Hacker bleiben nach einem erfolgreichen Einbruch durchschnittlich Wochen bis Monate unentdeckt – und nutzen diese Zeit, um sich systematisch in Deinem Netzwerk auszubreiten, Daten zu stehlen und den eigentlichen Angriff vorzubereiten. Der Moment, in dem Du den Angriff bemerkst, ist fast nie der Moment, in dem er begonnen hat.
Warum ist das so?
Die Zeitspanne zwischen dem ersten Eindringen eines Angreifers und der Entdeckung wird als "Dwell Time" (Verweildauer) bezeichnet. Sicherheitsforscher messen diese Zeitspanne seit Jahren, und die Zahlen sind ernüchternd: Der Median liegt bei mehreren Wochen, in vielen Fällen bei Monaten.
Warum werden Angreifer so lange nicht entdeckt? Dafür gibt es mehrere Gründe:
Leises Vorgehen statt lautem Knall: Professionelle Angreifer stürmen nicht herein und verschlüsseln sofort alles. Sie bewegen sich langsam, leise und geduldig. Sie nutzen legitime Windows-Werkzeuge wie PowerShell, Remote Desktop und WMI – Tools, die in jedem Netzwerk täglich eingesetzt werden. Für einen Virenscanner oder eine Firewall sieht das aus wie normaler Betrieb.
Lateral Movement: Nach dem ersten Einstieg breiten sich Angreifer seitwärts im Netzwerk aus. Sie kompromittieren ein System nach dem anderen, stehlen Zugangsdaten von Administratoren und arbeiten sich zu den wertvollsten Zielen vor – den Dateiservern, den Backup-Systemen, den Domain-Controllern. Das geschieht schrittweise über Tage und Wochen.
Persistenz: Angreifer richten Hintertüren ein, um jederzeit zurückkehren zu können. Selbst wenn ein Rechner bereinigt wird, haben sie auf drei anderen noch Zugang. Sie platzieren ihre Werkzeuge an Stellen, wo niemand nachschaut: in geplanten Aufgaben, in der Registry, in WMI-Abonnements.
Mangelnde Überwachung: Viele Unternehmen und erst recht Privatpersonen haben keine ausreichende Überwachung ihres Netzwerks. Ohne aktive Suche nach Eindringlingen (sogenanntes Threat Hunting) fällt ein leiser Angreifer nicht auf. Virenscanner erkennen ihn nicht, weil er keine Malware im klassischen Sinne einsetzt, sondern vorhandene Werkzeuge missbraucht.
Verschleierung: Angreifer löschen Protokolldateien, manipulieren Zeitstempel und verwischen ihre Spuren. Wenn niemand aktiv sucht, gibt es oft keine sichtbaren Hinweise auf den Einbruch.
Die Dwell Time hat direkte Konsequenzen: Je länger ein Angreifer unentdeckt bleibt, desto mehr Schaden kann er anrichten. Bei Ransomware-Angriffen nutzen die Täter die Zeit, um alle Backups zu finden und zu löschen, bevor sie die Verschlüsselung starten. Bei Datendiebstahl exfiltrieren sie über Wochen hinweg terabyteweise Daten, ohne dass jemand den ungewöhnlichen Datenverkehr bemerkt.
Beispiele aus der Praxis
Der Conti-Angriff auf die irische HSE begann acht Wochen bevor die Verschlüsselung startete. Acht Wochen lang bewegten sich die Angreifer unentdeckt durch das Netzwerk des irischen Gesundheitssystems, das 80.000 Mitarbeiter und 54 Krankenhäuser umfasste. Sie stahlen Zugangsdaten, identifizierten kritische Systeme, löschten Backups – und erst als alles vorbereitet war, drückten sie den Knopf. Die Erholung dauerte über zwölf Monate und kostete mehr als 100 Millionen Euro. Hätte jemand die Angreifer in den ersten acht Wochen entdeckt, wäre der gesamte Angriff vermeidbar gewesen.
StripedFly blieb fünf Jahre unentdeckt – von 2017 bis 2022. Fünf Jahre lang spionierte diese Malware über eine Million infizierte PCs aus. Der Trick: StripedFly tarnte sich als harmloser Kryptominer. Sicherheitsforscher bemerkten zwar den Miner, hielten ihn aber für ungefährlich. Erst 2022 entdeckte Kaspersky, dass hinter dem vermeintlichen Miner ein hochentwickeltes Spionage-Framework steckte, das Screenshots machte, Mikrofone aktivierte und Zugangsdaten stahl. Fünf Jahre lang – vollkommen unentdeckt.
Der Angriff auf die Uniklinik Düsseldorf zeigt ebenfalls eine lange Verweildauer. Die Angreifer hatten sich Monate vor dem eigentlichen Angriff über eine Citrix-Schwachstelle Zugang verschafft und sich in aller Ruhe im Netzwerk ausgebreitet. Die DoppelPaymer-Ransomware wurde erst aktiviert, als die Angreifer sicher waren, dass die Erholung maximal schwierig werden würde. Die Konsequenz war tödlich: Eine Patientin starb, weil das Krankenhaus sie nicht aufnehmen konnte.
Wie schützt Deep Freeze davor?
Deep Freeze verkürzt die effektive Verweildauer eines Angreifers drastisch – auf maximal die Zeit bis zum nächsten Neustart. Ein Angreifer kann sich auf einem Deep-Freeze-geschützten Rechner einnisten, Hintertüren installieren und Persistenz einrichten – aber nach dem Neustart ist alles weg. Jede Hintertür, jedes Werkzeug, jede Manipulation wird zurückgesetzt. Der Angreifer muss jedes Mal von vorn anfangen.
Für das Lateral Movement bedeutet das: Wenn einzelne Rechner im Netzwerk mit Deep Freeze geschützt sind, kann der Angreifer dort keine dauerhafte Basis einrichten. Statt wochenlang unentdeckt im Netzwerk zu bleiben, verliert er bei jedem Neustart eines geschützten Rechners seinen Zugang. Das macht die systematische Ausbreitung im Netzwerk massiv schwieriger.
Hacker rechnen mit Wochen und Monaten ungestörter Arbeit in Deinem Netzwerk. Deep Freeze reduziert diese Zeit auf maximal die Dauer bis zum nächsten Neustart. Statt monatelang Daten zu stehlen und Backups zu löschen, steht der Angreifer nach jedem Neustart wieder vor verschlossener Tür. Das ist der wirksamste Schutz gegen die stille, geduldige Vorgehensweise moderner Hacker.