Demo buchen
Blog
4 Minuten lesen
Veröffentlicht am 14. August 2025

Black Hat 2025: Angriffstechniken und versteckte Kostenfallen

Schwarzer Hut 2025 Blog - Exeon

Michael Tullius

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Die «Black Hat» 2025 Cyber Security Messe in Las Vegas bot wie jedes Jahr spektakuläre Einblicke in neue Angriffstechniken – und ebenso in moderne Verteidigungsstrategien. Von den gezeigten Zero-Click-Hacks bis zu tief verankerter UEFI-Malware wurde deutlich: Angreifer entwickeln sich rasant weiter. Gleichzeitig steigen die IT-Sicherheitsbudgets vieler Unternehmen – ohne dass das Risiko im gleichen Mass sinkt.

In diesem Beitrag erfahren Sie:

  • Welche fünf Angriffe auf der Black Hat 2025 besonders auffielen
  • Warum zu viele Security-Tools zum Kosten- und Risiko-Problem werden
  • Wie Network Detection & Response (NDR) Transparenz schafft und Budgets entlastet

Keynote-Sprecher Mikko Hyppönen brachte es auf den Punkt „If it’s smart, it’s vulnerable.“ („Wenn es smart ist, ist es auch verwundbar.“)

Die zentrale Botschaft: Alles, was Rechenleistung hat – vom Wearable bis zum Industriecontroller – enthält potenziell ausnutzbare Schwachstellen. Die Frage ist nicht, ob sie existieren, sondern wie schnell Verteidiger sie erkennen, eindämmen und beheben können.

Fünf der präsentierten Angriffe, die besonders herausstachen – und was wir daraus lernen können

1. VMware-VM-Ausbruch

Die Forscher Yuhao Jiang und Ziming Zhang (ANT Group) demonstrierten, dass eine bislang nicht vollständig behobene Schwachstelle im virtuellen USB-Controller (xHCI) von VMware einen Ausbruch vom Gast- in das Hostsystem ermöglicht. Durch Ausnutzen einer „Use-After-Free“-Lücke im Ringbuffer und einen Kernel-Heap-Exploit gelang es ihnen, Root-SSH-Zugriff auf den ESXi-Host zu erhalten.

Die Relevanz:
Selbst produktionsreife, gut gepatchte Virtualisierungsplattformen können latente Schwachstellen enthalten. Netzwerktransparenz zwischen VM-Segmenten – oft ein blinder Fleck – ist entscheidend, um ungewöhnlichen Traffic zwischen Gastsystemen und Host zu erkennen.

2. AirPlay/CarPlay-Wurm

Forscher von Oligo Security entdeckten gravierende Lücken im AirPlay/CarPlay-SDK von Apple, darunter eine Zero-Click-RCE. Die Ausbreitung von Gerät zu Gerät erfolgte über Multicast DNS (mDNS). So gelang der Sprung von einem Bose-Lautsprecher in ein Panasonic-Autoradio – ganz ohne Nutzerinteraktion.

Die Relevanz:
Protokolle wie mDNS werden intern oft standardmässig zugelassen. Anomale Kommunikation fällt hier selten in klassischen Endpoint-Alerts auf, kann aber mit geeigneter NDR-Analyse identifiziert werden.

3. KI-Container-Ausbruch

Forscher von Wiz zeigten, dass sich GPU-beschleunigte Kubernetes-Container (Nvidia) in bestimmten IaaS-Umgebungen so kompromittieren lassen, dass Zugriff auf die Workloads anderer Kunden möglich ist: Ohne dedizierte Hardware bleiben sensible Workloads in geteilten GPU-Clustern exponiert.

Die Relevanz:
Das unterstreicht die Notwendigkeit, Ost-West-Traffic in Cloud-Umgebungen zu überwachen – nicht nur den Nord-Süd-Datenverkehr. NDR-Lösungen mit VPC-Mirroring oder Cloud-Packet-Capture können hier den entscheidenden Einblick liefern. 

4. Neue UEFI-Malware-Technik

Kazuki Matsuo (FRRI) präsentierte eine neue Persistenztechnik auf UEFI-Firmware-Ebene. Durch Reservieren versteckter Speicherbereiche kann Malware aktive Netzwerkverbindungen aufrechterhalten, die für das Betriebssystem und klassische Security-Tools unsichtbar bleiben.

Die Relevanz:
Was das Betriebssystem nicht sieht, kann es nicht stoppen. Netzwerkbasierte Anomalieerkennung ist oft der einzige Weg, um solche tief verankerten Bedrohungen aufzudecken.

