Angriff

Watering-Hole-Angriff

Angriffsstrategie, bei der Angreifer Websites infizieren, die von Zielpersonen regelmäßig besucht werden, um deren Geräte zu kompromittieren.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Löwen warten an der Wasserstelle, weil sie wissen: Die Beute kommt früher oder später trinken. Hacker infizieren eine Webseite, die ihre Zielopfer regelmäßig besuchen. Sie warten einfach — und wenn das Opfer die Seite aufruft, wird es kompromittiert.”

Ausführliche Erklärung

Der Begriff stammt vom Verhalten von Raubtieren, die an Wasserstellen auf Beute warten. Angreifer analysieren das Surfverhalten ihrer Zielgruppe (z.B. Mitarbeiter einer Branche oder Behörde), infizieren eine von ihnen häufig besuchte legitime Website mit Exploit-Code und warten, bis Zielnutzer die Seite besuchen. Drive-by-Downloads installieren dann Malware automatisch. Besonders effektiv gegen gut gesicherte Ziele, die auf direktem Weg schwer angreifbar sind.

>Wie funktioniert das?

Angreifer identifiziert die Zielgruppe und deren häufig besuchte Websites (Branchenportale, Foren, Nachrichtenseiten)

Die Zielwebsite wird durch eine Schwachstelle kompromittiert

Exploit-Code wird eingebettet (oft in JavaScript oder als Drive-by-Download)

Wenn ein Mitglied der Zielgruppe die Seite besucht, wird der Exploit ausgeführt

Malware wird automatisch installiert — oft ohne jede Nutzerinteraktion.

?Häufig gestellte Fragen

Antwort

Hauptsächlich staatlich geförderte APT-Gruppen für Spionage gegen spezifische Branchen, Regierungen oder Menschenrechtsorganisationen.

Antwort

Der Angriff auf den iOS-Jailbreak-Community-Blog (2019), der iPhone-Nutzer über Jahre kompromittierte — aufgedeckt von Googles Project Zero.

Antwort

Für gezielte Angriffe gegen schwer direkt angreifbare Ziele — wenn das Opfer zu sicherheitsbewusst ist für Phishing, kann man stattdessen vertrauenswürdige Drittseiten infizieren.

Antwort

Weil die besuchte Website legitim ist und normalerweise vertrauenswürdig gilt — Sicherheitstools blockieren sie nicht pauschal, und der Angriff läuft ohne Nutzerinteraktion.

Antwort

Durch regelmäßige Browser- und Plugin-Updates, Browser-Isolation-Technologien, Netzwerk-Monitoring auf anomalen ausgehenden Traffic und Endpoint Detection & Response (EDR).

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC