Watering-Hole-Angriffe: Funktionsweise, Risiken und Schutzmaßnahmen

13. August, 2025

Watering-Hole-Angriffe gehören zu den raffiniertesten Methoden der Cyberkriminalität. Sie zielen darauf ab, das Vertrauen der Opfer in gewohnte digitale Umgebungen auszunutzen. Statt den Angriff direkt auf ein Unternehmen oder eine Person zu richten, kompromittieren Cyberkriminelle gezielt vertrauenswürdige, häufig besuchte Websites oder Server. Sobald ein Opfer diese kompromittierte Website aufruft, wird Schadsoftware unbemerkt auf dessen System eingeschleust.

Der Begriff stammt aus der Tierwelt. An einem Watering Hole (Wasserloch) versammeln sich Tiere zum Trinken – und Raubtiere nutzen diesen Ort, um ihre Beute zu machen. Übertragen bedeutet das, dass die „Jäger“ geduldig an einem digitalen Treffpunkt warten, bis die gewünschte Zielgruppe vorbeikommt.

So läuft ein Watering-Hole-Angriff ab

Ein Watering-Hole-Angriff ist keine schnelle Aktion mit unmittelbarem Ergebnis, sondern oft eine sorgfältig geplante Operation, die sich typischerweise in mehreren Phasen abspielt.

  • Aufklärung (Reconnaissance): Die Angreifer:innen identifizieren eine Zielgruppe – beispielsweise die Mitarbeitenden eines bestimmten Unternehmens oder einer Behörde – und analysieren deren Verhalten und Interessen. Welche Fachforen, Nachrichtenportale, Blogs oder Lieferanten-Websites besuchen diese Personen regelmäßig? Social Media, Branchenverzeichnisse und andere öffentlich einsehbare Informationen können wertvolle Quellen sein.
  • Identifizierung und Kompromittierung: Sobald eine Liste potenzieller „Wasserlöcher“ erstellt ist, analysieren die Angreifer:innen diese Websites auf Schwachstellen. Oft geraten dabei kleinere, spezialisierte Seiten mit weniger robusten Sicherheitsvorkehrungen ins Visier. Über Zero-Day-Exploits oder bekannte, noch nicht gepatchte Sicherheitslücken (z.B. im CMS, in der Forensoftware oder in Web-Frameworks) wird in Folge versucht, Schadcode auf der legitimen Website zu platzieren.
  • Infektion: Der Schadcode, oft unauffällig in z.B. JavaScript oder HTML versteckt, wird nun jedem User der kompromittierten Website ausgeliefert und versucht, Schwachstellen im Browser oder in Browser-Plugins auszunutzen. In vielen Fällen wird der Angriff so konfiguriert, dass er nur bei Besuchern mit einer IP-Adresse aus dem Zielnetzwerk aktiv wird, um eine Entdeckung zu erschweren.
  • Kontrolle und laterale Bewegung: Bei erfolgreichem Angriff wird eine Malware (z.B. ein Remote Access Trojaner – RAT) nachgeladen und auf dem System des Users installiert. Von diesem System ausgehend versuchen die Angreifer:innen, sich im Unternehmensnetzwerk auszubreiten, höhere Berechtigungen zu erlangen und letztendlich ihre eigentlichen Ziele – wie Datendiebstahl, Spionage oder Sabotage – zu erreichen.

Reale Watering-Hole-Beispiele und ihre unterschätzte Gefahr

Watering-Hole Angriffe sind keine rein theoretische Bedrohung. Sie wurden bereits in hochkarätigen Angriffen, z.B. von der Hackergruppe Lazarus, genutzt. In der MITRE ATT&CK® Matrix wird diese Kategorie als „Drive-by Compromise” bezeichnet und mehreren aktiven, bekannten Cybercrime-Gruppen zugeordnet.

Besonders gefährlich: Watering-Hole- Angriffe erfordern keine weitere Interaktion der Anwendenden, da meist aktuelle Exploits im Browser, Plugins oder z.B. PDF-Anzeigeprogrammen ausgenutzt werden. So entstehen auch kombinierte Szenarien, etwa manipulierte WLAN-Hotspot-Seiten in Hotels oder an öffentlichen Plätzen.
Über diese präparierten Webseiten gelangt die Schadsoftware unbemerkt auf das Endgerät – selbst bei technisch versierten Nutzer:innen. Denn der Angriff geht von einer vermeintlich vertrauenswürdigen Quelle aus. Während viele User gelernt haben, verdächtige E-Mail-Anhänge oder unbekannte Links zu meiden, sind sie kaum misstrauisch, wenn sie eine seit Jahren genutzte Branchen-Newsseite besuchen oder sich in einen bekannten öffentlichen WLAN-Hotspot einloggen. Genau diese fehlende Wachsamkeit macht Watering-Hole-Angriffe so gefährlich.

