Folgerungen aus dem DAEMON Tools Supply Chain-Angriff

Veröffentlicht am 9. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Vor einigen Tagen wurde ja der Supply Chain-Angriff auf die DAEMON Tools bekannt. Ich hatte im Beitrag Daemon Tools: Server liefert Version mit Malware aus berichtet. Nun hat Oliver Keizers vom Sicherheitsanbieter Filigran einen Beitrag "Der DAEMON Tools Supply Chain-Angriff: Was deutsche Unternehmen und Behörden daraus mitnehmen sollten" erstellt, der Handlungskonsequenzen aufzeigen will.

Ein monatelanger, nicht erkannter, Lieferketten Angriff auf DAEMON Tools, ein Disk Imaging Tool, verdeutlicht: Kompromittierungen sind nach wie vor sehr schwer aufzudecken. Der von Kaspersky aufgedeckte Angriff lief ab dem 8. April 2026 und infizierte heimlich, still und leise Systeme in über 100 Ländern. Dabei wurden zunächst Systemdaten gesammelt, bevor anschließend bei ausgewählten Opfern in Handel, Verwaltung, Industrie und Forschung gezielt eine zweite Malware nachgeladen wurde.

Nicht der erste Fall

Filigran weist darauf hin, dass es dasselbe Muster beim CCleaner (2017), SolarWinds (2020) und 3CX (2023) gab. Alle Fälle hatte ich im Blog dokumentiert, siehe Links am Artikelende. Und trotzdem dauerte auch diesmal die Erkennung wieder mehrere Wochen.

Industrie und Behörden sind attraktive Ziele

Die deutsche Industrie und Behördenlandschaft sind attraktive Ziele für genau diese Art von Supply Chain-Angriffen. Fertigungsunternehmen, Bundesbehörden, Forschungseinrichtungen: sie alle setzen auch auf Software, die außerhalb des klassischen Sicherheitsperimeters liegt.

Die NIS2, in Deutschland durch das NIS2UmsuCG in nationales Recht überführt, verpflichtet betroffene Einrichtungen ausdrücklich zum Management von Supply Chain-Risiken. Das BSI benennt Supply Chain-Angriffe in seinen jährlichen Lageberichten zur IT-Sicherheit konsequent als eine der zentralen Bedrohungen, gegen die es sich zu wappnen gilt. Dennoch fehlt vielen Unternehmen und Behörden die operative Infrastruktur, um auf diese Bedrohungskategorie in Echtzeit reagieren zu können.

Die tatsächliche Lücke liegt nicht im Tool

Der DAEMON Tools-Angriff zeigt exemplarisch, was passiert, wenn Bedrohungsinformationen isoliert vorliegen oder ganz fehlen. Die Indikatoren waren vorhanden: ungewöhnliche ausgehende Verbindungen, neue Prozesse, unerklärliches Software-Verhalten. Aber ohne eine strukturierte Möglichkeit, diese Indikatoren zu korrelieren und einzuordnen, bleiben sie lediglich ein undeutliches Rauschen.

Allerdings gab es in den vergangenen Jahren einige signifikante Fortschritte, auch im Open Source Bereich. Plattformen, wie OpenCTI, die vollständig quelloffen entwickelt werden, ermöglichen es Sicherheitsteams, Bedrohungsdaten aus hunderten Quellen zu strukturieren, mit etablierten Frameworks wie MITRE ATT&CK zu verknüpfen und operativ nutzbar zu machen, ohne Abhängigkeit von einem einzelnen Anbieter. Das Resultat: Das aufgebaute Wissen bleibt im Unternehmen, auch wenn Analysten das Team wechseln. Das verhindert zwar keine Angriffe, aber es verkürzt die Zeit, in der sie unbemerkt bleiben.

Supply Chain-Angriffe werden nicht aufhören. Die entscheidende Frage ist daher nicht, ob die eigene Software kompromittiert werden kann, sondern ob das Team es innerhalb von Stunden bemerkt oder erst nach Monaten. Der Unterschied in den aus den jeweiligen Zeitfenstern resultierenden Schäden kann gewaltig sein. Daraus abgeleitet lässt sich feststellen: Wer Bedrohungsintelligenz heute noch als reines Reporting-Werkzeug behandelt, versäumt es, aus den bisherigen Vorfällen die richtigen Schlüsse zu ziehen, folgert Oliver Keizers vom Sicherheitsanbieter Filigran.

Ähnliche Artikel:
Daemon Tools: Server liefert Version mit Malware aus
CCleaner Malware – weitere Analysen von AVAST
AVAST: CCleaner Malware zielte auf Firmen
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023)
Ergänzende Informationen zur kompromittierten 3CX Desktop-App

 

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.