Demo buchen
Blog
4 Minuten lesen
Veröffentlicht am 14. August 2025

Black Hat 2025: Angriffstechniken und versteckte Kostenfallen

Schwarzer Hut 2025 Blog - Exeon

Michael Tullius

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Die Black Hat 2025-Konferenz in Las Vegas bot erneut einen Überblick über die modernsten Angriffstechniken und die entsprechenden Abwehrinnovationen. Von Zero-Click-Exploits in Verbrauchergeräten bis hin zu tief in das UEFI eingebetteter Malware– die diesjährigen Vorträge unterstrichen eine harte Wahrheit: Angreifer entwickeln sich rasant weiter. Doch während die Sicherheitsbudgets von Unternehmen weiter wachsen, sehen viele Organisationen kaum eine proportionale Risikominderung. Warum? Weil mehr Tools nicht unbedingt besseren Schutz bedeuten.

In diesem Beitrag erfahren Sie:

  • Welche fünf Angriffe auf der Black Hat 2025 besonders auffielen
  • Warum zu viele Security-Tools zum Kosten- und Risiko-Problem werden
  • Wie Network Detection & Response (NDR) Transparenz schafft und Budgets entlastet

Keynote-Sprecher Mikko Hyppönen brachte es auf den Punkt „If it’s smart, it’s vulnerable.“ („Wenn es smart ist, ist es auch verwundbar.“)

Diese Botschaft hallte durch die Konferenzsäle: Alles, was über Rechenkapazitäten verfügt – von Wearables bis hin zu industriellen Steuerungen – weist Schwachstellen auf, die ausgenutzt werden können. Die Frage ist weniger, ob Schwachstellen existieren, sondern vielmehr, wie schnell die Verantwortlichen für die Sicherheit diese erkennen, eindämmen und deren Ausnutzung verhindern können.

Fünf Anschläge, die besonders auffielen – und was sie uns sagen:

1. VMware-VM-Ausbruch

Die Forscher Yuhao Jiang und Ziming Zhang (ANT Group) demonstrierten, dass eine bislang nicht vollständig behobene Schwachstelle im virtuellen USB-Controller (xHCI) von VMware einen Ausbruch vom Gast- in das Hostsystem ermöglicht. Durch Ausnutzen einer „Use-After-Free“-Lücke im Ringbuffer und einen Kernel-Heap-Exploit gelang es ihnen, Root-SSH-Zugriff auf den ESXi-Host zu erhalten.

Warum das wichtig ist:
Selbst gut gepatchte Virtualisierungsplattformen für den Produktiveinsatz können versteckte Schwachstellen aufweisen. Die Netzwerktransparenz zwischen VM-Segmenten – die in virtualisierten Umgebungen oft übersehen wird – ist unerlässlich, um ungewöhnlichen grenzüberschreitenden Datenverkehr zu erkennen.

2. AirPlay/CarPlay-Wurm

Forscher von Oligo Security haben schwerwiegende Sicherheitslücken im AirPlay/CarPlay-SDK von Apple entdeckt, darunter eine Zero-Click-RCE. Die Ausnutzung dieser Schwachstellen könnte sich über Multicast-DNS (mDNS) lateral von einem Gerät auf ein anderes ausbreiten.
Sie gelangten von einem Bose-Lautsprecher zu einem Infotainment-System von Panasonic – und das alles ohne jegliche Interaktion seitens des Benutzers.

Warum das wichtig ist:
mDNS und andere Protokolle zur automatischen Erkennung werden intern oft auf eine Whitelist gesetzt. Ungewöhnlicher Datenverkehr in diesem Bereich löst möglicherweise nie Warnmeldungen der Endpunktsicherheit aus, kann aber bei einer ordnungsgemäßen NDR-Prüfung auffallen.

3. KI-Container-Ausbruch

Forscher von Wiz haben gezeigt, dass Kubernetes-Container mit Nvidia-GPUs in bestimmten IaaS-KI-Bereitstellungen ausgenutzt werden können, um auf die Workloads und Daten anderer Mandanten zuzugreifen.
Sie warnten: Ohne dedizierte Hardware bleiben sensible Workloads in gemeinsam genutzten GPU-Clustern ungeschützt.

Warum das wichtig ist:
Dies unterstreicht die Notwendigkeit, den Ost-West-Datenverkehr in Cloud-Umgebungen zu überwachen – und nicht nur die eingehenden und ausgehenden Nord-Süd-Datenströme. NDR-Lösungen, die sich in VPC-Mirroring oder Cloud-Paketerfassung integrieren lassen, können diese Bewegungen aufdecken.

4. Neue UEFI-Malware-Technik

Kazuki Matsuo (FRRI) präsentierte eine neue Persistenztechnik auf UEFI-Firmware-Ebene. Durch Reservieren versteckter Speicherbereiche kann Malware aktive Netzwerkverbindungen aufrechterhalten, die für das Betriebssystem und klassische Security-Tools unsichtbar bleiben.

Warum das wichtig ist:
Wenn das Betriebssystem sie nicht erkennt, kann auch die Endpunktsicherheit sie nicht stoppen. Die netzwerkbasierte Anomalieerkennung ist oft die einzige Möglichkeit, die Kommunikation solcher tief im System verankerten Malware zu erkennen.

