{"id":76601,"date":"2026-01-12T05:00:43","date_gmt":"2026-01-12T04:00:43","guid":{"rendered":"https:\/\/pcspezialist.de\/blog\/?p=76601"},"modified":"2026-01-07T07:16:38","modified_gmt":"2026-01-07T06:16:38","slug":"lotl-angriffe","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/","title":{"rendered":"LOTL-Angriffe ## So gef\u00e4hrlich ist \u201eLiving Off the Land\u201c f\u00fcr Unternehmen"},"content":{"rendered":"<p><strong>LOTL-Angriffe z\u00e4hlen zu den heimlichsten und gleichzeitig wirkungsvollsten Methoden der Cyberkriminalit\u00e4t. Die Angreifer schleusen keine klassische Schadsoftware ein, sondern greifen auf Tools zur\u00fcck, die in der IT-Umgebung vorkommen. <\/strong><\/p>\n<p>Dazu geh\u00f6ren beispielsweise PowerShell oder Windows Management Instrumentation. F\u00fcr Sicherheitssysteme wirken diese Aktivit\u00e4ten wie normale Administration und das macht LOTL-Angriffe so gef\u00e4hrlich. Hier erfahren Sie mehr.<\/p>\n<p><!--more--><\/p>\n<div style=\"background: #f2f2f2; padding: 15px 15px 5px; margin: 30px 0;\">\n<p><strong>Unser Beitrag \u00fcber LOTL-Angriffe im \u00dcberblick:\u00a0<\/strong><\/p>\n<ol style=\"line-height: 1.7;\">\n<li><a href=\"#eins\">Was ist ein LOTL-Angriff?<\/a>\n<ul style=\"line-height: 1.7;\">\n<li><a href=\"#zwei\">Wie funktionieren ein LOTL-Angriffe?<\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"#drei\">Werkzeuge f\u00fcr LOTL-Angriffe<\/a><\/li>\n<li><a href=\"#vier\">LOTL: gut getarnt, schwer erkennbar<\/a><\/li>\n<li><a href=\"#fuenf\">LOTL in der Praxis<\/a><\/li>\n<li><a href=\"#sechs\">LOTL-Angriffe und die Folgen<\/a><\/li>\n<li><a href=\"#sieben\">Angriffsindikatoren kennen<\/a><\/li>\n<li><a href=\"#acht\">Tipps zum Schutz f\u00fcr KMU<\/a><\/li>\n<li><a href=\"#neun\">Vorgehen nach einem LOTL-Angriff<\/a><\/li>\n<li><a href=\"#zehn\">IT-Sicherheit dank PC-SPEZIALIST<\/a><\/li>\n<\/ol>\n<\/div>\n<h2 id=\"eins\">Was ist ein LOTL-Angriff?<\/h2>\n<p><strong>LOTL-Angriffe<\/strong> geh\u00f6ren zu den raffiniertesten Angriffsmethoden der heutigen Cyberkriminalit\u00e4t. Der Begriff \u201e<strong>Living Off the Land<\/strong>\u201c (LOTL) beschreibt Angriffe, bei denen T\u00e4ter ausschlie\u00dflich vorhandene, legitime Systemwerkzeuge nutzen, um Ihr Netzwerk zu infiltrieren. Das hei\u00dft: Statt <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/malware\/\">Schadsoftware<\/a> einzuschleusen, bedienen sich die <a href=\"https:\/\/pcspezialist.de\/blog\/2021\/05\/26\/cyberkriminelle\/\">Kriminellen<\/a> vorhandener Komponenten und bauen ihren Angriff darauf auf.<\/p>\n<p>Sie steuern Systeme, greifen auf Daten zu, <a href=\"https:\/\/pcspezialist.de\/blog\/2023\/10\/20\/lateral-movement\/\">bewegen sich seitw\u00e4rts im Netzwerk<\/a> und verschleiern ihre Spuren \u2013 und das alles mit Werkzeugen, die Ihr Unternehmen eigentlich f\u00fcr Administration, \u00dcberwachung oder Automatisierung ben\u00f6tigt. Dieser Ansatz verschafft den Angreifern gleich mehrere Vorteile: Sie vermeiden Spuren im Dateisystem, nutzen vertraute Befehle und integrieren ihre Aktivit\u00e4ten in allt\u00e4gliche Abl\u00e4ufe.<\/p>\n<p>F\u00fcr Unternehmen entsteht dadurch ein Bedrohungsszenario, das oft erst sichtbar wird, wenn Angreifer bereits weitreichenden Zugriff besitzen. Die Methode wirkt so effektiv, weil sie auf dem Prinzip beruht, die <strong>Infrastruktur des Opfers<\/strong> selbst als Angriffswerkzeug einzusetzen. Unternehmen, die stark auf automatisierte Prozesse, Skripte und Remote-Verwaltung setzen, bieten Angreifern dadurch mehr Angriffsfl\u00e4che als ihnen bewusst ist.<\/p>\n<div id=\"attachment_76607\" style=\"width: 660px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-76607\" class=\"size-full wp-image-76607\" src=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_1_ChatGPT.jpg\" alt=\"LOTL-Angriffe | Cyberkriminalit\u00e4t | Mitarbeiter am Arbeitsplatz. Bild: ChatGPT (Bild erstellt mit KI)\" width=\"650\" height=\"433\" \/><p id=\"caption-attachment-76607\" class=\"wp-caption-text\">Ein Mitarbeiter pr\u00fcft eine auff\u00e4llige Systemwarnung an seinem Arbeitsplatz. Bild: ChatGPT (Bild erstellt mit KI)<\/p><\/div>\n<h3 id=\"zwei\">Wie funktionieren ein LOTL-Angriffe?<\/h3>\n<p><strong>LOTL-Angriffe<\/strong> setzen auf Skripte im Speicher, auf Konfigurations\u00e4nderungen oder auf missbrauchte Systembefehle. Oftmals existiert keine einzelne Datei, die als \u201eMalware\u201c erkennbar w\u00e4re. Deshalb z\u00e4hlen LOTL-Techniken zur sogenannten <strong>dateilosen Malware<\/strong> und entziehen sich h\u00e4ufig herk\u00f6mmlichen Schutzmechanismen.