Unsichtbare KI-Cyberangriffe: LOTL & Living off the LLM

Von |28.05.2026|
IT-Security
Titelbild: LOTL zu LOLLM

Mit „Living off the land“-Angriffen (LOTL) bewegen sich Cyberkriminelle über lange Zeit unbemerkt in Zielsystemen – und zwar indem sie legitime Tools wie die PowerShell einsetzen. KI läutet die nächste Evolutionsstufe des Angriffs ein: „Living off the LLM“ (LOLLM).

Nein, es geht hier nicht um den „Herrn der Ringe“ (engl. „Lord of the Rings“, kurz: LOTR). Aber erinnerst du dich an die Geschichte rund um Frodo und seine Gefährten, die lange unbemerkt durch Mittelerde reisen, um den Ring zu vernichten? Nach ähnlichem Prinzip funktioniert ein bestimmter Typ von Cyberangriff mit fast identischer Abkürzung: LOTL – sprich: „Living off the Land“.

Mit LOTL-Angriffen nisten sich Cyberkriminelle unauffällig in Systemen ein. Sie nutzen dabei vorhandene Werkzeuge, statt fremde Schadsoftware einzuschleusen. Wie Frodo, der sich tarnend durch feindliches Gebiet bewegt, bleiben Angreifer lange Zeit unsichtbar und erreichen ihre Ziele, bevor jemand merkt, dass sie überhaupt da sind.

Was sind LOTL-Angriffe?

LOTL-Angriffe nutzen legitime Systemtools wie PowerShell, Windows Management Instrumentation (WMI) oder den Task Scheduler. Diese Werkzeuge sind eigentlich für Administratoren gedacht, werden aber von Angreifern missbraucht, um Daten zu stehlen, Systeme zu manipulieren oder sich dauerhaft einzunisten. Der Angriffstyp wird manchmal auch als „dateilose Malware“ bezeichnet.

Der Vorteil für die Angreifer: Da keine fremden Dateien eingeschleust werden, schlagen klassische Sicherheitstools wie Virenscanner oft nicht an. Die Attacke wirkt wie eine normale Systemaktivität und bleibt dadurch lange Zeit unentdeckt – manchmal sogar über Monate oder Jahre.

Wie KI die nächste Stufe von LOTL-Angriffen einläutet

Bei der nächsten, KI-getriebenen Generation von LOTL-Angriffen setzen die Angreifer große Sprachmodelle ein (Large Language Models, kurz: LLM), um die grundlegende Strategie zu verfeinern. Angriffe dieser Art werden auch als LOLLM-Attacken bezeichnet – „Living off the LLM“. Sie sind durch folgende Eigenschaften noch ausgefeilter als die ursprüngliche Form:

Höhere Präzision

KI kann Muster im Verhalten von Nutzern und Systemen analysieren und Angriffe so anpassen, dass sie perfekt ins normale Nutzungsverhalten passen. Verdächtige Aktivitäten lassen sich dadurch besser verschleiern und wirken wie Routine.

Automatisierung

KI-gestützte Tools durchsuchen Netzwerke blitzschnell nach Schwachstellen und können automatisch passende Angriffsskripte generieren. Was früher manuell und zeitaufwendig war, geschieht nun in Sekunden.

Skalierbarkeit

Angriffe können parallel auf viele Systeme ausgeweitet werden. KI koordiniert diese Attacken, ohne dass menschliche Angreifer jeden Schritt manuell erledigen oder überprüfen müssen.

Adaptivität

KI passt Angriffe dynamisch an. Wenn ein Verteidigungsmechanismus reagiert, ändert die KI sofort ihre Strategie und bleibt im Spiel.

Warum sind diese Angriffe so gefährlich?

Während die erste Generation von LOTL-Attacken für die Angreifer mit höheren Aufwänden verbunden waren, sinkt mit KI die Einstiegshürde für Kriminelle. Auch kleinere Gruppen sind in der Lage, komplexe Attacken durchzuführen und zu skalieren. Dadurch rücken vermehrt auch Ziele wie mittelständische Unternehmen ins Visier der Kriminellen. Gleichzeitig sind die Angriffe schwerer zu erkennen, weil sie sich perfekt tarnen. Angreifer sind mit KI in der Lage, legitime Systemtools schneller und präziser zu missbrauchen als je zuvor.

Auch der initiale Einstieg ins System wird einfacher. Für den Erstzugang in angegriffene Systeme nutzen die Cyberkriminellen ganz ähnliche Methoden wie bei klassischer Malware. Dazu gehören beispielsweise Phishing E-Mails und die Ausnutzung bekannter Schwachstellen in Betriebssystemen und Anwendungen. Auch hier profitieren die Angreifer von KI, mit der sich unter anderem täuschend echte Phishing-Mails generieren lassen.

Schutzmaßnahmen: Was kann man tun?

Trotz der steigenden Bedrohung gibt es konkrete Schritte, um das Risiko von LOTL- und LOLLM-Angriffen zu verringern:

  • Systeme aktuell halten: Regelmäßige Updates schließen bekannte Sicherheitslücken, die Angreifer sonst ausnutzen.

  • Verhaltensanalyse einsetzen: Klassische Virenscanner und signaturbasierte Methoden reichen nicht mehr. Es gibt aber bereits erste moderne Sicherheitslösungen, die das Verhalten von Programmen überwachen und ungewöhnliche Muster erkennen.

  • Mitarbeitende sensibilisieren: Viele Angriffe starten mit Phishing. Schulungen helfen, verdächtige Mails oder Links zu erkennen und damit den initialen Eintritt der Angreifer abzuwehren.

  • Minimalprinzip bei Rechten: Nutzer sollten nur die Rechte haben, die sie wirklich brauchen. So wird verhindert, dass Angreifer über ein kompromittiertes Konto gleich das ganze System kontrollieren können.

  • Monitoring und Logging: Eine lückenlose Protokollierung hilft dabei, verdächtige Aktivitäten zu erkennen und schneller zu reagieren.

Fazit

LOTL-Angriffe sind vergleichbar mit der Reise von Frodo: unsichtbar, ausdauernd und mit einem klaren Ziel. Mit KI und der Evolution zu LOLLM entsteht jedoch eine neue Bedrohungsklasse, die noch präziser und schneller agiert und deutlich schwerer zu stoppen ist.

Für Privatanwender und Unternehmen bedeutet das: Wachsam bleiben und moderne Schutzmaßnahmen einsetzen. Die gute Nachricht ist schließlich, dass sich auch die Verteidigungsmethoden weiterentwickeln. Lösungen, die Anomalien im eigenen System erkennen, kommen auch Angriffen mit dateiloser Malware auf die Spur.

Passend zum Thema: Mit unserem Cyber Security Operations Center schützen wir deine IT-Infrastruktur rund um die Uhr.

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

hbspt.forms.create({ region: "na1", portalId: "3281875", formId: "27bdf66f-2d95-498f-8236-decec437e71b" });
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.