5. Axis-Kamera-Hack

Forscher Noam Moshe entdeckte, dass das einfache Anhängen von „_/“ an die URL des Management-Servers (CVE-2025-30026) eine Authentifizierung umgeht. Ergebnis: vollständige Kontrolle über Kameras und Management-Server – in Schulen, Krankenhäusern und Unternehmen weltweit.

Warum das wichtig ist:
IoT-Geräte laufen oft mit Standardeinstellungen und verbinden sich direkt mit Unternehmensnetzwerken. Eine Segmentierung ist eine Schutzmaßnahme, doch der Einblick in das Verhalten des IoT-Netzwerks ist ebenso entscheidend.

Cyberangriffe auf der Veranstaltung Black hat 2025 - Exeon-Blog

Die Kostenfalle Cybersicherheit

In vielen Unternehmen ist die reflexartige Antwort auf neue Bedrohungen: ein weiteres Tool einführen. Das führt oft zu:

  • SIEM für die Log-Aggregation
  • IDS für die signaturbasierte Erkennung von Eindringlingen
  • EDR für Endpunkttransparenz
  • Spezialisierte Scanner oder Agenten für Nischenfälle

Im Laufe der Zeit kann so ein Sicherheitsstapel entstehen, der es in sich hat:

  • Überschneidenden Funktionen → doppelte Lizenz- und Betriebskosten
  • Komplexen Integrationen → hoher Aufwand für IT und SecOps
  • Alarmflut → Analysten verlieren Zeit statt Bedrohungen zu priorisieren
  • Fragmentierter Sicht → kritische Lücken bleiben unentdeckt

Das Paradoxon: Die Budgets steigen, doch die Risikominderung insgesamt ist bestenfalls geringfügig.
Was oft fehlt, sind Kontext und Konsolidierung, nicht nur die Abdeckung.

Warum Netzwerktransparenz der Game-Changer ist

Network Detection & Response NDR) ersetzt nicht jedes einzelne Tool – aber es verändert die Art und Weise, wie diese zusammenwirken. Durch die Bereitstellung einer zentralen Übersicht über IT-, OT-, IoT- und Cloud-Umgebungen ermöglicht NDR:

  • Agentenloser Betrieb – keine tiefgreifenden Änderungen an den Endgeräten
  • Kontextbezogene Korrelation – Netzwerkmuster in Verbindung mit Anlagetypen und bekannten Referenzwerten
  • Kostenoptimierung – Identifizierung und Auslaufnahme redundanter Überwachungssysteme
  • Schnelle Amortisation – Nutzung der vorhandenen Netzwerkinfrastruktur für mehr Transparenz
  • Weniger Fehlalarme – Konzentration auf wirklich verdächtige Verhaltensweisen, nicht auf jede Abweichung

Wenn Angreifer – wie beispielsweise auf der Black Hat – sich lateral im Netzwerk bewegen, hinterlassen sie Spuren. Werden diese Spuren frühzeitig erkannt, kann verhindert werden, dass aus einem Eindringen ein Sicherheitsvorfall wird.

Black hat 2025 blog - Sichtbarkeit im Netz - Exeon

Praxisleitfaden für CISOs und Security-Verantwortliche

Aus den Erkenntnissen der Konferenz lassen sich klare Handlungsfelder ableiten:

  1. Jagen Sie nicht jedem neuen Tool hinterher – prüfen Sie, ob eine neue Funktion einen einzigartigen Mehrwert bietet oder nur das dupliziert, was Sie bereits haben.
  2. Ermitteln Sie Ihre Sichtbarkeitslücken – Finden Sie heraus, an welchen Stellen in Ihrer Umgebung nur eine minimale oder gar keine Überwachung stattfindet.
  3. Erst integrieren, dann erweitern – Stellen Sie sicher, dass Ihre derzeitigen Tools gemeinsam den größtmöglichen Nutzen bieten, bevor Sie weitere hinzufügen.
  4. Legen Sie den Schwerpunkt auf die Erkennung an Engpässen – strategische Netzwerksegmente wie Verbindungen zwischen VMs, IoT-Gateways und Ost-West-Datenpfade.
  5. Verlangen Sie einen messbaren ROI – sei es in Form einer verkürzten durchschnittlichen Erkennungszeit (MTTD), einer verkürzten durchschnittlichen Reaktionszeit (MTTR) oder geringerer Betriebskosten.

Black Hat für 2025

  • Angreifer entwickeln sich rasant weiter – defensive Agilität und adaptive Überwachung sind unerlässlich.
  • Das Netzwerk ist der gemeinsame Nenner – Unabhängig vom Angriffsvektor ist das Netzwerk für die laterale Bewegung unerlässlich.
  • Komplexität ist kostspielig – Eine Vielzahl von Tools ohne Konsolidierung belastet Ressourcen und Budgets.
  • Transparenz ist ein entscheidender Vorteil – Die Fähigkeit, über verschiedene Umgebungen hinweg zu erkennen, Zusammenhänge herzustellen und zu handeln, ist wertvoller als isolierte Einzellösungen.

Fazit:

Die Black Hat 2025 hat gezeigt, dass Angriffe immer raffinierter werden und die Abwehrmaßnahmen stärker integriert werden müssen. Mehr Tools bedeuten selten mehr Sicherheit – mehr Transparenz hingegen oft schon.

 

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.