<\/p>\n<p>Im Detail l\u00e4uft ein Angriff beispielhaft folgenderma\u00dfen ab:<\/p>\n<ul>\n<li>Ein Mitarbeiter erh\u00e4lt eine t\u00e4uschend echt wirkende <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/phishing\/\">Phishing-Mail<\/a> und gibt unbewusst seine Zugangsdaten preis. Alternativ nutzen die Angreifer <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/sicherheitsluecke\/\">Sicherheitsl\u00fccken<\/a> in Software oder gestohlene Zugangsdaten um Zugriff zu bekommen.<\/li>\n<li>Der Angreifer nutzt diese g\u00fcltigen Anmeldedaten, um sich in das System einzuloggen \u2013 ohne zus\u00e4tzliche Malware zu installieren.<\/li>\n<li>Nach dem Login f\u00fchrt er PowerShell-Befehle aus, die Administratoren im Alltag ebenfalls nutzen. Er ruft Systeminformationen ab, scannt interne Netzwerkbereiche und pr\u00fcft, zu welchen Servern das kompromittierte Konto Zugang erh\u00e4lt. Da PowerShell ein integraler Bestandteil von Windows ist und regelm\u00e4\u00dfig f\u00fcr Wartungsaufgaben eingesetzt wird, f\u00e4llt diese Aktivit\u00e4t auf vielen Systemen nicht auf.<\/li>\n<li>Mit den gesammelten Informationen sucht der Angreifer gezielt Systeme, auf denen er h\u00f6here Rechte erlangen kann. Er f\u00fchrt legitime Remote-Administrationsbefehle aus, um sich weiter im Netzwerk zu bewegen. Wenn er Zugriff auf einen Server mit erweiterten Rechten erh\u00e4lt, kann er: Benutzerkonten anlegen oder ver\u00e4ndern, auf interne Datenbanken zugreifen, Konfigurationen anpassen und <a href=\"https:\/\/pcspezialist.de\/blog\/2023\/06\/07\/backdoor\/\">Backdoors<\/a> einrichten.<\/li>\n<\/ul>\n<p>All diese Schritte erfolgen ausschlie\u00dflich <strong>\u00fcber regul\u00e4re Windows-Tools<\/strong> und <strong>ohne das Ablegen sch\u00e4dlicher Dateien<\/strong>.\u00a0Dadurch wirkt der gesamte Angriff wie normale Administrationsarbeit \u2013 und bleibt h\u00e4ufig unsichtbar, bis Daten abgeflossen sind oder Sabotage vorbereitet wird. Die Ziele der Angreifer sind unterschiedlich: W\u00e4hrend einige auf Datendiebstahl\u00a0 aus sind, planen andere im Hintergrund einen sp\u00e4teren Erpressungsversuch.<\/p>\n<h2 id=\"drei\">Werkzeuge f\u00fcr LOTL-Angriffe<\/h2>\n<p>Angreifer orientieren sich an denselben Werkzeugen, die Administratoren t\u00e4glich verwenden. Dazu geh\u00f6ren beispielsweise <strong>Power Shell<\/strong> und <strong>Windows Management Instrumentation<\/strong> (WMI), spezialisierte Tools und Penetrationstools.<\/p>\n<ul>\n<li><strong>PowerShell<\/strong> eignet sich ideal, um Skripte zu starten, Befehle remote auszuf\u00fchren und Code direkt im Arbeitsspeicher zu verarbeiten. Genau diese Flexibilit\u00e4t macht das Framework so attraktiv f\u00fcr Angriffe.<\/li>\n<li><strong>Windows Management Instrumentation<\/strong> (WMI) dient im normalen Betrieb der Systemverwaltung, bietet aber auch M\u00f6glichkeiten, Prozesse unauff\u00e4llig zu starten oder Informationen \u00fcber das Netzwerk einzusammeln.<\/li>\n<li><strong>Spezialisierte Tools<\/strong> wie Mimikatz stammen urspr\u00fcnglich aus dem Sicherheitsumfeld. Sicherheitsteams testen damit, wie leicht sich Zugangsdaten aus einem System auslesen lassen. Ger\u00e4t dieses Tool jedoch in falsche H\u00e4nde, steigen die Risiken deutlich. Mit erbeuteten <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/passwortsicherheit\/\">Passw\u00f6rtern<\/a> und <a href=\"https:\/\/pcspezialist.de\/blog\/2022\/01\/04\/hash-hashfunktion\/\">Hashes<\/a> bewegen sich Angreifer nahezu frei durch Ihre Umgebung und greifen auf weitere Systeme zu.<\/li>\n<li>Auch bekannte <strong>Penetrationstools<\/strong> wie Cobalt Strike, Netzwerkscanner und Sniffer oder Remote-Management-Werkzeuge spielen eine Rolle. Sie dienen zur Steuerung kompromittierter Systeme, zum Aufbau verschl\u00fcsselter Kommunikationskan\u00e4le oder zur Bewertung weiterer Angriffsziele.<\/li>\n<\/ul>\n<p>Entscheidend ist bei den Angriffen aber nicht das einzelne Produkt, sondern der Ansatz: Der T\u00e4ter nutzt <strong>Werkzeuge<\/strong>, die in <strong>vielen professionellen IT-Umgebungen vorhanden<\/strong> sind \u2013 und tarnt sich damit geschickt in Ihrem Alltag.<\/p>\n<div id=\"attachment_76616\" style=\"width: 660px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-76616\" class=\"size-full wp-image-76616\" src=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL_2_ChatGPT-1.jpg\" alt=\"Mehrere Bildschirme mit unterschiedlichen Tools, die Angreifer nutzen. Bild: ChatGPT (Bild erstellt mit KI)\" width=\"650\" height=\"433\" \/><p id=\"caption-attachment-76616\" class=\"wp-caption-text\">Kriminelle nutzen vorhandenen Tools, um ihre Angriffe auszuf\u00fchren. Bild: ChatGPT (Bild erstellt mit KI)<\/p><\/div>\n<h2 id=\"vier\">LOTL: gut getarnt, schwer erkennbar<\/h2>\n<p><strong>LOTL-Angriffe<\/strong> sind so gef\u00e4hrlich, weil sie auf <strong>Tarnung und unauff\u00e4lliges Verhalten<\/strong> setzen. Ein wichtiger Grund daf\u00fcr liegt im fehlenden Dateifokus. Viele Aktivit\u00e4ten finden direkt im Arbeitsspeicher statt. Da <strong>keine klar erkennbare Schadsoftware<\/strong> auf der Festplatte landet, haben klassische Virenscanner wenig Ansatzpunkte.