Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Hoch

    Fileless Malware (Dateilose Schadsoftware)

    Fileless Malware (dateilose Schadsoftware) bezeichnet Angriffsmethoden, bei denen kein schadhafter Code dauerhaft auf der Festplatte gespeichert wird. Stattdessen wird der Schadcode direkt im Arbeitsspeicher (RAM) oder in legitimen System-Tools wie PowerShell, WMI oder dem Task-Scheduler ausgeführt. Da keine Dateien auf dem Datenträger gespeichert werden, werden klassische signaturbasierte Antivirenprogramme umgangen. Fileless Malware gilt als eine der schwierigsten Bedrohungen für die Erkennung und Reaktion.

    1.400 %Anstieg von dateilosen Malware-Angriffen seit 2020 (WatchGuard Threat Lab 2024)

    Wie funktioniert Fileless Malware (Dateilose Schadsoftware)?

    Fileless Malware beginnt typischerweise mit einem legitimen Einstiegsvektor: Eine Phishing-E-Mail mit einem Office-Dokument enthält eingebettete Makros oder exploitiert eine Schwachstelle, die direkt im Speicher Code ausführt. Alternativ werden anfällige Browser-Plugins, Java-Anwendungen oder Webseiten mit Drive-by-Exploits genutzt, um Schadcode in den Speicher zu laden ohne eine Datei zu schreiben.

    Ein klassisches Fileless-Angriffsmuster ist der PowerShell-basierte Angriff: Ein kompromittiertes Office-Dokument öffnet eine PowerShell-Sitzung und lädt Schadcode direkt aus dem Internet in den Speicher. PowerShell ist ein legitimes Windows-Tool, das von Virenscannern standardmäßig als vertrauenswürdig behandelt wird. Der gesamte Angriff findet im Speicher statt – nach einem Neustart ist die Malware verschwunden, hat aber ihren Auftrag (Datendiebstahl, Backdoor-Installation) bereits ausgeführt.

    LOLBins (Living Off the Land Binaries) sind legitime Windows-Systemwerkzeuge, die von Fileless Malware missbraucht werden: certutil.exe für Downloads, mshta.exe für Script-Ausführung, regsvr32.exe für Code-Injektion. Diese Tools sind auf allen Windows-Systemen vorhanden, werden von Sicherheitssoftware kaum blockiert und hinterlassen minimale Spuren.

    WMI (Windows Management Instrumentation) wird häufig für dateilose Persistenz genutzt: Angreifer registrieren schadhafte WMI-Event-Subscriptions, die bei bestimmten Ereignissen (z. B. Systemstart, Login) automatisch PowerShell-Befehle ausführen. Diese Persistenz ist in der Registry gespeichert, nicht als Datei, und für viele Sicherheitstools unsichtbar.

    Fileless Malware ist besonders gefährlich für Unternehmen, weil sie forensische Untersuchungen massiv erschwert: Nach einem Neustart sind kaum Beweise vorhanden. Gleichzeitig kann der Angriff tagelang oder wochenlang aktiv sein und sensible Daten ausleiten, ohne auch nur eine Datei zu schreiben.

    Fileless Malware (Dateilose Schadsoftware) in Zahlen

    1.400 %
    Anstieg von dateilosen Malware-Angriffen seit 2020 (WatchGuard Threat Lab 2024)
    10x
    wahrscheinlicher führt Fileless Malware zu einem erfolgreichen Angriff als dateibasierte Schadsoftware (Ponemon Institute)
    77 %
    aller erfolgreichen Angriffe nutzten 2023 dateilose oder LOLBin-Techniken (CrowdStrike Global Threat Report 2024)
    67 %
    der deutschen Unternehmen geben an, ihre Sicherheitslösungen erkennen Fileless Malware nicht zuverlässig (BSI 2024)
    Echte Schadensfälle

    So trifft Fileless Malware (Dateilose Schadsoftware) Unternehmen

    Großhandel

    Fileless Angriff auf Buchhaltungssystem eines Handelsunternehmens

    320.000 €
    7 Tage

    Ein mittelständisches Handelsunternehmen in Hessen bemerkte ungewöhnliche Kontoabbuchungen. Die forensische Untersuchung ergab, dass seit sechs Wochen ein dateiloser Banking-Angriff aktiv war. Ein kompromittiertes Excel-Makro hatte beim Öffnen eine PowerShell-Sitzung gestartet, die einen Keylogger im Speicher installierte. Alle Online-Banking-Transaktionen wurden abgefangen und manipuliert. Da keine Dateien auf dem System gespeichert wurden, hatte das klassische Antivirenprogramm nichts bemerkt.

    Ingenieurwesen / Rüstung

    WMI-Persistenz ermöglicht monatelange APT-Aktivität

    1,4 Mio. €
    Keine direkte Unterbrechung

    Ein Zulieferer der Rüstungsindustrie in Bayern wurde über Monate durch eine APT-Gruppe (Advanced Persistent Threat) ausgespäht. Die Angreifer nutzten WMI-Event-Subscriptions für dateilose Persistenz und exfiltrierten schritweise Konstruktionspläne und Ausschreibungsunterlagen. Entdeckt wurde der Angriff erst durch anomalen Netzwerkverkehr. Der Schaden durch gestohlenes geistiges Eigentum belief sich auf über eine Million Euro.

