Benjamin Lim Leiter des Unternehmensvertriebs

Am Morgen des 1. Mai 2026 erhielten die Mitarbeiter, die im Foxconn-Werk in Mount Pleasant, Wisconsin, eintrafen, Arbeitszeitnachweise in Papierform.

Nicht wegen eines Stromausfalls. Auch keine Brandschutzübung.

Das gesamte Netzwerk war ausgefallen. Um 7:00 Uhr morgens funktionierte das WLAN nicht mehr. Um 11:00 Uhr morgens war die zentrale Werksinfrastruktur lahmgelegt. Die gesamte Produktionshalle, in der KI-Server für Apple, Google, NVIDIA, Intel und Dell hergestellt werden, war auf Stift und Papier angewiesen, noch bevor die meisten Mitarbeiter ihren Morgenkaffee ausgetrunken hatten.

Bis zum 11. Mai hatte die Ransomware-Gruppe „Nitrogen“ Foxconn auf ihrer Dark-Web-Leak-Seite veröffentlicht und behauptet, sie habe acht Terabyte an Daten erbeutet. Über 11 Millionen Dateien. Montagezeichnungen. Topologiekarten von Rechenzentren für Google und Intel. Hardware-Schaltpläne für die KI-Infrastruktur der nächsten Generation. Berichten zufolge war auch ein zweiter Standort in Houston, Texas, betroffen.

Dies war kein Schnellschuss. Es handelte sich um einen gezielten, geduldigen und identitätsorientierten Angriff – und er folgte einem Schema, das Identitätsverteidiger in- und auswendig kennen müssen.


Warum zielt Ransomware in erster Linie auf die Identität ab?

Im Ransomware-Risikobericht von Semperis gaben 78 % der Befragten an , dass sie in den vergangenen 12 Monaten Ziel eines Ransomware-Angriffs waren. Der häufigste Angriffspunkt? Das Identitätsmanagementsystem.


Bei 83 % der Ransomware-Angriffe auf globale Unternehmen der Fertigungsindustrie wurde die Identitätsinfrastruktur kompromittiert.

Quelle: Semperis, Ransomware-Risikobericht 2025


Für erfahrene Cybersicherheitsexperten und Incident-Responder sind solche Statistiken nicht überraschend. Die Identitätsinfrastruktur bildet die Grundlage für alle anderen Anwendungen und Systeme im Unternehmen. Wenn Angreifer in Active Directory (AD), Entra ID oder Okta eindringen, können sie eine dauerhafte Präsenz aufbauen, sich lateral ausbreiten und ihre Berechtigungen erweitern, um eine größere Reichweite in der gesamten Umgebung zu erlangen.

Der „Nitrogen“-Angriff folgte einem gut dokumentierten Muster, bei dem kompromittierte Anmeldedaten den Weg zu erweiterten Berechtigungen, Domänenzugriff und den Zugangsdaten zu Backup-Systemen ebnen.


Wie funktioniert die „Identity-First“-Kill-Chain?

Bei „Identity-First“-Ransomware-Angriffen ist der Einstiegspunkt fast immer derselbe: kompromittierte Anmeldedaten oder ein ungeschützter Endpunkt. Manchmal handelt es sich um eine Phishing-E-Mail, die sich speziell an IT-Administratoren richtet – Personen mit erweiterten Berechtigungen, Zugriff auf die Domäne und den Schlüssel zu Backup-Systemen. Sie haben es nicht auf den Laptop eines normalen Benutzers abgesehen. Sie sind hinter Konten her, mit denen sich etwas bewirken lässt.

Dieses Muster deckt sich mit den Beobachtungen der Sicherheitsforscher von Semperis, die diese im Rahmen Dutzender Untersuchungen zu Ransomware-Angriffen gemacht haben: Active Directory ist bei diesen Angriffen nicht nur ein Ziel. Es ist die Angriffsfläche.

  1. Erster Zugriff durch Missbrauch von Anmeldedaten. Kompromittierte Anmeldedaten – die durch Phishing erlangt oder von „Initial Access Brokern“ erworben wurden – bieten oft einen ersten Einstiegspunkt. Ein Exploit ist nicht erforderlich. Es genügen ein gültiger Benutzername und ein gültiges Passwort.
  2. Erweiterung von Berechtigungen durch Fehlkonfigurationen im Active Directory. Sobald sie sich Zugang verschafft haben, suchen Angreifer nach den „niedrig hängenden Früchten“, die in fast jedem Unternehmens-AD zu finden sind: Kerberoast-anfällige Dienstkonten mit übermäßigen Berechtigungen, uneingeschränkte Delegierung, veraltete Administratorkonten sowie Fehlkonfigurationen der Zugriffskontrolllisten (ACLs), die es einem Standardbenutzer ermöglichen, das Passwort eines privilegierten Kontos zurückzusetzen.

