Man braucht keine 0day, um gehackt zu werden

Anfang 2026 ereigneten sich in Europa zwei Sicherheitsvorfälle, die auf den ersten Blick völlig unabhängig wirkten.

Der eine betraf eine 0day-Schwachstelle im Ivanti EPMM Mobile Device Management System, das von Regierungsbehörden eingesetzt wird. Angreifer hatten Zugriff auf Mitarbeiterdaten ohne gültige Anmeldeinformationen.
Der andere ereignete sich im offiziellen Microsoft Store: Ein ursprünglich legitimes Outlook-Add-in wurde übernommen und missbraucht, wobei mindestens 4.000 Konten und Zahlungsinformationen gestohlen wurden.

Auf den ersten Blick handelte es sich bei einem Vorfall um eine hochriskante 0day-Attacke auf ein Grenzsystem, beim anderen um ein „vertrautes Plugin“, das ausgenutzt wurde.
Aus Sicht der Verteidigung haben beide jedoch etwas gemeinsam: Die Angriffe fanden genau dort statt, wo dein Team normalerweise Vertrauen voraussetzt.

Wenn die „Tür“ still geöffnet wird – Ivanti 0day

Stellen Sie sich den Eingang Ihres Bürogebäudes mit einem Drehkreuz vor. Alle wischen täglich ihre Karte, alles scheint sicher.

Eines Tages entdeckt jemand einen Konstruktionsfehler-drückt man in einem bestimmten Winkel, kann man ohne Karte eintreten. Kein Eintrag, kein Alarm.

Die Schwachstelle im Ivanti EPMM spiegelt dieses Szenario wider. Angreifer konnten das System nutzen, um Namen, E-Mail-Adressen, Telefonnummern und Geräteinformationen der Mitarbeiter ohne legitime Anmeldeinformationen einzusehen.

Die Schwachstelle an sich ist ernst. Noch wichtiger ist jedoch:
Vor Veröffentlichung des Patches, hatte dein Team zusätzliche Überwachung?
Wurden ungewöhnliche Zugriffsmuster überprüft?
Ohne diese Sichtbarkeit wird die sogenannte „erste Verteidigungslinie“ still und unbeobachtet zum VIP-Eingang für Angreifer.

Dieser Vorfall zeigt, dass Grenzgeräte nicht nur Hardware oder Software sind-sie sind Informations- und Zugangsknoten. Ohne angemessene Überwachung können selbst kleine Schwachstellen schnell ausgenutzt werden.

Wenn „offizielles Vertrauen“ missbraucht wird – Outlook-Add-in

Der zweite Vorfall betrifft ein Alltagsbeispiel: das Outlook-Add-in AgreeTo.

Ursprünglich ein legitimes Planungswerkzeug im offiziellen Microsoft Store, wurde es nach einigen Jahren nicht mehr gepflegt, wodurch die gehosteten Ressourcen frei wurden. Angreifer übernahmen dieses „leere Gerüst“, behielten Namen, Symbol und offizielles Erscheinungsbild bei, fügten jedoch eine gefälschte Microsoft-Anmeldung in der Seitenleiste hinzu.

Benutzer, die Anmeldedaten, Kreditkarteninformationen oder Sicherheitsfragen eingaben, sendeten die Daten unwissentlich an die Angreifer, bevor sie auf die echte Anmeldeseite weitergeleitet wurden. Der Prozess hinterließ fast keine sichtbaren Spuren.

Noch entscheidender ist, dass das Add-in bereits die Berechtigung hatte, E-Mails zu lesen und zu verwalten. Angreifer konnten E-Mails einsehen, weiterleiten oder sogar fälschen und so interne Risiken erhöhen, ohne neue Sicherheitslücken zu nutzen.

Dieser Vorfall zeigt, dass komplexe Angriffe nicht immer notwendig sind. Wenn ein vertrauenswürdiges Element die Kontrolle wechselt, können Angreifer es nahtlos ausnutzen.

Risikoverschiebung: von unbekannten Dateien zu Alltagswerkzeugen

Beide Vorfälle zusammen betrachtet zeigen ein klares Muster:

• Die Angriffsfläche hat sich von unbekannten bösartigen Dateien auf Werkzeuge verschoben, die dein Team bereits nutzt und vertraut.
• VPNs, MDMs und E-Mail-Gateways bleiben wichtige Grenzkontrollen, aber Browser-Erweiterungen, Add-ins und SaaS-Integrationen sind inzwischen ebenso kritisch.
• Traditionelle Verteidigung konzentriert sich auf Endpunkte, Firewalls und E-Mail-Gateways, vernachlässigt jedoch Plugin-Verhalten, Browser-Sitzungen und Cloud-Datenexporte.

Die eigentliche Schwachstelle liegt nicht mehr in den Sicherheitslücken selbst, sondern darin, ob du die Anomalien in den täglich genutzten Werkzeugen erkennen und interpretieren kannst.

Schließen der Sichtbarkeits- und Reaktionslücke

Hier zeigt sich der Wert von Managed Detection and Response (MDR).

MDR ist nicht nur ein weiteres Tool. Sein Kernzweck besteht darin, Überwachung, Erkennung und Reaktion auf Bereiche auszudehnen, die dein Team nicht kontinuierlich beobachten kann:

• Kontinuierliche Überwachung von Grenzgeräten, Browsern und Plugin-Aktivitäten
• Untersuchung verdächtiger Verhaltensweisen mit Filterung von Fehlalarmen
• Sofortige Reaktion auf Anomalien
• Entlastung deines Teams von rein reaktiver Arbeit

Bei Ivanti-ähnlichen Vorfällen kann MDR ungewöhnliche Managementzugriffe und anormale API-Aufrufe erkennen.
Bei Outlook-ähnlichen Vorfällen überwacht MDR verdächtige Anmeldungen oder umfangreiche Datenexporte und reagiert sofort.

Es ermöglicht Ihrem Team, nicht nur zu wissen, dass ein Angriff stattgefunden hat, sondern zu handeln, bevor Schäden eskalieren, und verkürzt so das kritischste Reaktionsfenster.

Praktische Empfehlungen für Ihr Team

Sie müssen keine Sicherheitsexpert:in sein, aber ein paar Regeln sind entscheidend:

• Installieren Sie nur notwendige Plugins und Erweiterungen und bereinigen Sie diese regelmäßig
• Halten Sie inne, wenn erneut eine Anmeldung oder Zahlung verlangt wird-überprüfen Sie die Quelle zuerst
• Verzögeren Sie keine Updates von VPN, MDM oder Browsern – diese Updates könnten den nächsten Ivanti-ähnlichen Vorfall verhindern

Für Ihr Team sind die wichtigsten Maßnahmen:

• Überwachung von Grenzgeräten, Browsern, Plugins und Cloud-Diensten integrieren
• Pläne für Untersuchung und Reaktion auf nachträgliche Ausnutzung vorbereiten
• Fokus auf Anomalien, nicht nur bösartige Dateien

Sicherheit bedeutet nicht, die Türen fester zu verschließen – sondern sofort zu erkennen, wenn die Tür aufgestoßen wird.