    Öffentliche Verwaltung

    LOLBin-Angriff auf kommunale Einrichtung

    95.000 €
    4 Tage

    Eine kommunale Behörde in Sachsen wurde durch einen LOLBin-Angriff kompromittiert. Angreifer nutzten legitime Windows-Tools (mshta.exe, certutil.exe), um einen Backdoor zu installieren. Da diese Tools üblicherweise nicht geblockt werden, verlief der Angriff monatelang unbemerkt. Erst bei einer Routine-Sicherheitsüberprüfung wurde die anomale Nutzung der System-Tools entdeckt.

    Schutzmaßnahmen gegen Fileless Malware (Dateilose Schadsoftware)

    Technische Maßnahmen

    • Endpoint Detection and Response (EDR) mit spezieller Fileless-Malware-Erkennung
    • PowerShell Constrained Language Mode und Script Block Logging aktivieren
    • Windows Defender Credential Guard und Exploit Protection aktivieren
    • Makros in Office-Dokumenten deaktivieren oder nur für signierte Dokumente erlauben
    • Application Control (AppLocker, WDAC) zur Einschränkung von LOLBins
    • Netzwerk-Traffic-Analyse auf anomale Verbindungen von System-Prozessen
    • Memory-basierte Intrusion Detection einsetzen
    • UEBA (User and Entity Behavior Analytics) zur Erkennung anomalen Systemverhaltens

    Organisatorische Maßnahmen

    • IT-Sicherheitsteam in Fileless-Malware-Forensik schulen
    • Regelmäßige Threat-Hunting-Aktivitäten für Pro-aktive Angriffserkennung
    • Incident-Response-Plan für dateilose Angriffe mit Memory-Forensik-Verfahren
    • Mitarbeiter über risikoreiche Office-Makros und unerwartete Dialogboxen aufklären
    • Regelmäßige Überprüfung von WMI-Subscriptions und ungewöhnlichen Autostart-Einträgen
    Versicherungsschutz

    Was die Cyberversicherung bei Fileless Malware (Dateilose Schadsoftware) abdeckt

    Abgedeckte Leistungen

    • IT-Forensik speziell für Memory-Forensik und Fileless-Angriffe
    • Betriebsunterbrechungsschäden durch Fileless-Malware-Aktivitäten
    • Kosten für Datendiebstahl-Schäden (IP-Schutz, Kundendaten)
    • Benachrichtigungskosten nach DSGVO bei Datenlecks
    • Haftpflichtansprüche bei Kundendatendiebstahl
    • Kosten für Security-Upgrades nach dem Angriff
    • Krisenmanagement und Rechtsberatung
    • Wiederherstellungskosten für kompromittierte Systeme

    Typische Ausschlüsse

    • Schäden durch bekannte, nicht behobene Sicherheitslücken in eingesetzter Software
    • Verluste durch bewusst nicht aktivierte Sicherheitsfeatures (z. B. PowerShell-Logging)
    • Schäden durch fehlendes EDR trotz Verfügbarkeit adäquater Lösungen
    • Reputationsschäden ohne direkten finanziellen Verlust
    • Schäden durch Insiderbedrohungen mit Fileless-Techniken

    Schützen Sie Ihr Unternehmen vor Fileless Malware (Dateilose Schadsoftware)

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Fileless Malware (Dateilose Schadsoftware)

    Klassische Antiviren-Software prüft Dateien auf bekannte Schadcode-Signaturen. Da Fileless Malware keine Dateien schreibt, gibt es nichts zu scannen. Nur EDR-Lösungen (Endpoint Detection and Response) mit verhaltensbasierter Erkennung und Memory-Scanning können Fileless-Angriffe zuverlässig erkennen.
    LOLBins (Living Off the Land Binaries) sind legitime Windows-Systemwerkzeuge wie PowerShell, certutil.exe oder mshta.exe, die von Angreifern für schadhafte Zwecke missbraucht werden. Da diese Tools auf jedem Windows-System vorhanden und normalerweise vertrauenswürdig sind, werden sie von Sicherheitssoftware kaum blockiert – ein idealer Tarnmantel für Angreifer.
    Reine Memory-only-Malware verschwindet nach einem Neustart aus dem RAM. Allerdings haben die meisten Fileless-Angriffe Persistenz-Mechanismen in der Registry, in WMI-Subscriptions oder im Aufgabenplaner. Forensische Tools können diese Spuren nachweisen, sofern ein Memory-Dump vor dem Neustart gemacht wurde.
    Ja, da Fileless Malware schwieriger zu erkennen und zu forensisch aufzuarbeiten ist. KMU ohne dediziertes SOC oder EDR-Lösung sind besonders anfällig. Managed Detection and Response (MDR)-Dienste bieten kleinen Unternehmen professionelle Erkennung und Reaktion zu überschaubaren Kosten.
    Ja, Fileless Malware ist eine Form von Schadsoftware und fällt unter den Versicherungsschutz für Cyberangriffe. Besonders wichtig ist eine Cyberversicherung mit Memory-Forensik-Expertise im Incident-Response-Team, da die Aufklärung solcher Angriffe spezialisiertes Know-how erfordert.

    Verwandte Bedrohungen

    Malware-AngriffeTrojaner-AngriffeRansomware-AngriffeWatering-Hole-Angriffe

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.