Living off the Land (LotL) bezeichnet eine Angriffstechnik, bei der der Angreifer ausschließlich vorinstallierte, legitime Werkzeuge des Betriebssystems nutzt — etwa PowerShell, WMI, certutil oder PsExec. Da keine zusätzliche Schadsoftware auf das System gebracht wird, umgehen LotL-Angriffe viele traditionelle Antivirenlösungen. Die Erkennung ist schwierig, weil die genutzten Werkzeuge auch im normalen Betrieb verwendet werden. Für dein ISMS bedeutet das: Signaturbasierte Erkennung allein reicht hier nicht aus. Du brauchst verhaltensbasiertes Monitoring, Logging aller Skript-Ausführungen (z. B. PowerShell Transcription Logging) und strenge Einschränkungen, welche Administrationswerkzeuge auf Endgeräten verfügbar sind.