<\/p>\n<p>Zudem arbeiten Angreifer mit <strong>Programmen<\/strong>, die viele Unternehmen ohnehin nutzen. PowerShell, WMI oder Remote-Tools stehen in vielen Netzwerken <strong>auf der Positivliste<\/strong>. Wenn ein Virenscanner diese Anwendungen grunds\u00e4tzlich blockieren w\u00fcrde, k\u00f6nnten Administratoren ihre Arbeit nicht mehr erledigen. Diese Ausgangslage spielt Angreifern in die Karten. Sie f\u00fcgen sch\u00e4dliche Befehle in ansonsten legitime Abl\u00e4ufe ein und bewegen sich dadurch im Schatten des normalen Betriebs.<\/p>\n<p>Ein weiterer Faktor ist die <strong>lange Verweildauer<\/strong>. Viele kriminelle Angreifer legen Wert auf leises, aber konsequentes Vorgehen. Sie testen zun\u00e4chst, wie gut Ihre \u00dcberwachung funktioniert, ver\u00e4ndern Kleinigkeiten und pr\u00fcfen die Reaktion. Bleibt alles ruhig, steigern sie ihre Aktivit\u00e4ten. So entstehen komplexe Angriffsketten, die sich \u00fcber Monate oder gar Jahre hinziehen. Wenn ein Angriff schlie\u00dflich offen zutage tritt, etwa durch eine Verschl\u00fcsselung, hat der T\u00e4ter seine Ziele h\u00e4ufig schon erreicht.<\/p>\n<h2 id=\"fuenf\">LOTL in der Praxis<\/h2>\n<p>Im Umfeld von<strong> LOTL-Angriffen<\/strong> kommen <strong>unterschiedliche Techniken<\/strong> zum Einsatz, die sich erg\u00e4nzen. <strong>Binary Planting<\/strong> oder <strong>DLL-Hijacking<\/strong> ersetzt beispielsweise eine legitime Bibliothek durch eine manipulierte Variante. Eine Anwendung l\u00e4dt dann im Hintergrund die sch\u00e4dliche Version und f\u00fchrt den eingebetteten Code aus. Von au\u00dfen erscheint lediglich ein normaler Prozess, der wie vorgesehen l\u00e4uft.<\/p>\n<p>Andere Taktiken nutzen die <strong>Windows-Registry<\/strong>. Angreifer legen Eintr\u00e4ge an, die beim Systemstart sch\u00e4dlichen Code ausf\u00fchren. Dieser Code versteckt sich nicht in einer auff\u00e4lligen Datei, sondern in Speicherbereichen, Konfigurationswerten oder verschleierten Strings. Beim n\u00e4chsten Neustart greift das System automatisch darauf zu. So bleibt der Angriff aktiv, ohne dass sich eine klare Datei zur Analyse anbietet.<\/p>\n<p><strong>Dateilose Ransomware<\/strong> nutzt \u00e4hnliche Konzepte. Angreifer bringen den Verschl\u00fcsselungscode oft \u00fcber <a href=\"https:\/\/pcspezialist.de\/blog\/2016\/10\/12\/makroviren\/\">Makros<\/a> in Dokumenten oder \u00fcber <a href=\"https:\/\/pcspezialist.de\/blog\/2021\/11\/15\/exploits\/\">Exploits<\/a> in Anwendungen in den Speicher. Einmal aktiv, nutzt die Ransomware vorhandene Systemfunktionen, um Dateien zu verschl\u00fcsseln. Auf den ersten Blick l\u00e4uft nur ein legitimes Werkzeug, im Hintergrund laufen jedoch destruktive Befehle.<\/p>\n<div id=\"attachment_76617\" style=\"width: 660px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-76617\" class=\"size-full wp-image-76617\" src=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL_3_ChatGPT.jpg\" alt=\"LOTL-Angriffe | Mitarbeiter im B\u00fcro. Bild: ChatGPT (Bild erstellt mit KI)\" width=\"650\" height=\"433\" \/><p id=\"caption-attachment-76617\" class=\"wp-caption-text\">Dateilose Ransomware ist besonders gef\u00e4hrlich, da sie kaum erkannt wird. Bild: ChatGPT (Bild erstellt mit KI)<\/p><\/div>\n<h2 id=\"sechs\">LOTL-Angriffe und die Folgen<\/h2>\n<p>Die <strong>Auswirkungen eines LOTL-Angriffs<\/strong> k\u00f6nnen f\u00fcr KMU und Solo-Selbstst\u00e4ndige <strong>existenzbedrohend<\/strong> sein. Ger\u00e4t Ihr Unternehmen in das Visier einer solchen Kampagne, droht nicht nur der Verlust sensibler Daten. Angreifer lesen Kundeninformationen aus, kopieren interne Dokumente, greifen auf Finanzdaten zu oder verschaffen sich Zugang zu <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/cloud\/\">Cloud-Diensten<\/a>. In vielen F\u00e4llen bleibt unklar, welche Daten bereits abgeflossen sind. Das erschwert eine rechtssichere Bewertung und verunsichert Kunden und Partner.<\/p>\n<p>Kommt <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/ransomware\/\">Ransomware<\/a> ins Spiel, folgen h\u00e4ufig <strong>Ausfallzeiten<\/strong>. Systeme stehen still, Fachanwendungen sind nicht erreichbar, Mitarbeiter k\u00f6nnen nicht arbeiten. Jeder Tag, an dem die IT nicht funktioniert, verursacht Kosten. Zugleich w\u00e4chst der Druck, eine schnelle, aber nicht immer durchdachte L\u00f6sung zu finden. Hinzu kommen m\u00f6gliche Sch\u00e4den durch <strong>Vertragsverletzungen<\/strong> oder <strong>Datenschutzverst\u00f6\u00dfe<\/strong>, wenn Fristen oder <strong>Meldepflichten<\/strong> nicht eingehalten werden.<\/p>\n<p>Besonders kritisch wirkt sich die begrenzte Personalst\u00e4rke in kleineren Unternehmen aus. Viele KMU verf\u00fcgen nicht \u00fcber ein eigenes Security Operations Center oder ein spezialisiertes IT-Security-Team. Eine Person oder ein kleines Team verantwortet meist alles von der Benutzerverwaltung bis zur Firewall. Ein ausgefeilter LOTL-Angriff \u00fcberfordert diese Strukturen schnell.<\/p>\n<h2 id=\"sieben\">Angriffsindikatoren kennen<\/h2>\n<p>Um <strong>LOTL-Angriffe<\/strong> zu erkennen, reicht der Blick auf klassische Kompromittierungsindikatoren wie verd\u00e4chtige Dateien, Hashwerte oder bekannte Signaturen nicht mehr aus. Moderne Ans\u00e4tze fokussieren sich auf Angriffsindikatoren. Diese <strong>Indicators of Attack<\/strong> betrachten das <strong>Verhalten von Systemen, Konten und Prozessen im Zusammenhang<\/strong>.<\/p>\n<p>Statt zu pr\u00fcfen, ob eine Datei bekannt sch\u00e4dlich ist, analysiert eine L\u00f6sung, welche Befehle ein Prozess ausf\u00fchrt, mit welchen Systemen er kommuniziert und welche Berechtigungen er nutzt. Ein Beispiel daf\u00fcr ist ein pl\u00f6tzlich ungew\u00f6hnlicher PowerShell-Aufruf auf einem B\u00fcrorechner, auf dem normalerweise nur Office-Anwendungen laufen. Wenn dieser Aufruf gleichzeitig eine Verbindung zu einem unbekannten Server aufbaut und Administrationsrechte einsetzt, entsteht ein klares Verdachtsmoment.<\/p>\n<p>L\u00f6sungen der Kategorie Endpoint Detection and Response unterst\u00fctzen diesen Ansatz. Sie erfassen laufend Daten von Endger\u00e4ten, Servern und anderen Komponenten und zeichnen relevante Ereignisse auf. In Kombination mit zentralen Logsystemen entstehen Zeitlinien von Aktivit\u00e4ten, die sich im Nachhinein analysieren lassen. So wird sichtbar, wie ein Angreifer vorgegangen ist und welche Systeme betroffen sind. Gleichzeitig k\u00f6nnen automatisierte Regeln verd\u00e4chtige Muster in Echtzeit erkennen und blockieren.<\/p>\n<div id=\"attachment_76615\" style=\"width: 660px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-76615\" class=\"size-full wp-image-76615\" src=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL_4_ChatGPT.jpg\" alt=\"LOTL-Angriffe | Hacker | zwei Monitore. Bild: ChatGPT (Bild erstellt mit KI)\" width=\"650\" height=\"481\" \/><p id=\"caption-attachment-76615\" class=\"wp-caption-text\">Der Blick auf bekannte Angriffsindikatoren reicht bei einem LOTL-Angriff nicht mehr aus. Bild: ChatGPT (Bild erstellt mit KI)<\/p><\/div>\n<h2 id=\"acht\">Tipps zum Schutz f\u00fcr KMU<\/h2>\n<p>Auch ohne gro\u00dfes Security-Team kann Ihr Unternehmen wirksam gegen <strong>LOTL-Angriffe<\/strong> vorgehen. Folgende Tipps und Hinweise haben wir f\u00fcr Sie zusammengetragen:<\/p>\n<ul>\n<li>Ein Kernbaustein ist das <strong>Prinzip minimaler Berechtigungen <\/strong>(<a href=\"https:\/\/pcspezialist.de\/blog\/2021\/07\/28\/zero-trust\/\">Zero Trust<\/a> oder <a href=\"https:\/\/pcspezialist.de\/blog\/2023\/01\/11\/continuous-adaptive-trust\/\">Continuous Adaptive Trust<\/a>). Mitarbeiter arbeiten im Alltag mit normalen Benutzerkonten, administrative Aufgaben laufen \u00fcber getrennte, streng gesch\u00fctzte Konten. So verringert sich das Risiko, dass ein einzelner kompromittierter Account direkten Vollzugriff auf die gesamte Umgebung erm\u00f6glicht (Stichwort <a href=\"https:\/\/pcspezialist.de\/blog\/2025\/02\/13\/privileged-access-management\/\">PAM<\/a>).<\/li>\n<li><strong>Skript- und Administrationswerkzeuge<\/strong> brauchen <strong>klare Regeln<\/strong>. PowerShell sollte nur dort uneingeschr\u00e4nkt verf\u00fcgbar sein, wo tats\u00e4chlich Administrationsaufgaben anfallen. Signierte Skripte und restriktive Ausf\u00fchrungsrichtlinien erschweren die Nutzung durch Angreifer. <a href=\"https:\/\/pcspezialist.de\/blog\/2021\/10\/15\/excel-makros\/\">Makros in Office-Dokumenten<\/a> geh\u00f6ren standardm\u00e4\u00dfig deaktiviert und nur nach nachvollziehbarer Pr\u00fcfung freigeschaltet.<\/li>\n<li>Ein konsequentes <strong>Patch-Management<\/strong> reduziert die Angriffsfl\u00e4che deutlich. Betriebssysteme, Serveranwendungen, ERP-Systeme, Browser und Plug-ins ben\u00f6tigen regelm\u00e4\u00dfige Aktualisierungen. <a href=\"https:\/\/pcspezialist.de\/blog\/2021\/02\/22\/patch-management\/\">Automatisierte Patchprozesse<\/a> helfen dabei, den \u00dcberblick zu behalten und bekannte Schwachstellen rechtzeitig zu schlie\u00dfen.