Edge im Visier staatlich geförderter Akteure

Die wichtigsten Erkenntnisse

Öffentlich zugängliche Daten zeigen, dass der Anteil der Angriffe auf Edge-Geräte innerhalb eines Jahres von 3 % auf 22 % aller Sicherheitsvorfälle gestiegen ist.
Die wirtschaftlichen Rahmenbedingungen machen diese Geräte für Angreifer sehr attraktiv. Exploits dafür kosten ein Drittel bis ein Zehntel des Preises der Exploits für Browser, ermöglichen dabei jedoch umfassenden Netzwerkzugriff, das Ausspähen von Anmeldedaten und das Abfangen von Datenverkehr.
Mit China in Verbindung stehende Akteursgruppen agieren als koordiniertes Ökosystem und nutzen gemeinsam Tools, teilen sich Ziele auf und profitieren wahrscheinlich von staatlich gelenkten Schwachstellen-Pipelines.
Edge-Geräte sind blinde Flecken, weil sie keine Endpoint Detection and Response (EDR) ausführen und nur begrenzte Protokollierungsmöglichkeiten bieten. Darüber hinaus erfordert das Patchen Ausfallzeiten und sind bei forensischen Analysen und Untersuchungen schwer zu handhaben.

Viele Jahre lang war Phishing für staatlich geförderte Akteure das Einfallstor in große Unternehmen und Regierungsorganisationen. Dies hat sich nun geändert: Edge-Geräte wie VPN-Gateways, Firewalls und Netzwerkgeräte sind zunehmend zu einem Hauptziel als Einstiegspunkt für Spionageoperationen geworden. Damit wenden sich Angreifer den am wenigsten geschützten, aber besonders wertvollen Ressourcen in Unternehmensnetzwerken zu: nicht verwaltete Edge-Infrastruktur.

Warum Edge-Geräte?

Edge-Geräte befinden sich an der Grenze zwischen dem internen Netzwerk eines Unternehmens und dem Internet. Sie dienen als VPN-Konzentratoren, Firewalls, Web Application Firewalls (WAFs) und Zugangs-Gateways.

Der Missbrauch von Edge-Geräten stieg innerhalb eines Jahres von 3 % auf 22 % aller Sicherheitsverletzungen durch die Ausnutzung von Schwachstellen, so der Verizon DBIR 2025. Der Bericht von Recorded Future für das erste Halbjahr 2025 zeigte, dass 53 % der Exploit-Aktivitäten staatlich gefördert waren, wobei Edge-Geräte 17 % aller aktiv ausgenutzten CVEs ausmachten.

Dies zeigt eine strategische Neuausrichtung der Angreifer. Da die Endpunktsicherheit mittlerweile ausgereift ist, haben Angreifer ihren Fokus auf Netzwerkressourcen verlagert, die den höchsten Wert, aber den geringsten Schutz aufweisen. Diese Ressourcen sind zudem am schwierigsten effizient zu überwachen.

Durch die Kompromittierung eines solchen Geräts erhalten Angreifer folgende Möglichkeiten:

Netzwerkweite Transparenz: Zugriff auf ein- und ausgehenden Datenverkehr, die interne Topologie und Benutzeraktivitäten.
Sammeln von Anmeldedaten: Durch die LDAP-/Active-Directory-Integration sind nach einer Kompromittierung die Anmeldedaten der Domäne zugänglich.
Ausnutzung des Vertrauens: Edge-Geräte sind in Sicherheitsrichtlinien aufgeführt und gelten in der Regel als vertrauenswürdig. Angreifer können dies für weitere Pivoting-Angriffe und laterale Bewegungen innerhalb des Netzwerks nutzen.
Proxy-Infrastruktur: Kompromittierte Geräte können zu Relaispunkten für Command-and-Control-Kommunikation und als Sprungbrett in Partnernetzwerke oder andere Systeme dienen und so effektiv Teil eines Operational Relay Box (ORB)-Netzwerks werden.

Gleichzeitig sind sie besonders schwer zu verteidigen:

Keine EDR-Unterstützung: Abgespeckte oder proprietäre Betriebssysteme können keine Standard-Sicherheitsagenten ausführen. Die vom Anbieter bereitgestellte Überwachung beschränkt sich in der Regel auf die Systemprotokollierung.
Probleme bei der Patch-Installation: Updates erfordern Ausfallzeiten, Tests und Wartungsfenster, die Unternehmen nur ungern einplanen.
Eingeschränkte forensische Transparenz: Viele Edge-Geräte arbeiten mit In-Memory-Dateisystemen. Ein Neustart kann alle Spuren einer Kompromittierung löschen.
Direkte Internetpräsenz: Sie sind auffindbar und erreichbar und bilden die primäre externe Angriffsfläche.

Die Tabelle im Originalbeitrag zeigt die allgemeine Dynamik der Ausnutzung und Behebung von Schwachstellen, basierend auf öffentlich zugänglichen Quellen. Zudem zeigt der Beitrag die wichtigsten Vorfälle durch staatlich geförderte Akteure, die kritische Schwachstellen bei den meisten großen Anbietern von Edge-Geräten ausnutzten.

