Die Sicherheitslage in der Software-Lieferkette eskaliert: Gleich mehrere schwerwiegende Vorfälle erschüttern diese Woche die IT-Branche. Besonders brisant: Ein kritischer Fehler in GitHub Enterprise Server betrifft weltweit noch 88 Prozent aller Installationen – und der Patch liegt seit Wochen bereit.
LAPSUS$ zurück: Angriff über Sicherheitstool Trivy
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt die aktuelle Bedrohungslage durch automatisierte Angriffe auf die Software-Lieferkette. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihres Unternehmens erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Der Software-Sicherheitsanbieter Checkmarx bestätigte am Dienstag einen massiven Datenabfluss aus seinen privaten GitHub-Repositories. Die Hackergruppe LAPSUS$ erbeutete 96 Gigabyte an Entwicklungsdaten. Die Angreifer nutzten eine Schwachstelle in Trivy, einem beliebten Sicherheitsscanner für Software-Entwicklungspipelines. Über diesen Umweg kaperten sie Zugangsdaten und umgingen die primären Sicherheitsvorkehrungen.
Checkmarx betonte, dass keine Kundendaten betroffen seien – der Vorfall beschränke sich auf interne Entwicklungsartefakte. Der Angriff markiert die Rückkehr der Gruppe LAPSUS$, die bereits früher Technologiekonzerne ins Visier nahm. Die Methode zeigt: Selbst Sicherheitstools in CI/CD-Workflows werden zur Einfallspforte, wenn sie nicht ausreichend isoliert sind.
Parallel dazu attackierten Hacker die Website des britischen Abgeordneten Sir David Davis mit einer massiven DDoS-Attacke, die 800 Gigabyte Datenverkehr verursachte. Die Infrastruktur von Entwicklungsplattformen bleibt das bevorzugte Ziel staatlich gesteuerter und finanziell motivierter Akteure.
GitHub-RCE-Lücke: 88 Prozent der Server ungepatcht
Noch alarmierender: Sicherheitsforscher von Wiz entdeckten die kritische Schwachstelle CVE-2026-3854 in GitHub’s internem Git-Proxy „babeld“. Der Fehler erlaubt jedem authentifizierten Nutzer, durch einen einzigen „git push“-Befehl mit einem Semikolon in den Push-Optionen Code auf dem Server auszuführen. Diese simple Injektion umgeht die Sicherheitsfilter und gewährt potenziell Zugriff auf Millionen privater Repositories.
GitHub.com und GitHub Enterprise Cloud wurden bereits am 4. März 2026 innerhalb von 75 Minuten gepatcht. Doch die selbst gehosteten GitHub Enterprise Server (GHES)-Instanzen bleiben verwundbar. Stand heute haben 88 Prozent aller GHES-Installationen weltweit das Update noch nicht eingespielt. Der CVSS-Score von 8,7 macht diese Lücke zu einer der gefährlichsten Bedrohungen für Entwicklungsinfrastrukturen der letzten Jahre.
GitHub’s Chief Technology Officer räumte bereits Anfang des Monats Sicherheitsprobleme ein – nach einem botnet-gesteuerten Suchausfall am 27. April und einem Merge-Queue-Fehler, der über 2.000 Pull-Requests zurücksetzte. Das Unternehmen operiert seit Mitte 2025 ohne festen CEO – eine Führungslücke, die Branchenbeobachter zunehmend kritisch sehen.
Drittanbieter als Schwachstelle: ADT und Vimeo gehackt
Die Verwundbarkeit der Lieferkette reicht weit über Code-Repositories hinaus. Der Sicherheitskonzern ADT bestätigte am Montag einen Datenvorfall mit 5,5 Millionen betroffenen Kunden. Angreifer kompromittierten ein Mitarbeiterkonto über Okta Single Sign-On mittels Voice-Phishing. Die gestohlenen Daten umfassen Namen, Telefonnummern, Adressen sowie in einigen Fällen Sozialversicherungs- und Steueridentifikationsnummern.
Auch die Videoplattform Vimeo meldete am Dienstag eine Sicherheitsverletzung bei ihrem Analyse-Drittanbieter Anodot. Die Hackergruppe ShinyHunters erbeutete E-Mail-Adressen, Videotitel und technische Metadaten. Sie fordert Lösegeld und droht, die Daten bis zum 30. April zu veröffentlichen. ShinyHunters war zuletzt besonders aktiv: Die Gruppe behauptet, 1,4 Millionen Datensätze von der Bildungsplattform Udemy und 9 Millionen Datensätze vom Medizintechnikunternehmen Medtronic gestohlen zu haben.