<\/li>\n<li>Ebenso wichtig ist eine <strong>durchdachte Protokollierung<\/strong>. Systeme sollten relevante Ereignisse erfassen und an einer zentralen Stelle b\u00fcndeln. Dazu geh\u00f6ren Anmeldungen, fehlgeschlagene Login-Versuche, ungew\u00f6hnliche Prozessstarts und auff\u00e4llige Netzwerkverbindungen. Wenn diese Daten vorliegen, kann ein externer Partner oder ein sp\u00e4ter eingef\u00fchrtes SIEM-System darauf aufsetzen.<\/li>\n<li><strong>Starke Authentifizierung<\/strong> ergibt weiteren Schutz. <a href=\"https:\/\/pcspezialist.de\/blog\/tag\/zwei-faktor-authentifizierung\">Mehr-Faktor-Authentifizierung<\/a> f\u00fcr <a href=\"https:\/\/pcspezialist.de\/blog\/2021\/05\/04\/was-ist-vpn\/\">VPN-Zug\u00e4nge<\/a>, Admin-Konten, Cloud-Dienste und Remote-Zugriffe erschwert den Missbrauch gestohlener Passw\u00f6rter erheblich. Selbst wenn Angreifer Zugangsdaten auslesen, fehlen ihnen die zus\u00e4tzlichen Best\u00e4tigungsfaktoren.<\/li>\n<li>Ein nicht zu untersch\u00e4tzender Faktor ist <strong>Sensibilisierung<\/strong>. Mitarbeiter sollten verstehen, wie Phishing-Mails aussehen, warum sie Anh\u00e4nge kritisch pr\u00fcfen m\u00fcssen und wie sie verd\u00e4chtige Ereignisse melden. Kurze, <a href=\"https:\/\/pcspezialist.de\/blog\/2022\/01\/05\/security-awareness\/\">regelm\u00e4\u00dfige Schulungen<\/a> wirken hier deutlich besser als einmalige umfangreiche Workshops. Jede vermiedene Klickaktion auf einen b\u00f6sartigen Link reduziert das Risiko eines ersten Eindringens.<\/li>\n<\/ul>\n<p>Ein durchdachtes <strong>Zusammenspiel dieser Ma\u00dfnahmen<\/strong> st\u00e4rkt Ihre <strong>Sicherheitsstrategie<\/strong> nachhaltig und erschwert Angreifern jeden weiteren Schritt in Ihrer IT-Umgebung.<\/p>\n<h2 id=\"neun\">Vorgehen nach einem LOTL-Angriff<\/h2>\n<p>Wenn Sie Anzeichen f\u00fcr einen <strong>m\u00f6glichen LOTL-Angriff<\/strong> bemerken, lohnt sich ein<strong> strukturiertes Vorgehen<\/strong>. Zun\u00e4chst hilft es, alle <strong>Auff\u00e4lligkeiten zu dokumentieren<\/strong>. Notieren Sie betroffene Systeme, Zeitpunkte, Fehlermeldungen, ungew\u00f6hnliche Administratoraktionen und Besonderheiten bei Logins oder Netzwerkverbindungen. Diese Informationen sind sp\u00e4ter f\u00fcr eine Analyse entscheidend.<\/p>\n<p>Als n\u00e4chstes sollten Sie <strong>Zug\u00e4nge absichern<\/strong>. \u00c4ndern Sie Passw\u00f6rter f\u00fcr kritische Konten, pr\u00fcfen Sie Administratorgruppen, deaktivieren Sie verd\u00e4chtige Benutzer und kontrollieren Sie Fernzug\u00e4nge. Dabei sollte immer bedacht bleiben, dass un\u00fcberlegte Schritte Spuren verwischen k\u00f6nnen. Gerade bei einem fortgeschrittenen Angriff empfiehlt sich daher fr\u00fchzeitig die <strong>Einbindung von Fachleuten<\/strong>, die Erfahrung mit forensischen Analysen haben.<\/p>\n<p>Eine <strong>Isolation einzelner Systeme<\/strong> kann n\u00f6tig werden, um eine weitere Ausbreitung zu verhindern. Dazu geh\u00f6ren das Trennen vom Netzwerk oder das Einschr\u00e4nken bestimmter Kommunikationswege. Gleichzeitig sollten <a href=\"https:\/\/pcspezialist.de\/blog\/2024\/10\/17\/backup-management\/\">Backups<\/a> \u00fcberpr\u00fcft werden. Sicherungen ben\u00f6tigen Schutz vor Manipulationen, sonst bleiben sie im Ernstfall unbrauchbar.<\/p>\n<p>Nach der akuten Phase folgt die <strong>H\u00e4rtung der Umgebung<\/strong>. Dabei stehen die Schlie\u00dfung ausgenutzter Schwachstellen, die Anpassung von Berechtigungskonzepten, die Einf\u00fchrung besserer \u00dcberwachungsmechanismen und die \u00dcberarbeitung von <a href=\"https:\/\/pcspezialist.de\/blog\/2025\/09\/18\/incident-response-plan\/\">Notfallpl\u00e4nen<\/a> im Mittelpunkt.<\/p>\n<div id=\"attachment_76614\" style=\"width: 660px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-76614\" class=\"size-full wp-image-76614\" src=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL_5_ChatGPT.jpg\" alt=\"LOTL-Angriffe | Notfallplan | technische Darstellung auf einem Monitor. Bild: ChatGPT (Bild erstellt mit KI)\" width=\"650\" height=\"433\" \/><p id=\"caption-attachment-76614\" class=\"wp-caption-text\">Mit einem Notfallplan k\u00f6nnen die Folgen einen Hackerangriffs schnell gemeistert werden. hat, Bild: ChatGPT (Bild erstellt mit KI)<\/p><\/div>\n<h2 id=\"zehn\">IT-Sicherheit dank PC-SPEZIALIST<\/h2>\n<p><strong>LOTL-Angriffe<\/strong> richten sich l\u00e4ngst nicht mehr nur gegen gro\u00dfe Konzerne. Auch kleine und mittlere Unternehmen geraten zunehmend in den Fokus, weil sie oft wichtige Daten verarbeiten, aber weniger aufw\u00e4ndige Schutzsysteme betreiben. Genau hier setzt <a href=\"https:\/\/pcspezialist.de\/\">PC-SPEZIALIST<\/a> an. Unsere <a href=\"https:\/\/pcspezialist.de\/standorte\/\">IT-Dienstleister vor Ort<\/a> kennen die typischen Strukturen in KMU und bei Solo-Selbstst\u00e4ndigen und richten Sicherheitskonzepte darauf aus.