
Dwell Time sinkt: gute oder schlechte Nachrichten?
Forscher von Google Mandiant haben kürzlich herausgefunden, dass die durchschnittliche Dwell Time von Cyberangreifern abgenommen hat. Ob dies gut, schlecht oder eine Mischung aus beidem ist, hängt davon ab, welche Treiber hinter dieser Veränderung stecken.
Was versteht man unter Dwell Time?
Die Dwell Time ist einfach die Zeitspanne, in der ein Cyber-Angreifer Zugang zu einem Netzwerk hat, in das er eingedrungen ist.
Die Dwell Time endet aus einem von drei Gründen:
Das Opfer erkennt den Einbruch und reagiert, indem es Angreifer vertreibt und den Einbruch blockiert.
Der Angreifer erreicht sein Ziel, z. B. das Exfiltrieren gestohlener Daten, und zieht sich aus dem Netzwerk zurück. Natürlich behält er in diesem Fall die Möglichkeit, jederzeit zurückzukehren, und wird dies mit hoher Wahrscheinlichkeit tun.
Der Angreifer zündet eine lautstarke Payload, meist eine Ransomware-Attacke, und kündigt damit seine Anwesenheit an.
Verschiedene Arten von Angriffen mit unterschiedlichen Zielen haben in der Regel sehr unterschiedliche Dwell Times. Die Dwell Time eines Ransomware-Angriffs beträgt beispielsweise typischerweise höchstens Tage oder Wochen. Sobald sie die Daten gefunden und kompromittiert haben, die sie als Lösegeld erpressen wollen, haben sie keinen Grund mehr, ihre Dwell Time zu verlängern, zumal sie sich dadurch nur einem größeren Entdeckungsrisiko aussetzen würden.
Das andere Extrem sind die kürzlich entdeckten Eindringlinge in kritische Infrastruktursysteme durch die chinesische Hackergruppe Volt Typhoon, die in einigen Fällen bereits seit bis zu fünf Jahren aktiv sind (weitere Einzelheiten finden Sie in diesem aktuellen Blogbeitrag). Ein Grund dafür, dass sie so lange unentdeckt blieben, ist, dass sie keine unmittelbaren Spionage- oder Datendiebstahlsziele verfolgten, so dass ihre seitlichen Bewegungen oder andere Aktivitäten innerhalb des Netzwerks äußerst begrenzt waren. Eine andere Möglichkeit ist, dass sie fortschrittliche LoTL-Techniken (living-off-the-land) eingesetzt haben, um die Spuren ihrer Anwesenheit weiter zu minimieren.
Warum werden die Verweilzeiten kürzer?
Was ist also die Ursache für die Verringerung der durchschnittlichen Dwell Time? Es handelt sich hier um das Zusammenspiel mehrerer miteinander verbundener Faktoren.
Einerseits haben es die Fortschritte in der Sicherheitstechnologie und -strategie den Unternehmen, die sie einsetzen, leichter gemacht, Bedrohungen in ihren Netzwerken zu erkennen. Extended Detection and Response (XDR) und insbesondere verwaltete XDR-Lösungen (wie Barracuda Managed XDR) erhöhen die Wahrscheinlichkeit, dass anomales Verhalten im Netzwerk erkannt und darauf reagiert wird. Und das liegt nur daran, dass sämtliche Aktivitäten rund um die Uhr aktiv überwacht werden, was für normale IT-Teams mit begrenzten Ressourcen unmöglich ist.
Und auf der anderen Seite haben Angreifer auf diese erhöhte Erkennungsfähigkeit reagiert, indem sie ihre Prozesse beschleunigt haben. Bedrohungsakteure, die sich früher vielleicht die Zeit genommen hätten, ein Zielnetzwerk vollständig zu erkunden – um sicherzustellen, dass sie die höchsten Zugriffsebenen erhalten und alle Daten entdecken, die von Wert sein könnten – haben jetzt eine eiligere Agenda. Es ist wahrscheinlicher, dass sie sich so schnell wie möglich alles greifen, was sie können, und sich damit zufrieden geben, überhaupt etwas bekommen zu haben, bevor sie entdeckt und vertrieben werden und eventuell mit leeren Händen flüchten müssen.
Vor allem Ransomware-Akteure beschleunigen ihre Angriffe und melden sich, sobald sie eine nennenswerte Menge an Daten unter ihrer Kontrolle haben. Deshalb ist die Verweildauer von Ransomware-Bedrohungen am stärksten zurückgegangen, von durchschnittlich zehn auf fünf Tage.
Für viele Arten von Bedrohungen ist der Zugriff auf Active Directory-Systeme ein kritischer erster Schritt. Die Zeit, die raffinierte Angreifer dafür benötigen – und um die Möglichkeit zu erlangen, ihre Zugriffsrechte zu eskalieren – ist jetzt auf durchschnittlich 16 Stunden gesunken.
Was das für Sie bedeutet
Um die Eingangsfrage zu beantworten: Das ist weder eine besonders gute noch eine besonders schlechte Nachricht. Es ist nur das natürliche Ergebnis des ewigen Wettrüstens zwischen Bedrohungsakteuren und Sicherheitsexperten.
Es zeigt jedoch, dass es für alle Organisationen zunehmend wichtiger wird, moderne Erkennungs- und Reaktionsstrategien zu implementieren, die KI, Automatisierung und dediziertes Personal nutzen, um eine Überwachung rund um die Uhr zu gewährleisten – also XDR, wenn Sie über ein gut ausgestattetes SOC verfügen, und Managed XDR, wenn nicht.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.