Diese Vorfälle zeigen: Selbst wenn Primärsysteme gut geschützt sind, bleiben Drittanbieter-Integrationen und Identitätsplattformen die „weiche Flanke“ großer Organisationen. Die US-Sicherheitsbehörde CISA reagierte am Dienstag mit zwei neuen Einträgen in ihrem Katalog bekannter ausgenutzter Schwachstellen: CVE-2024-1708 (ConnectWise ScreenConnect) und CVE-2026-32202 (Microsoft Windows-Schutzmechanismus, derzeit von APT28 ausgenutzt).
KI-gesteuerte Angriffe: GPT-5.5 und Claude Mythos im Visier
Behörden warnen zunehmend vor sinkenden Einstiegshürden für komplexe Supply-Chain-Angriffe durch KI-Systeme. Indiens CERT-In veröffentlichte am Dienstag eine hochriskante Warnung (CIAD-2026-0020) zu KI-Modellen wie GPT-5.5 und Anthropics „Claude Mythos“. Die Behörde berichtet, dass Mythos autonom 271 bisher unbekannte Schwachstellen im Firefox-Browser identifizieren konnte.
Diese KI-Systeme ermöglichen mehrstufige Angriffe: Sie identifizieren Schwachstellen eigenständig und erstellen Exploit-Code – und verkürzen so die Zeit von der Entdeckung bis zur Waffenfähigkeit drastisch. Besonders betroffen sind kleine und mittlere Unternehmen, denen die Ressourcen fehlen, um gegen automatisierte KI-Probing-Angriffe zu bestehen. CERT-In empfiehlt eine Zero-Trust-Architektur und die Installation kritischer Patches innerhalb von 24 Stunden.
Forschungsergebnisse von Proofpoint untermauern diese Bedenken: Eine Studie unter 1.400 Sicherheitsexperten ergab, dass 42 Prozent der globalen Organisationen bereits einen KI-bezogenen Sicherheitsvorfall erlebt haben. Trotz vorhandener Sicherheitsmaßnahmen gaben 52 Prozent der Befragten an, kein Vertrauen in ihre Fähigkeit zu haben, KI-gestützte Kompromittierungen zu erkennen.
Ausblick: Passkeys als Rettung?
Angesichts von Millionen gehackten Konten pro Quartal wird die herkömmliche Anmeldung mit Passwörtern zum untragbaren Sicherheitsrisiko. Dieser kostenlose PDF-Ratgeber zeigt Ihnen, wie Sie auf die neue Passkey-Technologie umstellen und Ihre Online-Zugänge bei Amazon, WhatsApp und Co. für Hacker unerreichbar machen. Jetzt kostenlosen Passkey-Report herunterladen
Als Reaktion auf die zunehmende Automatisierung von Supply-Chain-Angriffen setzen Aufsichtsbehörden auf phishing-resistente Authentifizierung. Das britische National Cyber Security Centre (NCSC) forderte Unternehmen und Bürger am Dienstag auf, traditionelle Passwörter durch Passkeys zu ersetzen. Eine Studie von Ende 2025 zeigt: Passkeys auf Basis asymmetrischer Kryptografie verkürzen die Anmeldezeit um über 70 Prozent gegenüber traditioneller Multi-Faktor-Authentifizierung (MFA) und bieten deutlich höheren Schutz gegen die Art von Credential-Diebstahl, die bei ADT und Checkmarx stattfand.
Erste Unternehmen reagieren: Flipkart, Axis Bank und PayU kündigten am Dienstag biometrische Kartenzahlungen in Indien an, um Einmalpasswörter (OTPs) zu ersetzen. Auch Softwareanbieter wie Intercede bringen aktualisierte MFA-Plattformen auf den Markt, die „syncable FIDO passkeys“ unterstützen.
Für Unternehmen mit großen Software-Repositories bleibt die Priorität jedoch klar: Patchen, patchen, patchen. Solange 88 Prozent der GitHub Enterprise Server-Instanzen gegen CVE-2026-3854 ungeschützt sind, bleibt das Zeitfenster für Angreifer weit offen. Sicherheitsexperten warnen: Solange Entwicklungsumgebungen als interne „Sicherheitszonen“ und nicht als kritische Angriffsflächen behandelt werden, bleibt die Software-Lieferkette das bevorzugte Ziel globaler Bedrohungsakteure.