Schutzstrategien gegen Watering-Hole-Angriffe

Hundertprozentige Sicherheit gibt es nicht. Dennoch lässt sich das Risiko durch eine Kombination aus technischen und organisatorischen Maßnahmen deutlich reduzieren.

  • Patch-Management: Watering-Hole-Angriffe nutzen häufig sowohl neue als auch bekannte Schwachstellen aus. Ein konsequentes und zeitnahes Patch-Management für Betriebssysteme, Browser, Anwendungen und Plugins auf allen Endgeräten ist eine der wichtigsten Verteidigungslinien.
  • Netzwerk-Segmentierung: Trennen Sie kritische Systeme strikt vom restlichen Netzwerk. Selbst bei einer Kompromittierung einzelner Endgeräte erschwert eine saubere Segmentierung die laterale Ausbreitung im Netzwerk erheblich.
  • Endpoint Protection (EDR/XDR): Moderne Endpoint-Detection-and-Response-Lösungen erkennen verdächtige Aktivitäten – auch wenn die Malware-Erkennung nicht anschlägt. Verhaltensbasierte Analysen spielen dabei eine Schlüsselrolle.
  • Rechtemanagement (Principle of Least Privilege): Gewähren Sie Benutzer:innen nur die Berechtigungen, die sie für ihre tägliche Arbeit unbedingt benötigen. So lässt sich der mögliche Schaden nach einer Kompromittierung deutlich begrenzen.
  • Web-Filter und DNS-Schutz: Blockieren Sie den Zugriff auf bekannte bösartige Domains und IP-Adressen. Intelligente Web-Gateways können zudem verdächtigen Code auf Websites in Echtzeit analysieren und blockieren.
  • Security Awareness Training: Sensibilisieren Sie Mitarbeitende nicht nur für Phishing, sondern auch für das Konzept der Watering-Hole-Angriffe. Das Bewusstsein, dass selbst vertrauenswürdige Dienste und Websites kompromittiert werden können, erhöht die Wachsamkeit.

Fazit

Watering-Hole-Angriffe sind eine ernstzunehmende und raffinierte Bedrohung, die gezielt das Vertrauen in gewohnte digitale Umgebungen ausnutzen. Es genügt daher nicht, nur die eigenen Systeme im Blick zu behalten.

Entscheidend ist, zu verstehen, welche Online-Umgebungen Mitarbeiter:innen nutzen – und sicherzustellen, dass Endgeräte und Netzwerke so robust sind, dass sie auch Angriffen aus unerwarteten, vermeintlich sicheren Quellen standhalten. Während Cyberkriminelle nur eine einzige Schwachstelle benötigen, muss die Verteidigung lückenlos sein und alle Angriffsflächen absichern.

 

Quellen:
https://www.bleepingcomputer.com/news/security/lazarus-hackers-breach-six-companies-in-watering-hole-attacks/
https://www.wired.com/story/russia-cozy-bear-watering-hole-attacks/
https://attack.mitre.org/techniques/T1189/
https://blogs.jpcert.or.jp/en/2024/12/watering_hole_attack_part1.html

Security-Tipps bequem im Posteingang: Jetzt IKARUS-News abonnieren
Legacy Systems

Legacy-Systeme: Wie veraltete Hardware und Software die Unternehmenssicherheit gefährden

Windows Zero-Day Vulnerability

Zero-Day-Sicherheitslücke in Windows-Verknüpfungen

OWASP Top 10 für LLMs

OWASP Top 10 für LLMs: Neue Sicherheitsherausforderungen durch KI

IKARUS malware.scanner jetzt Teil von Heise Desinfec’t

40 Jahre G DATA

Microsoft erzwingt DMARC

Microsoft erzwingt DMARC: Neue Zustellregeln für Outlook-Massenmails

Information Disclosure Vulnerabilities

Information Disclosure Vulnerabilities

Innovation Day 2025 der HTL Rennweg

IKARUS begleitet HTL-Projekt FENRIR als Partner und Sponsor

data protection

Warum Post-Quanten-Algorithmen unverzichtbar sind

ARM64

IKARUS Antiviren-Lösungen mit nativer ARM64-Unterstützung

Save Internet

Safer Internet Day 2025: Gemeinsam Sicherheit gestalten

MITRE-HarfangLab

MITRE 2024: HarfangLab beeindruckt mit zuverlässiger Erkennung und Präzision

Sicherheitslücke

Elevation of Privilege (EoP): Risiken, Methoden und Schutzmaßnahmen

Identitätsdiebstahl

Identitätsdiebstahl 2.0: Neue Strategien und Tipps für Unternehmen

Red Teams, Blue Teams, Purple Teaming

Red Teams, Blue Teams, Purple Teaming

ZurückWeiter

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline: +43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download

WEITERE INFORMATIONEN

Webshop
Impressum
AGB
EULA
Datenschutzerklärung

Legacy-Systeme: Wie veraltete Hardware und Software die Unternehmenssicherheit...Legacy Systems