    Für Hersteller wie Foxconn ist ein expandierendes Smart-Manufacturing-Netzwerk – IoT-integriert, mit der Cloud verbunden und zügig ausgebaut – genau die Art von Umgebung, in der sich solche Fehlkonfigurationen unbemerkt ansammeln.
  3. Seitliche Bewegung und Domänenkontrolle. Mit einem Einstiegspunkt und einem Eskalationspfad bewegen sich Angreifer auf die Domäne zu. Sie suchen nach Zielen mit hohen Berechtigungen, wie beispielsweise Domänenadministratoren, Unternehmensadministratoren und Konten mit DCSync-Rechten. Sobald sie diese erlangt haben, haben sie die Kontrolle über die gesamte Umgebung. Jedes System, das dieser AD-Instanz vertraut, ist nun kompromittiert.
  4. Identifizierung und Vorbereitung von Sicherungskopien. Bevor der Angreifer sichtbare Störungen auslöst, lokalisiert und neutralisiert er die Backup-Infrastruktur. Bei dem Angriff auf Foxconn im Jahr 2020 löschte DoppelPaymer 30 TB an Sicherungsdaten. Angreifer wie Nitrogen verfolgen möglicherweise einen gezielteren Ansatz, indem sie Daten unbemerkt bereitstellen und diese als Druckmittel in ihren Verhandlungen einsetzen. Die Absicht ist jedoch dieselbe: die Wiederherstellung so mühsam wie möglich zu gestalten.
  5. Zunächst Datenexfiltration, dann Erpressung. Acht Terabyte an Daten lassen sich nicht über Nacht übertragen. Die meisten Ransomware-Angriffe erfordern wochenlange, geduldige und schleichende Datenexfiltration – genau die Art von Aktivität, die im normalen Netzwerkgeschehen untergeht, wenn Sie das Verhalten der Benutzer nicht genau im Auge behalten.

Sobald sie sich Zugang zum Identitätssystem verschafft haben, handeln Angreifer nicht überstürzt. Sie verbringen Wochen damit, die Umgebung zu kartieren, Domänencontroller zu identifizieren, Backup-Server ausfindig zu machen und im Hintergrund unbemerkt die Datenexfiltration vorzubereiten. Bis jemand bemerkt, dass etwas nicht stimmt, sind die Daten bereits verschwunden. Die Verschlüsselung, wenn sie schließlich erfolgt, ist fast schon eine reine Formalität. Der eigentliche Hebel war die Datenexfiltration.


Welche „Identity-First“-Sicherheitsmaßnahmen können Hersteller bereits jetzt umsetzen?

Wie aus der Semperis-Studie zur Ransomware hervorgeht, sind sich viele Unternehmen der Fertigungsbranche bewusst, dass Identitätssicherheit und Widerstandsfähigkeit die Grundlage für die Cyber- und Geschäftsresilienz bilden, und 90 % der weltweit befragten Unternehmen haben eine Strategie zur Erkennung und Bekämpfung von Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) umgesetzt.

Allerdings:

  • Nur 65 % der Hersteller haben AD-spezifische Wiederherstellungsverfahren in ihren Notfallwiederherstellungsplan aufgenommen
  • Nur 61 % verfügen über dedizierte, AD-spezifische Sicherungssysteme

Beides ist für eine wirksame ITDR unerlässlich. Wie kann Ihr Unternehmen also identitätsbezogene Ransomware-Bedrohungen erfolgreich bekämpfen, um seine operative Widerstandsfähigkeit zu stärken?

Lassen Sie uns gemeinsam betrachten, was Sie tun können, um Ihre Identitätsumgebung zu schützen – vor, während und nach einem Cyberangriff – und wo in komplexen Fertigungsumgebungen wie der von Foxconn möglicherweise konkrete Schwachstellen bestehen.


Fangen Sie jetzt an: Sehen Sie, was der Angreifer sieht – noch bevor er es selbst sieht

Zwei Community-Tools von Semperis bieten Ihnen die Möglichkeit, Ihren Sicherheitsstatus sofort und kostenlos zu ermitteln.

Ein gemeinsamer Bericht der „Five Eyes“-Allianz– darunter das Australian Cyber Security Centre, die US-amerikanische National Security Agency und weitere Einrichtungen – empfiehlt Purple Knight, das kostenlose AD-Sicherheitsbewertungstool von Semperis, als wirksames Präventions- und Erkennungstool, mit dem Sie den Stand Ihrer Identitätssicherheit im Zeitverlauf überwachen können. Und es ist völlig kostenlos.

