhaltensanalysen zu umgehen und längere Zeit unentdeckt zu bleiben.
Wir sprechen über eine neue Realität:
Für Entscheider ergibt sich aus dieser Entwicklung ein klarer Handlungsrahmen – fernab technischer Details, aber mit wirtschaftlicher Relevanz:
Eine nicht gehärtete Backup-Umgebung kann, sobald sie kompromittiert wird, auch regulatorisch zum Verhängnis werden. Neben Bußgeldern droht hier vor allem eins: Vertrauensverlust bei Behörden, Märkten und Anteilseignern.
Was es jetzt braucht, ist eine tiefintegrierte Sicht auf Security – nicht als IT-Thema, sondern als Unternehmensstrategie.
Unternehmen, die diesen Bedrohungen strategisch begegnen wollen, brauchen einen Partner, der nicht nur Technik versteht, sondern Bedrohungen aus Managementperspektive beurteilen kann.
ProSec ist spezialisiert auf Angriffssimulationen, Schwachstellenanalysen und Sicherheitsbewertungen in Echtzeit – mit dem Fokus darauf, wie Tools und Prozesse in Ihrem Unternehmen auch gegen Sie verwendet werden könnten.
Unsere Leistungen im Überblick:
Warten Sie nicht auf einen Incident, um Ihre Verteidigung zu testen. Unsere Penetrationsteste und Red-Teaming-Maßnahmen identifizieren genau jene Schwachstellen, die Angreifer heute routiniert ausnutzen – hinter „guten Tools“ und „vertrauten Kontakten“ versteckt.
Kontaktieren Sie uns unter www.prosec-networks.com – bevor Angreifer es tun.
Konkret empfehlen wir:
✅ Sofortige Überprüfung Ihrer eingesetzten Backup-Software-Versionen durch autorisierte Security-Teams.
✅ Tiefergehende Analyse potenzieller Indikatoren für Kompromittierung (Indicators of Compromise, IoCs).
✅ Review der Benutzer- und Rollenkonzepte (RBAC), insbesondere im Kontext von API-Zugängen.
✅ Überprüfung, ob nach Erstinstallation noch Standard-Passwörter aktiv sind.
✅ Bewertung aller Drittanbieter, die Zugriff auf Backup-Systeme haben.
✅ Und vor allem: eine krisenfeste, belastbare Wiederanlaufstrategie mit klarer Verantwortlichkeit auf C-Level.