<\/p>\n<p>Gemeinsam mit Ihnen analysieren sie den <a href=\"https:\/\/pcspezialist.de\/it-sicherheit\/infrastrukturanalyse\/\">aktuellen Stand Ihrer IT-Sicherheit<\/a>. Dazu geh\u00f6rt ein Blick auf <a href=\"https:\/\/pcspezialist.de\/blog\/2020\/10\/14\/endpoint-protection\/\">Endger\u00e4teschutz<\/a>, <a href=\"https:\/\/pcspezialist.de\/it-sicherheit\/firewall\/\">Firewall-Konfiguration<\/a>, Patch-Management, <a href=\"https:\/\/pcspezialist.de\/blog\/2022\/03\/07\/backup-strategie\/\">Backup-Strategien<\/a> und Berechtigungskonzepte. Auf dieser Basis entwickeln sie praxisnahe Ma\u00dfnahmen, die zu Ihrem Budget, Ihrer Organisation und Ihrem Risiko passen. Das Ziel besteht darin, die Angriffsfl\u00e4che zu verkleinern, verd\u00e4chtige Aktivit\u00e4ten fr\u00fcher zu erkennen und im Ernstfall handlungsf\u00e4hig zu bleiben.<\/p>\n<p>Wenn Sie wissen m\u00f6chten, wie widerstandsf\u00e4hig Ihre IT-Umgebung gegen\u00fcber <strong>LOTL-Angriffen<\/strong> und anderen modernen Bedrohungen ist, lohnt sich ein Gespr\u00e4ch mit Ihrem <a href=\"https:\/\/pcspezialist.de\/standorte\/\">PC-SPEZIALIST vor Ort<\/a>. Gemeinsam legen Sie fest, welche Schritte als n\u00e4chstes sinnvoll sind, um Ihr Unternehmen langfristig zu sch\u00fctzen. Nehmen Sie gern Kontakt auf.<\/p>\n<p>_______________________________________________<\/p>\n<p><small>Quellen: <a href=\"https:\/\/www.crowdstrike.com\/de-de\/cybersecurity-101\/cyberattacks\/living-off-the-land-attack\/\" target=\"_blank\" rel=\"noopener\">crowdstrike<\/a>, <a href=\"https:\/\/www.kiteworks.com\/de\/risiko-compliance-glossar\/living-off-the-land-attacks\/\" target=\"_blank\" rel=\"noopener\">kiteworks<\/a>, Pexels\/<a href=\"https:\/\/www.pexels.com\/de-de\/foto\/laptop-tippen-computer-kommunikation-5475752\/\" target=\"_blank\" rel=\"noopener\">Antoni Shkraba Studio<\/a> (Headerbild)<\/small><\/p>\n","protected":false},"excerpt":{"rendered":"<p>LOTL-Angriffe z\u00e4hlen zu den heimlichsten und gleichzeitig wirkungsvollsten Methoden der Cyberkriminalit\u00e4t. Die Angreifer schleusen keine klassische Schadsoftware ein, sondern greifen auf Tools zur\u00fcck, die in der IT-Umgebung vorkommen. Dazu geh\u00f6ren beispielsweise PowerShell oder Windows Management Instrumentation. F\u00fcr Sicherheitssysteme wirken diese Aktivit\u00e4ten wie normale Administration und das macht LOTL-Angriffe so gef\u00e4hrlich. Hier erfahren Sie mehr.<\/p>\n","protected":false},"author":98,"featured_media":76613,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10500],"tags":[7209,7448,9946],"class_list":["post-76601","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity","tag-it-sicherheitsmassnahmen","tag-hacker","tag-cyberkriminalitaet"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>LOTL-Angriffe | Living Off the Land | Hackerangriff<\/title>\n<meta name=\"description\" content=\"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"LOTL-Angriffe | Living Off the Land | Hackerangriff\" \/>\n<meta property=\"og:description\" content=\"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU\" \/>\n<meta property=\"og:url\" content=\"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/\" \/>\n<meta property=\"og:site_name\" content=\"PC-SPEZIALIST Blog\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-12T04:00:43+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1500\" \/>\n\t<meta property=\"og:image:height\" content=\"700\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Maren Keller\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Maren Keller\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"13\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/\"},\"author\":{\"name\":\"Maren Keller\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/#\\\/schema\\\/person\\\/e9cb801a8b8ea9138af26a02b8b6d14f\"},\"headline\":\"LOTL-Angriffe ## So gef\u00e4hrlich ist \u201eLiving Off the Land\u201c f\u00fcr Unternehmen\",\"datePublished\":\"2026-01-12T04:00:43+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/\"},\"wordCount\":2327,\"commentCount\":0,\"image\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg\",\"keywords\":[\"IT-Sicherheitsma\u00dfnahmen\",\"Hackerangriffe\",\"Cyberkriminalit\u00e4t\"],\"articleSection\":[\"Cybersecurity\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/\",\"url\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/\",\"name\":\"LOTL-Angriffe | Living Off the Land | Hackerangriff\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg\",\"datePublished\":\"2026-01-12T04:00:43+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/#\\\/schema\\\/person\\\/e9cb801a8b8ea9138af26a02b8b6d14f\"},\"description\":\"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#primaryimage\",\"url\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg\",\"contentUrl\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg\",\"width\":1500,\"height\":700,\"caption\":\"Weil Angreifer vorhandene Tools nutzen, sind LOTL-Angriffe so gef\u00e4hrlich. Bild: Pexels\\\/Antoni Shkraba Studio https:\\\/\\\/www.pexels.com\\\/de-de\\\/foto\\\/laptop-tippen-computer-kommunikation-5475752\\\/\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/2026\\\/01\\\/12\\\/lotl-angriffe\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"LOTL-Angriffe ## So gef\u00e4hrlich ist \u201eLiving Off the Land\u201c f\u00fcr Unternehmen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/\",\"name\":\"PC-SPEZIALIST Blog\",\"description\":\"IT-Service, Trends &amp; Technik\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/#\\\/schema\\\/person\\\/e9cb801a8b8ea9138af26a02b8b6d14f\",\"name\":\"Maren Keller\",\"description\":\"PC-SPEZIALIST ist eine Marke der in Schlo\u00df Holte ans\u00e4ssigen SYNAXON. Seit 2016 arbeitet Maren Keller f\u00fcr den PC-SPEZIALIST-Blog. Gestartet als Online-Redakteurin ist sie mittlerweile Content Marketing Managerin und tr\u00e4gt unter anderem die Verantwortung f\u00fcr die Inhalte des Blogs. In den Jahren 2017 und 2020 hat sie parallel f\u00fcr den Blog des IT-SERVICE.NETWORK geschrieben. Die studierte Germanistin und Politologin hat einen Sp\u00fcrsinn f\u00fcr aktuelle Bedrohungen im IT-Bereich entwickelt und versteht es, das Fachwissen von PC-SPEZIALIST dem Leser verst\u00e4ndlich darzubieten. Nicht zu verleugnen ist allerdings ihre Ungeduld, die sich in flinken Fingern auf der Tastatur zeigt und gleichzeitig f\u00fcr einen hohen Output sorgt. Ihre journalistische Karriere begann Maren Keller Mitte der 1990er Jahre mit dem Verfassen von Sportberichten f\u00fcr die Regionalseiten ihrer Heimatzeitung in Bremerhaven. Nach dem Studium in Hannover, das von zahlreichen Praktika bei Funk, Fernsehen und Zeitung begleitet wurde, kehrte sie f\u00fcr ein journalistisches Volontariat in ihre Heimat zur\u00fcck, um bei der NORDSEE-ZEITUNG den Beruf des Redakteurs von der Pike auf zu lernen und anschlie\u00dfend in der Sportredaktion zu arbeiten. W\u00e4hrend ihrer Elternzeiten und beruflich bedingten Umz\u00fcgen arbeitete sie als freie Journalistin f\u00fcr verschiedene Tageszeitungen und fand 2016 den Weg zur SYNAXON, wo sie heute als Content Marketing Managerin in Lohn und Brot steht. In ihrer Freizeit zeigt sie ihr Talent f\u00fcr\u2019s Schreiben nicht. Stattdessen liegen ihre Schwerpunkt dort im Bereich Haus, Familie, Garten und Hund. Au\u00dferdem ist sie musikalisch unterwegs, bl\u00e4st das Jagdhorn in einem Bl\u00e4serkorps, spielt Klavier und singt im Chor. Sie haben Fragen an Maren Keller? Sie erreichen sie per E-Mail an redaktion@pcspezialist.de\",\"url\":\"https:\\\/\\\/pcspezialist.de\\\/blog\\\/author\\\/maren\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"LOTL-Angriffe | Living Off the Land | Hackerangriff","description":"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/","og_locale":"de_DE","og_type":"article","og_title":"LOTL-Angriffe | Living Off the Land | Hackerangriff","og_description":"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU","og_url":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/","og_site_name":"PC-SPEZIALIST Blog","article_published_time":"2026-01-12T04:00:43+00:00","og_image":[{"width":1500,"height":700,"url":"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg","type":"image\/jpeg"}],"author":"Maren Keller","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Maren Keller","Gesch\u00e4tzte Lesezeit":"13\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#article","isPartOf":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/"},"author":{"name":"Maren Keller","@id":"https:\/\/pcspezialist.de\/blog\/#\/schema\/person\/e9cb801a8b8ea9138af26a02b8b6d14f"},"headline":"LOTL-Angriffe ## So gef\u00e4hrlich ist \u201eLiving Off the Land\u201c f\u00fcr Unternehmen","datePublished":"2026-01-12T04:00:43+00:00","mainEntityOfPage":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/"},"wordCount":2327,"commentCount":0,"image":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#primaryimage"},"thumbnailUrl":"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg","keywords":["IT-Sicherheitsma\u00dfnahmen","Hackerangriffe","Cyberkriminalit\u00e4t"],"articleSection":["Cybersecurity"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/","url":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/","name":"LOTL-Angriffe | Living Off the Land | Hackerangriff","isPartOf":{"@id":"https:\/\/pcspezialist.