10 Fehler, die Angreifern das Leben leicht machen (und wie man sie abstellt)
Viele erfolgreiche Angriffe beginnen nicht mit Zero-Days, sondern mit simplen Versäumnissen. Hier sind zehn Klassiker – jeweils mit einer kurzen Definition und konkreten Gegenmaßnahmen (inklusive Links zu Tools oder Checklisten).
| # | Fehler | Warum gefährlich | Vorkehrungsmaßnahme |
|---|---|---|---|
| 1 | Fehlende Multi-Faktor-Authentifizierung | Single-Factor-Logins fallen durch Phishing oder Credential Stuffing sofort. | MFA für alle kritischen Konten verpflichtend. Einstieg: Azure AD MFA Leitfaden oder FIDO2-Keys (z. B. YubiKey). |
| 2 | Ungepatchte Systeme / veraltete Software | Exploits stehen oft binnen Tagen online. | Automatisiertes Patch-Management (WSUS, Intune, Landscape) oder Infrastructure-as-Code (z. B. Ansible Patch Management). |
| 3 | Schwache / wiederverwendete Passwörter | Passwortlisten + Spraying erschließen komplette Tenants. | Passwortmanager + Policy nach NIST 800-63B. Prüfen gegen kompromittierte Hashes (HIBP API). |
| 4 | Keine Security Awareness | Social Engineering nutzt menschliche Fehler. | Quartals-Schulungen + Phishing-Simulationen (z. B. SANS Security Awareness). |
| 5 | Fehlendes Security Monitoring | Ohne Logs keine Anomalien. | SIEM/SOAR einführen (z. B. Microsoft Sentinel). Mindestens zentrale Syslog-/Elastic-Stack. |
| 6 | Zu weitreichende Benutzerrechte | Angreifer brauchen nur ein überprivilegiertes Konto. | Least-Privilege-Rollen, JIT-Access, regelmäßige Reviews (Azure PIM). |
| 7 | Offene / falsch konfigurierte Remote-Zugänge | RDP/VPN ohne Härtung ist Lieblingsziel von Bots. | Zero Trust Network Access oder gehärtete VPNs (MFA, Split-Tunnel), siehe CISA Remote Work Guidance. |
| 8 | Fehlende IT-Dokumentation | Niemand weiß, was wirklich läuft – perfekte Tarnung für Angreifer. | Aktuelle Runbooks/Netzwerkpläne in Confluence/Notion; Change-/Asset-Register synchron halten. Vorlage: Confluence IT-Doku Blueprint. |
| 9 | Keine Netzwerksegmentierung | Ein kompromittierter Client → gesamtes Netz offen. | Netz in Zonen trennen (User, Server, OT). Mikrosegmentierung + ACLs, siehe Palo Alto Network Segmentation Guide. |
| 10 | Kein Incident-Response-Prozess | Ohne Plan verstreicht die NIS2-Meldezeit. | IR-Playbooks + Rollen definieren. Vorlage: CISA Incident Response Playbook. |
Vorgehen in der Praxis
- Baseline aufnehmen: Checkliste durchgehen, Status (rot/gelb/grün) pro Punkt.
- Quick Wins implementieren: MFA, Patch-Automation, Dokumentation. Meist in <30 Tagen möglich.
- Monitoring & Response etablieren: SIEM/SOC, Incident-Playbooks, Tabletop-Übungen.
- Review-Zyklen fixieren: Quartalsweise Rechte-Review, Halbjahres-Penetrationstest, jährlicher ISMS-Check.
Jeder einzelne Fehler ist schon problematisch. In Kombination werden sie zum Angriffsfahrplan. Wer diese Basics sauber umsetzt, schließt die Mehrzahl opportunistischer Angriffswege – und schafft die Grundlage für weitergehende Maßnahmen wie Red-Teaming oder DORA-/NIS2-Konformität.
Hinweis: Dieser Beitrag wurde mithilfe eines KI-Assistenzsystems erstellt und von Michael final geprüft.