Purple Knight einen agentenlosen Scan Ihrer Active Directory-, Entra ID- und Okta-Umgebungen Purple Knight und bewertet diese anhand von über 218 Sicherheitsindikatoren in verschiedenen Kategorien:

  • AD-Delegation
  • Kontensicherheit
  • AD-Infrastruktur
  • Entra ID
  • Gruppenrichtlinien-Sicherheit
  • Hybride Sicherheit
  • Kerberos-Sicherheit
  • Okta

In einer typischen Unternehmensumgebung deckt das Tool Fehlkonfigurationen und Schwachstellen auf, die jahrelang unentdeckt geblieben sind. Anschließend bietet es fachkundige Unterstützung, damit Sie die Bedrohungen mit dem höchsten Risiko priorisieren und diese systematisch beheben können.

Ein weiteres kostenloses Tool: Forest Druid, erweitert Ihre Transparenz hinsichtlich der Identitätssicherheit noch weiter, indem es Angriffspfade der Stufe 0 abbildet – also die Wege, die ein Angreifer von einem kompromittierten Standardbenutzerkonto bis hin domain controller des Domänenadministrators oder domain controller einschlagen kann. Dieses kostenlose Tool beantwortet die Frage, die die meisten Unternehmen nicht aus eigener Kraft beantworten können:

„Wenn ein Angreifer hier eindringen sollte, wie viele Schritte sind dann nötig, um unsere Domain zu übernehmen?“

In einer Umgebung, in der das Netzwerk der Fertigungshalle, die Unternehmens-IT und die Infrastruktur für den Aufbau von KI-Servern miteinander vernetzt sind, ist die Anzahl unbeabsichtigter Tier-0-Pfade mit ziemlicher Sicherheit beträchtlich. Forest Druid diese visuell Forest Druid , ordnet sie nach ihrem Risikopotenzial ein und bietet den Sicherheitsverantwortlichen einen Plan zur Behebung der Schwachstellen – noch bevor ein Angreifer diese Pfade selbst entdeckt.


Verbessern Sie die Transparenz des Identitätssystems, um das Zeitfenster für den Verbleib zu schließen

Die Wochen oder Monate, die ein Angreifer in einem Netzwerk verbringt, bevor er Störungen auslöst, bieten den Verteidigern eine Chance. Während dieser Verweildauer können Sie ihn aufspüren – allerdings nur, wenn Sie auf die richtigen Signale achten.

Herkömmliche SIEM-Tools protokollieren Ereignisse . Sie verstehen jedoch nicht, was diese Ereignisse im Kontext Ihrer hybriden Active Directory-Umgebung bedeuten. Ein Angreifer, der einen DCSync-Vorgang durchführt, ein „Golden Ticket“ erstellt, den AdminSDHolder ändert oder unbemerkt einen Benutzer zu einer privilegierten Gruppe hinzufügt, erzeugt zwar Protokolleinträge, doch die meisten SIEM-Systeme werden diese nicht als Warnmeldungen mit hoher Priorität anzeigen, da ihnen die AD-spezifischen Informationen fehlen, um zu erkennen, worum es sich dabei handelt.

Semperis Directory Services Protector DSP) überwacht die Identitätsinfrastruktur kontinuierlich, gleicht Änderungen mit bekannten Angriffsmustern ab und – was entscheidend ist – sorgt in Echtzeit für die automatische Rückgängigmachung unbefugter Änderungen.

Das bedeutet: Wenn ein Angreifer um 2:00 Uhr morgens ein unberechtigtes Konto zur Gruppe „Domain Admins“ hinzufügt, DSP nur eine Warnmeldung aus. Es macht die Änderung rückgängig, bevor das Konto genutzt werden kann.


Seien Sie auf die Fragen vorbereitet, die niemand beantworten möchte

Hier ist eine Frage, die jeder CISO bereits vor einem Vorfall beantworten können sollte – und nicht erst währenddessen:

„Falls unsere Domänencontroller derzeit ausgefallen sind, wie lange dauert es, bis wir Active Directory wieder in einen bekanntermaßen einwandfreien Zustand versetzt haben – und können wir sicher sein, dass das Backup, aus dem wir die Wiederherstellung durchführen, nicht bereits kompromittiert ist?“

Die meisten Unternehmen können diese Frage nicht mit Sicherheit beantworten. Die meisten haben dies noch nicht getestet. Und im Falle eines Ransomware-Angriffs ist die Wiederherstellung aus einem kompromittierten Backup keine Wiederherstellung – sie bedeutet vielmehr, dem Angreifer erneut einen Zugang zu verschaffen.


Seien Sie zuversichtlich, dass Sie den Betrieb wiederherstellen und alles gründlich reinigen können – nicht nur schnell

Die Befragten aus der Fertigungsindustrie, die an der Ransomware-Studie von Semperis teilnahmen, berichteten, dass sie bei erfolgreichen Ransomware-Angriffen nicht nur einmal, sondern im Laufe von Tagen oder Wochen mehrfach betroffen waren:

  • 39 % wurden zweimal angegriffen.
  • 25 % wurden dreimal angegriffen.
  • 8 % wurden viermal oder öfter angegriffen.