Aus den Daten lassen sich mehrere Muster ablesen. Gruppen mit Verbindungen zu China scheinen zu dominieren und sind für mindestens sieben von zehn größeren Kampagnen verantwortlich. Das Zeitfenster für die Ausnutzung von Sicherheitslücken wird immer kleiner: Im Durchschnitt lag die Zeitspanne bis zur Ausnutzung bei zwei bis vier Wochen nach der Veröffentlichung eines Patches. Angreifer betreiben Reverse Engineering von Exploits anhand von gesammelten Artefakten und setzen diese unabhängig von der ursprünglichen Offenlegung als Waffen ein.

Die Angriffe betreffen alle großen Anbieter, wobei Schwachstellen im Zusammenhang mit der Umgehung der Authentifizierung, Speicherbeschädigungen und Pfadtraversal durchgängig ausgenutzt wurden. Die Auswirkungen sind weltweit zu beobachten. Laut TeamT5 waren allein durch die Ausnutzung von Ivanti-Schwachstellen Opfer in 12 Ländern betroffen. Die Telemetriedaten von TrendAI bestätigen diese Erkenntnisse. Die Sektoren Telekommunikation, Regierung, Verteidigung und Technologie waren besonders stark betroffen.

Wirtschaftliche Analyse

Die wirtschaftlichen Rahmenbedingungen für Angreifer sind äußerst günstig. Daten von Pwn2Own aus der Zero Day Initiative (ZDI) von TrendAI zeigen, dass Angreifer für Exploits für Mobilgeräte 20- bis 40-mal mehr zahlen als den Preis für koordinierte Offenlegungen, für Exploits für Edge-Geräte jedoch nur zwei- bis fünfmal mehr. Dies bestätigt, dass Schwachstellen in Edge-Geräten im Verhältnis zu ihrem strategischen Wert strukturell unterbewertet sind, was sie für kostenbewusste staatliche Akteure besonders attraktiv macht.

Während ein Exploit für Mobilgeräte Millionen kostet und nur ein einzelnes Gerät kompromittiert, verschafft ein Exploit für Edge-Geräte für 50.000 bis 100.000 US-Dollar Zugriff auf das gesamte Netzwerk, die Anmeldedaten und den Datenverkehr eines Unternehmens.

TrendAI’s ZDI liefert durch seine jährlichen Pwn2Own-Wettbewerbe transparente Preis-Benchmarks. Parallel dazu existieren Märkte für den Erwerb von Exploits zu nicht-defensiven Zwecken. Die Tabellen im Originalbeitrag zeigen die Preisgestaltung für Exploits, basierend auf öffentlichen Broker-Preisen und Branchenberichten.

In China drücken staatlich gelenkte Programme zur Schwachstellensuche die Kosten weiter nach unten. Chinas Netzwerkdatenverordnung von 2024 schreibt vor, dass Schwachstellen je nach Schweregrad innerhalb von 24 oder 48 Stunden den staatlichen Behörden gemeldet werden müssen. Viele Programme sind aufgrund der jüngsten regulatorischen Änderungen in China nicht mehr öffentlich einsehbar.

Die wirtschaftlichen Rahmenbedingungen sind für Verteidiger sehr ungünstig. Unternehmen entstehen hohe Kosten bei der Installation von Patches auf Edge-Geräten. Ausfälle des VPN beeinträchtigen Remote-Mitarbeiter, gängige Sicherheitslösungen sind auf Edge-Geräten nicht vorhanden, und selbst die Erfassung forensischer Beweise von Edge-Geräten ist nicht immer unkompliziert. Um Produktionsausfälle zu vermeiden, sind Tests erforderlich, und Wartungsfenster müssen teamübergreifend koordiniert werden. Diese Kosten/Nutzen-Abwägung führt regelmäßig zu verzögerten Patches, wodurch ein Zeitfenster von mindestens 30 Tagen entsteht, das Angreifer durch die Analyse von Patch-Unterschieden und schnelle Ausnutzung ausnutzen.

Die Angreifer: Ein koordiniertes Ökosystem

Mehrere mit China verbundene APT-Gruppen greifen Edge-Geräte systematisch an. Der Umfang und die Abgestimmtheit deuten auf ein gewisses Maß an Koordination hin und lassen darauf schließen, dass es sich nicht um völlig unabhängige Kampagnen verschiedener Akteursgruppen handelt.