5. Axis-Kamera-Hack

Forscher Noam Moshe entdeckte, dass das einfache Anhängen von „_/“ an die URL des Management-Servers (CVE-2025-30026) eine Authentifizierung umgeht. Ergebnis: vollständige Kontrolle über Kameras und Management-Server – in Schulen, Krankenhäusern und Unternehmen weltweit.

Die Relevanz:
IoT-Geräte laufen häufig mit Standardkonfiguration und sind direkt ins Unternehmensnetz eingebunden. Segmentierung ist wichtig – aber ohne Einblick in das Kommunikationsverhalten bleibt das Risiko hoch.

Cyberangriffe auf der Veranstaltung Black hat 2025 - Exeon-Blog

Die Kostenfalle Cybersicherheit

In vielen Unternehmen ist die reflexartige Antwort auf neue Bedrohungen: ein weiteres Tool einführen. Das führt oft zu:

  • SIEM für die Log-Aggregation
  • IDS für die signaturbasierte Erkennung von Eindringlingen
  • EDR für Endpunkttransparenz
  • Spezialisierte Scanner oder Agenten für Nischenfälle

Im Laufe der Zeit kann so ein Sicherheitsstapel entstehen, der es in sich hat:

  • Überschneidenden Funktionen → doppelte Lizenz- und Betriebskosten
  • Komplexen Integrationen → hoher Aufwand für IT und SecOps
  • Alarmflut → Analysten verlieren Zeit statt Bedrohungen zu priorisieren
  • Fragmentierter Sicht → kritische Lücken bleiben unentdeckt

Das Paradox: Die Budgets steigen, die Risikoreduktion bleibt gering. Das Kernproblem ist nicht zu wenig Technologie, sondern zu wenig Transparenz und Konsolidierung.

Warum Netzwerktransparenz der Game-Changer ist

Network Detection & Response (NDR) ersetzt nicht jedes Tool – verändert aber, wie diese zusammenspielen. Ein zentraler Blick auf IT-, OT-, IoT- und Cloud-Umgebungen ermöglicht:

  • Agentenfreie Implementierung – keine Eingriffe an Endpoints
  • Kontextuelle Korrelation – Netzwerkverkehr im Zusammenhang mit Asset-Typen und Baselines
  • Konsolidierung – Reduzierung redundanter Monitoring-Lösungen
  • Schnelleren ROI – Nutzung bestehender Netzwerkinfrastruktur
  • Weniger False Positives – Fokus auf wirklich relevante Auffälligkeiten

Die auf der Black Hat gezeigten Angriffe haben eines gemeinsam: Sie nutzen das Netzwerk. Wer diese Bewegungen früh erkennt, kann Schäden erheblich begrenzen.

Black hat 2025 blog - Sichtbarkeit im Netz - Exeon

Praxisleitfaden für CISOs und Security-Verantwortliche

Aus den Erkenntnissen der Konferenz lassen sich klare Handlungsfelder ableiten:

  1. Nicht jedem Tool-Trend folgen – Prüfen, ob neue Funktionen wirklich einzigartigen Mehrwert bieten.
  2. Sichtbarkeitslücken schliessen – Wissen, wo im Netzwerk keine oder unzureichende Überwachung stattfindet.
  3. Bestehendes optimieren, bevor man erweitert – Tools so integrieren, dass der Gesamtnutzen maximiert wird.
  4. Erkennung an neuralgischen Punkten priorisieren – etwa VM-Interlinks, IoT-Gateways oder Cloud-Interconnects.
  5. Messbaren ROI einfordern – in Form von reduzierter Erkennungs- und Reaktionszeit oder geringerem Betriebsaufwand.

Black Hat für 2025

  • Angreifer innovieren schnell – Verteidigung muss agil und adaptiv sein.
  • Das Netzwerk ist die gemeinsame Basis – Laterale Bewegungen benötigen immer Connectivity.
  • Komplexität kostet – Mehr Tools ohne Konsolidierung binden Ressourcen und Budget.
  • Sichtbarkeit ist Hebelwirkung – Korrelation und ganzheitliche Analyse schlagen isolierte Punktlösungen.

Fazit:

Die Black Hat 2025 hat erneut gezeigt: Angriffe werden raffinierter, Verteidigung muss integrierter werden. Mehr Tools bedeuten selten mehr Sicherheit – mehr Sichtbarkeit dagegen fast immer.

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.