Diese wiederholten Angriffe machen deutlich, dass es Ihnen nichts nützt, Backups wiederherzustellen, in denen der Angreifer noch immer lauert. Sie müssen sicherstellen, dass Sie den Systemzustand in einen vertrauenswürdigen, sauberen Zustand wiederherstellen können.

Semperis Active Directory Forest Recovery ADFR) automatisiert den Wiederherstellungsprozess der AD-Forest und eliminiert damit die manuellen, fehleranfälligen Schritte aus dem Microsoft-Wiederherstellungsleitfaden, die Tage in Anspruch nehmen können und unter Zeitdruck zu menschlichen Fehlern führen können. Noch wichtiger ist, dass ADFR in einen malwarefreien Zustand wiederher. Es stellt nicht lediglich das letzte Backup wieder her, sondern stellt sicher, dass die wiederhergestellte Umgebung sauber ist.

Das Netzwerk von Foxconn fiel am 1. Mai aus. Am 11. Mai – zehn Tage später – sprach das Unternehmen noch immer von einer „schrittweisen Wiederherstellung“ der Produktion. Ein solcher Zeitrahmen ist für Unternehmen, die ihre Active Directory-Umgebung manuell wiederherstellen, nicht ungewöhnlich. Mit ADFR verkürzt sich dieses Wiederherstellungsfenster von Tagen auf Stunden.


Testen Sie Ihre Wiederherstellungsmöglichkeiten, bevor Sie sie benötigen

Selbst wenn Sie über Backups und einen Wiederherstellungsplan verfügen – woher wissen Sie, dass diese im Ernstfall auch funktionieren werden?

Laut Semperis’ Studie „State of Enterprise Crisis Readiness“ heißt es:

  • 96 % der Unternehmen weltweit geben an, über einen Plan zur Bewältigung von Cyberkrisen zu verfügen
  • Allerdings waren 71 % dennoch von Cybervorfällen betroffen, die den Geschäftsbetrieb lahmlegten

Das Problem besteht nicht darin, dass es diesen Organisationen an Engagement oder Talent mangelt. Vielmehr fehlt ihnen eine Möglichkeit, sicherzustellen, dass ihre Maßnahmen wirksam sind.

Semperis Ready1 ist eine Plattform für das Krisenmanagement in Unternehmen, die vor, während und nach einem Cybervorfall als Ihre Leitstelle fungiert. Hier können Ihre Teams Ihre Reaktionspläne für Cyberkrisen erstellen, Ihre Wiederherstellungsbereitschaft testen, bevor sie benötigt wird, die Integrität Ihrer Backups überprüfen, Lücken in Ihren Runbooks identifizieren – und sicherstellen, dass Sie im Ernstfall nicht um 2:00 Uhr morgens unter Druck herausfinden müssen, wie die Wiederherstellung funktioniert, während der Betrieb ausgefallen ist.


Der Gesamtüberblick: Wie kann die Fertigungsindustrie ihre Identitätsresilienz stärken?

Der Datenleck bei Foxconn ist nicht nur wegen seines Ausmaßes von Bedeutung, sondern auch wegen der Art der gestohlenen Daten.

Topologiekarten von Rechenzentren für die Infrastruktur von Google und Intel
Montageanleitungen für KI-Hardware
Geistiges Eigentum, dessen Entwicklung Jahre gedauert und Hunderte Millionen Dollar gekostet hat

Alle verließen das Gebäude im Laufe mehrerer Wochen, in denen die Daten unbemerkt abgezogen wurden, während niemand die Domain im Auge behielt.

Die Fertigungsbranche betrachtet Active Directory nach wie vor eher als IT-Problem denn als betriebliches Risiko. In einer Industrie-4.0-Umgebung – in der der domain controller Vertrauensanker für alle Bereiche domain controller , von der Fertigungsebene bis hin zur Cloud – ist diese Sichtweise gefährlich veraltet.

Angreifer sind sich dessen bewusst: Die Identitätsschicht ist die primäre Angriffsfläche.

Die Frage, die sich jeder CISO in der Fertigungsindustrie, im Bereich kritischer Infrastrukturen und in der Technologie-Lieferkette stellen muss, lautet nicht nur, ob Ihre Betriebssysteme ausreichend abgesichert sind. Es geht vielmehr darum, ob Ihre Identitätsschutzmaßnahmen einen Angreifer aufhalten können, sobald er eingedrungen ist – oder ob sie ihm den uneingeschränkten Zugriff ermöglichen.


Weitere Lektüre