Cyberangriff nutzt alte Treiber, um moderne Sicherheitssysteme auszuschalten

Eine raffinierte Cyberangriffswelle zielt auf Unternehmensnetzwerke ab. Die Täter nutzen gestohlene Zugangsdaten für SonicWall SSL VPNs, um ein mächtiges Werkzeug einzuschleusen, das moderne Sicherheitssoftware deaktiviert. Der Clou: Sie missbrauchen einen legitimen, aber veralteten Treiber, um sich tief im System zu verankern. Diese Angriffe, die im Februar 2026 dokumentiert wurden, zeigen eine gefährliche Schwachstelle in der Abwehrkette vieler Unternehmen.

Die Angreifer setzen auf die sogenannte „Bring Your Own Vulnerable Driver“ (BYOVD)-Methode. Dabei laden sie einen anfälligen, aber digital signierten Treiber auf das kompromittierte System. Das Betriebssystem vertraut dieser Signatur – und öffnet den Hackern Tür und Tor für tiefgreifende Zugriffe. In dieser Kampagne nutzen sie den Treiber EnPortv.sys, ein Baustein der Forensik-Software EnCase. Obwohl sein Zertifikat bereits 2010 widerrufen wurde, kann er auf modernen Windows-Systemen noch immer geladen werden. Diese Lücke in der Treibervalidierung wird hier gnadenlos ausgenutzt.

Vom VPN-Login zum „EDR-Killer“

Der Angriff beginnt nicht mit einer Softwarelücke, sondern mit gestohlenen Anmeldedaten. Nach erfolgreichem Login über das VPN starten die Angreifer sofort die Erkundung des Firmennetzwerks. Anschließend schleusen sie eine Schadsoftware ein, die als harmloses Firmware-Update getarnt ist. Diese installiert den anfälligen Treiber als permanenten Kernel-Dienst.

Moderne Angriffe wie die beschriebene Kampagne nutzen gestohlene VPN‑Zugangsdaten und verwundbare, signierte Treiber, um Sicherheitslösungen direkt im Kernel lahmzulegen. Viele IT‑Teams sind darauf nicht vorbereitet – und klassische EDR‑Ansätze reichen oft nicht mehr aus. Unser kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Awareness‑Trends zusammen und liefert konkrete Schutzmaßnahmen (Zwei‑Faktor‑Authentifizierung, VPN‑Log‑Monitoring, Richtlinien zum Treiber‑Laden) sowie sofort umsetzbare Checklisten für IT‑Verantwortliche. Jetzt kostenloses Cyber‑Security E‑Book herunterladen

Sobald der Treiber aktiv ist, beginnt die eigentliche Zerstörungsarbeit: Das Werkzeug nutzt die Kernel-Rechte, um systematisch die Prozesse von Sicherheitssoftware zu beenden. Analysen zufolge kann es mindestens 59 verschiedene Sicherheitsprodukte ausschalten – darunter auch moderne Endpoint Detection and Response (EDR)-Lösungen, die eigentlich vor solchen Angriffen schützen sollen. Selbst fortgeschrittene Schutzmechanismen wie „Protected Process Light“ (PPL) werden umgangen. Die Sicherheitsteams werden so blind gemacht, während sich die Angreifer ungestört im Netzwerk bewegen, um Daten zu stehlen oder Ransomware vorzubereiten.

Gestohlene Passwörter als größtes Risiko

Sicherheitsexperten betonen, dass die Angriffskette mit kompromittierten VPN-Zugängen beginnt. In einem dokumentierten Fall scheiterte ein Login-Versuch von einer IP-Adresse, eine Minute später gelang die Anmeldung von einer anderen. Dies deutet auf systematisches Testen gestohlener Logindaten hin. Das Fehlen einer Zwei-Faktor-Authentifizierung (2FA) bei diesen VPN-Zugängen ist ein entscheidendes Sicherheitsversagen.

Diese Abhängigkeit von gestohlenen Passwörtern unterstreicht ein Grundprinzip der Cybersicherheit: Die Perimeter-Abwehr ist nur so stark wie die verwendeten Authentifizierungsmethoden. Firewalls und VPNs sind primäre Ziele für Angreifer. Ohne verpflichtende 2FA bieten gestohlene Benutzernamen und Passwörter einen direkten Weg in das vertrauenswürdige Netzwerk. Experten betonen, dass 2FA eine der wirksamsten Maßnahmen gegen unbefugten Zugang ist.

Implikationen für die Industrie

Die Nutzung der BYOVD-Technik ist nicht neu, doch die Effektivität dieser Kampagne zeigt ein hartnäckiges Problem für Verteidiger. Angreifer instrumentalisieren zunehmend legitime Softwarekomponenten, um unentdeckt zu bleiben – eine Taktik, die traditionelle, signaturbasierte Sicherheitsansätze unterläuft.

Für Unternehmen ist dieser Vorfall eine deutliche Erinnerung an die Bedeutung einer mehrschichtigen Verteidigungsstrategie. Sich allein auf EDR-Lösungen zu verlassen, reicht nicht aus, wenn Angreifer sie vom Kernel aus deaktivieren können. Der Vorfall unterstreicht die Notwendigkeit eines robusten Identitäts- und Zugriffsmanagements, insbesondere die Durchsetzung von 2FA für alle extern erreichbaren Dienste. Die Überwachung von VPN-Logs auf anomale Anmeldemuster und die Implementierung erweiterter Sicherheitskontrollen werden zwingend erforderlich.

Ausblick und Schutzmaßnahmen

Als Reaktion auf diese Bedrohung empfehlen Cybersicherheitsexperten sofortige Maßnahmen, besonders für Nutzer von SonicWall VPN-Produkten. Höchste Priorität hat die Durchsetzung der Zwei-Faktor-Authentifizierung für alle Remote-Zugänge, um den Erstzugriff zu verhindern. Unternehmen sollten zudem ihre VPN-Logs gründlich auf verdächtige Aktivitäten überprüfen.

Langfristig wird die Branche einen weiteren Anstieg von BYOVD-Angriffen erwarten. Als Gegenmaßnahme sollten Unternehmen Richtlinien zur Anwendungskontrolle einsetzen, um strikte Regeln für das Laden von Treibern festzulegen. Proaktive Bedrohungsjagd und die Anwendung von Blockierlisten für anfällige Treiber können eine weitere kritische Verteidigungsschicht bilden. Da Angreifer ihre Methoden stetig verfeinern, müssen Unternehmen nachrüsten, indem sie ihre Zugangspunkte härten und Kernel-Schutzmechanismen implementieren.

PS: Sie möchten Ihr Unternehmen gezielt gegen BYOVD‑Angriffe und EDR‑Bypass sichern? Der kostenlose Leitfaden erklärt in vier praxisnahen Schritten, wie Sie Remote‑Zugänge härten, Zwei‑Faktor‑Authentifizierung verpflichtend einführen, anfällige Treiber identifizieren und blockieren sowie proaktive Threat‑Hunting‑Checks etablieren. Er enthält übersichtliche Checklisten, Priorisierungs‑Tipps und konkrete Maßnahmen für IT‑Leads, damit Sie sofort mit der Umsetzung beginnen können. Gratis Cyber‑Security‑Guide anfordern