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#primaryimage"},"image":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#primaryimage"},"thumbnailUrl":"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg","datePublished":"2026-01-12T04:00:43+00:00","author":{"@id":"https:\/\/pcspezialist.de\/blog\/#\/schema\/person\/e9cb801a8b8ea9138af26a02b8b6d14f"},"description":"\u00dcberblick \u00fcber \u2714 LOTL-Angriffe: \u2714 Missbrauch legitimer Systemwerkzeuge \u2714 schwer erkennbare Angriffstechniken \u2714 wirksamer Schutz f\u00fcr KMU","breadcrumb":{"@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#primaryimage","url":"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg","contentUrl":"https:\/\/pcspezialist.de\/blog\/wp-content\/uploads\/2026\/01\/LOTL-Angriffe_pexels-shkrabaanthony-5475752.jpg","width":1500,"height":700,"caption":"Weil Angreifer vorhandene Tools nutzen, sind LOTL-Angriffe so gef\u00e4hrlich. Bild: Pexels\/Antoni Shkraba Studio https:\/\/www.pexels.com\/de-de\/foto\/laptop-tippen-computer-kommunikation-5475752\/"},{"@type":"BreadcrumbList","@id":"https:\/\/pcspezialist.de\/blog\/2026\/01\/12\/lotl-angriffe\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/pcspezialist.de\/blog\/"},{"@type":"ListItem","position":2,"name":"LOTL-Angriffe ## So gef\u00e4hrlich ist \u201eLiving Off the Land\u201c f\u00fcr Unternehmen"}]},{"@type":"WebSite","@id":"https:\/\/pcspezialist.de\/blog\/#website","url":"https:\/\/pcspezialist.de\/blog\/","name":"PC-SPEZIALIST Blog","description":"IT-Service, Trends &amp; Technik","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/pcspezialist.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/pcspezialist.de\/blog\/#\/schema\/person\/e9cb801a8b8ea9138af26a02b8b6d14f","name":"Maren Keller","description":"PC-SPEZIALIST ist eine Marke der in Schlo\u00df Holte ans\u00e4ssigen SYNAXON. Seit 2016 arbeitet Maren Keller f\u00fcr den PC-SPEZIALIST-Blog. Gestartet als Online-Redakteurin ist sie mittlerweile Content Marketing Managerin und tr\u00e4gt unter anderem die Verantwortung f\u00fcr die Inhalte des Blogs. In den Jahren 2017 und 2020 hat sie parallel f\u00fcr den Blog des IT-SERVICE.NETWORK geschrieben. Die studierte Germanistin und Politologin hat einen Sp\u00fcrsinn f\u00fcr aktuelle Bedrohungen im IT-Bereich entwickelt und versteht es, das Fachwissen von PC-SPEZIALIST dem Leser verst\u00e4ndlich darzubieten. Nicht zu verleugnen ist allerdings ihre Ungeduld, die sich in flinken Fingern auf der Tastatur zeigt und gleichzeitig f\u00fcr einen hohen Output sorgt. Ihre journalistische Karriere begann Maren Keller Mitte der 1990er Jahre mit dem Verfassen von Sportberichten f\u00fcr die Regionalseiten ihrer Heimatzeitung in Bremerhaven. Nach dem Studium in Hannover, das von zahlreichen Praktika bei Funk, Fernsehen und Zeitung begleitet wurde, kehrte sie f\u00fcr ein journalistisches Volontariat in ihre Heimat zur\u00fcck, um bei der NORDSEE-ZEITUNG den Beruf des Redakteurs von der Pike auf zu lernen und anschlie\u00dfend in der Sportredaktion zu arbeiten. W\u00e4hrend ihrer Elternzeiten und beruflich bedingten Umz\u00fcgen arbeitete sie als freie Journalistin f\u00fcr verschiedene Tageszeitungen und fand 2016 den Weg zur SYNAXON, wo sie heute als Content Marketing Managerin in Lohn und Brot steht. In ihrer Freizeit zeigt sie ihr Talent f\u00fcr\u2019s Schreiben nicht. Stattdessen liegen ihre Schwerpunkt dort im Bereich Haus, Familie, Garten und Hund. Au\u00dferdem ist sie musikalisch unterwegs, bl\u00e4st das Jagdhorn in einem Bl\u00e4serkorps, spielt Klavier und singt im Chor. Sie haben Fragen an Maren Keller? Sie erreichen sie per E-Mail an redaktion@pcspezialist.de","url":"https:\/\/pcspezialist.de\/blog\/author\/maren\/"}]}},"_links":{"self":[{"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/posts\/76601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/users\/98"}],"replies":[{"embeddable":true,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/comments?post=76601"}],"version-history":[{"count":11,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/posts\/76601\/revisions"}],"predecessor-version":[{"id":76693,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/posts\/76601\/revisions\/76693"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/media\/76613"}],"wp:attachment":[{"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/media?parent=76601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/categories?post=76601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pcspezialist.de\/blog\/wp-json\/wp\/v2\/tags?post=76601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}