UNC5221 ist eine der aktivsten Gruppen, die Edge-Geräte ausnutzen. Sie ist seit Ende 2023 für wiederholte Zero-Day-Kampagnen gegen Ivanti und Citrix NetScaler verantwortlich. Die Gruppe setzt das SPAWN-Malware-Ökosystem ein, das speziell entwickelte Tools für Persistenz, Tunneling und das Löschen von Protokollen auf kompromittierten Geräten umfasst.
Earth Estries (Salt Typhoon) führt die bislang größte dokumentierte Kampagne gegen Edge-Geräte durch und hat seit 2019 bei über 600 Organisationen in 80 Ländern Einbrüche verübt. Die Gruppe konzentriert sich stark auf Telekommunikationsanbieter
Volt Typhoon richtet sich eher auf die Vorbereitung von Infrastrukturstörungen als auf traditionelle Spionage aus. Die Gruppe zielt auf kritische Infrastruktur in den USA ab, indem sie SOHO-Router als Proxy-Infrastruktur kompromittiert und dabei ausschließlich „Living-off-the-Land“-Techniken (LOTL) einsetzt. Die US-Geheimdienste bewerten dies als Vorbereitung auf Störmaßnahmen im Falle eines Konflikts um Taiwan.

Gemeinsam lassen diese Gruppen eine koordinierte Vorgehensweise erkennen: UNC5221 sorgt für schnelle Ausnutzungsmöglichkeiten, Earth Estries betreibt groß angelegte Informationsbeschaffung und Volt Typhoon bereitet sich auf mögliche Störungen vor.

Erkennung und Abwehr

Unternehmen sollten sich auf vier Bereiche konzentrieren:

Strategische Kontrollen:

Transparenz Führen Sie ein ständig aktualisiertes Verzeichnis aller Edge-Geräte, Firmware-Versionen und des Patch-Status. Tools zum Management der Angriffsfläche können die Erkennung und die risikobasierte Priorisierung automatisieren.
Netzwerksegmentierung Platzieren Sie Edge-Geräte nach Möglichkeit in isolierten DMZs mit strengen Firewall-Regeln. Dies schränkt die laterale Bewegung ein und verhindert, dass Angreifer Vertrauensbeziehungen ausnutzen können, falls ein Gerät kompromittiert wird.
Externe Überwachung Automatisieren Sie die Überwachung mit Produkten für das External Attack Surface Management.
Proaktive Überwachung von Edge-Geräten Richten Sie eine Ereignis- und Netzwerkverkehrsüberwachung für Edge-Geräte ein. Untersuchen Sie jede verdächtige Aktivität.

Die Patch-Lücke schließen

Das durchschnittliche 30-Tage-Fenster für die Behebung von Sicherheitslücken ist der zentrale Punkt, den Sicherheitsverantwortliche angehen müssen.

Virtuelles Patching: Wenn ein sofortiges Patching nicht möglich ist, setzen Sie virtuelles Patching über IPS ein, um anfällige Geräte zu schützen. Dies verschafft Zeit, während Wartungsfenster geplant werden.
Schnelles Patching-Verfahren: Einrichtung von Notfallmaßnahmen, die auf eine Behebung kritischer CVEs bei Edge-Geräten innerhalb von 48 Stunden abzielen.

Erkennungsstrategien

Zertifikatsüberwachung: Überwachen Sie Edge-Geräte auf unerwartete Zertifikate.
Überwachung der Dateiintegrität: Überprüfen Sie die Systemverzeichnisse auf unerwartete, gemeinsam genutzte Bibliotheken und kürzlich geänderte Dateien.
Protokollanalyse: Achten Sie auf erfolgreiche Authentifizierungen ohne entsprechende VPN-Verbindungen, umfangreiche Datenübertragungen außerhalb der Geschäftszeiten sowie interne RDP-/SMB-Verbindungen, die von Adressen von Edge-Geräten ausgehen.
Speicherforensik: Erfassen Sie den Speicher von Webserver-Prozessen auf Edge-Geräten, um In-Memory-Implantate zu erkennen, die keine Spuren auf der Festplatte hinterlassen.

Abwehrstrategien

Bei Verdacht auf eine Kompromittierung führen Sie Folgendes durch:

Forensische Erfassung: Sammeln und sichern Sie alle verfügbaren Artefakte vom verdächtigen Gerät, bevor Sie Abhilfemaßnahmen ergreifen.
Werkseinstellungen zurücksetzen: Führen Sie, sofern unterstützt, ein vollständiges Reset auf die Werkseinstellungen durch und setzen Sie das Gerät anhand eines bekanntermaßen fehlerfreien Images neu auf.
Anmeldedatenrotation: Setzen Sie alle AD-Anmeldedaten, Dienstkonten und lokalen Benutzerkennwörter zurück. Überprüfen Sie die Systemkonfiguration auf verdächtige Änderungen.
Zertifikatsüberprüfung: Überprüfen Sie alle TLS-Zertifikate und markieren Sie alle unbekannten Einträge

Fazit

Unternehmen müssen aufhören, diese Ressourcen als Netzwerkgeräte außerhalb des Sicherheitsprogramms zu behandeln. Sie erfordern eine dedizierte Überwachung, beschleunigte Patches und architektonische Kontrollen, die ihrem strategischen Wert und ihrem Risiko angemessen sind.

Weitere technische Details finden Sie in unserem Anhang.

Edge im Visier staatlich geförderter Akteure

Authors

Trend Vision One™ – Proaktive Sicherheit beginnt hier.

Ressourcen

Support

Über Trend

Hauptniederlassung DACH