{"id":324763,"date":"2026-05-09T00:03:24","date_gmt":"2026-05-08T22:03:24","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324763"},"modified":"2026-05-08T12:23:16","modified_gmt":"2026-05-08T10:23:16","slug":"nachlese-zum-daemon-tools-supply-chain-angriff","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/09\/nachlese-zum-daemon-tools-supply-chain-angriff\/","title":{"rendered":"Folgerungen aus dem DAEMON Tools Supply Chain-Angriff"},"content":{"rendered":"

\"SicherheitVor einigen Tagen wurde ja der Supply Chain-Angriff auf die DAEMON Tools bekannt. Ich hatte im Beitrag\u00a0Daemon Tools: Server liefert Version mit Malware aus<\/a> berichtet. Nun hat Oliver Keizers vom Sicherheitsanbieter\u00a0Filigran einen Beitrag \"Der DAEMON Tools Supply Chain-Angriff: Was deutsche Unternehmen und Beh\u00f6rden daraus mitnehmen sollten\" erstellt, der Handlungskonsequenzen aufzeigen will.<\/p>\n

<\/p>\n

Ein monatelanger, nicht erkannter, Lieferketten Angriff auf DAEMON Tools, ein Disk Imaging Tool, verdeutlicht: Kompromittierungen sind nach wie vor sehr schwer aufzudecken. Der von Kaspersky aufgedeckte Angriff lief ab dem 8. April 2026 und infizierte heimlich, still und leise Systeme in \u00fcber 100 L\u00e4ndern. Dabei wurden zun\u00e4chst Systemdaten gesammelt, bevor anschlie\u00dfend bei ausgew\u00e4hlten Opfern in Handel, Verwaltung, Industrie und Forschung gezielt eine zweite Malware nachgeladen wurde.<\/p>\n

Nicht der erste Fall<\/h2>\n

Filigran weist darauf hin, dass es dasselbe Muster beim CCleaner (2017), SolarWinds (2020) und 3CX (2023) gab. Alle F\u00e4lle hatte ich im Blog dokumentiert, siehe Links am Artikelende. Und trotzdem dauerte auch diesmal die Erkennung wieder mehrere Wochen.<\/p>\n

Industrie und Beh\u00f6rden sind attraktive Ziele<\/h2>\n

Die deutsche Industrie und Beh\u00f6rdenlandschaft sind attraktive Ziele f\u00fcr genau diese Art von Supply Chain-Angriffen. Fertigungsunternehmen, Bundesbeh\u00f6rden, Forschungseinrichtungen: sie alle setzen auch auf Software, die au\u00dferhalb des klassischen Sicherheitsperimeters liegt.<\/p>\n

Die NIS2, in Deutschland durch das NIS2UmsuCG in nationales Recht \u00fcberf\u00fchrt, verpflichtet betroffene Einrichtungen ausdr\u00fccklich zum Management von Supply Chain-Risiken. Das BSI benennt Supply Chain-Angriffe in seinen j\u00e4hrlichen Lageberichten zur IT-Sicherheit konsequent als eine der zentralen Bedrohungen, gegen die es sich zu wappnen gilt. Dennoch fehlt vielen Unternehmen und Beh\u00f6rden die operative Infrastruktur, um auf diese Bedrohungskategorie in Echtzeit reagieren zu k\u00f6nnen.<\/p>\n

Die tats\u00e4chliche L\u00fccke liegt nicht im Tool<\/h2>\n

Der DAEMON Tools-Angriff zeigt exemplarisch, was passiert, wenn Bedrohungsinformationen isoliert vorliegen oder ganz fehlen. Die Indikatoren waren vorhanden: ungew\u00f6hnliche ausgehende Verbindungen, neue Prozesse, unerkl\u00e4rliches Software-Verhalten. Aber ohne eine strukturierte M\u00f6glichkeit, diese Indikatoren zu korrelieren und einzuordnen, bleiben sie lediglich ein undeutliches Rauschen.<\/p>\n

Allerdings gab es in den vergangenen Jahren einige signifikante Fortschritte, auch im Open Source Bereich. Plattformen, wie OpenCTI, die vollst\u00e4ndig quelloffen entwickelt werden, erm\u00f6glichen es Sicherheitsteams, Bedrohungsdaten aus hunderten Quellen zu strukturieren, mit etablierten Frameworks wie MITRE ATT&CK zu verkn\u00fcpfen und operativ nutzbar zu machen, ohne Abh\u00e4ngigkeit von einem einzelnen Anbieter. Das Resultat: Das aufgebaute Wissen bleibt im Unternehmen, auch wenn Analysten das Team wechseln. Das verhindert zwar keine Angriffe, aber es verk\u00fcrzt die Zeit, in der sie unbemerkt bleiben.<\/p>\n

Supply Chain-Angriffe werden nicht aufh\u00f6ren. Die entscheidende Frage ist daher nicht, ob die eigene Software kompromittiert werden kann, sondern ob das Team es innerhalb von Stunden bemerkt oder erst nach Monaten. Der Unterschied in den aus den jeweiligen Zeitfenstern resultierenden Sch\u00e4den kann gewaltig sein. Daraus abgeleitet l\u00e4sst sich feststellen: Wer Bedrohungsintelligenz heute noch als reines Reporting-Werkzeug behandelt, vers\u00e4umt es, aus den bisherigen Vorf\u00e4llen die richtigen Schl\u00fcsse zu ziehen, folgert Oliver Keizers vom Sicherheitsanbieter Filigran.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDaemon Tools: Server liefert Version mit Malware aus<\/a>
\nCCleaner Malware \u2013 weitere Analysen von AVAST<\/a>
\nAVAST: CCleaner Malware zielte auf Firmen<\/a>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\n3CX Desktop-App in Supply-Chain-Attack infiziert (29. M\u00e4rz 2023)<\/a>
\nErg\u00e4nzende Informationen zur kompromittierten 3CX Desktop-App<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Vor einigen Tagen wurde ja der Supply Chain-Angriff auf die DAEMON Tools bekannt. Ich hatte im Beitrag\u00a0Daemon Tools: Server liefert Version mit Malware aus berichtet. Nun hat Oliver Keizers vom Sicherheitsanbieter\u00a0Filigran einen Beitrag \"Der DAEMON Tools Supply Chain-Angriff: Was deutsche … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-324763","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324763"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324763\/revisions"}],"predecessor-version":[{"id":324765,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324763\/revisions\/324765"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}