Die Sicherheitsbranche erlebt eine paradoxe Entwicklung: Ausgerechnet die Software, die Unternehmensdaten schützen soll, wird zur Einfallschleuse für Hacker. Remote-Wipe-Funktionen und Mobile-Device-Management (MDM) sind eigentlich dazu da, gestohlene Geräte unbrauchbar zu machen. Doch aktuelle Berichte zeigen: Kriminelle nutzen diese Administrationssysteme zunehmend gegen ihre Betreiber. Remote Monitoring and Management (RMM)-Tools gelten inzwischen als führender Endpunkt-Bedrohungsvektor.
Der Angriffszeitpunkt ist kein Zufall. Während Unternehmen ihre verteilten Belegschaften per Fernzugriff verwalten, sind genau diese Infrastrukturen zum Ziel von Supply-Chain-Attacken und Credential-Diebstahl geworden – sowohl durch staatliche Akteure als auch durch organisierte Cyberkriminalität.
Angesichts der zunehmenden Angriffe auf Systemkomponenten ist ein verlässliches Notfall-Medium zur Systemrettung für jeden PC-Nutzer unverzichtbar. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen und im Ernstfall in Minuten starten. Gratis-Anleitung für den Windows 11 Boot-Stick jetzt sichern
RMM-Tools: Das neue Einfallstor für Hacker
Der Guardz 2026 State of MSP Threat Report zeigt eine alarmierende Entwicklung: Remote Monitoring and Management-Tools sind zum führenden Endpunkt-Bedrohungsvektor für Managed Service Provider (MSPs) geworden. Diese Administrationssoftware, die etwa das Löschen gestohlener Laptops oder Software-Updates auf tausenden Geräten ermöglicht, wird von Angreifern gekapert, um dauerhaften Zugriff auf Kundenumgebungen zu erlangen. Die Folge: ein Anstieg der Ransomware-Erkennungen um 190 Prozent.
Besonders perfide: Hacker setzen auf „Living-off-the-Land“-Techniken – sie nutzen legitime Administrationssoftware, um unerkannt zu bleiben. Die Verwundbarkeit dieser Systeme wird durch einen Anstieg von Session-Hijacking um 23 Prozent noch verschärft. Sicherheitsanalysten beobachten, wie Angreifer zunehmend Multi-Faktor-Authentifizierung (MFA) umgehen, um Administrationssitzungen zu übernehmen. In manchen Unternehmen übersteigt die Zahl der Maschinen-Identitäten – also automatisierte Tokens von Verwaltungstools – inzwischen die der menschlichen Identitäten. Ein massiver, oft unüberwachter Angriffsraum.
Der SonicWall 2026 Cyber Protect Report liefert weitere Belege: 88 Prozent der Sicherheitsverletzungen bei kleinen und mittelständischen Unternehmen (KMU) betrafen Ransomware – eine deutlich höhere Rate als bei Großkonzernen. Hauptursache: MSPs hatten die Sicherheitsdienste, für deren Verwaltung sie bezahlt wurden, nicht richtig konfiguriert. Forscher fanden heraus, dass viele Anbieter essentielle Funktionen wie Intrusion Prevention Systems (IPS) und Intrusion Detection Systems (IDS) deaktiviert hatten – und damit die Verwaltungstools selbst schutzlos ließen. Die durchschnittliche Verweildauer eines Angreifers in diesen Umgebungen: 181 Tage. Genug Zeit für Datendiebstahl, bevor eine Abwehrmaßnahme wie ein Remote-Wipe überhaupt eingeleitet werden kann.
Wenn Datenlöschung zur Waffe wird
Während legitime Remote-Wipe-Funktionen Daten schützen sollen, erlebt der Frühling 2026 den Aufstieg bösartiger „Wiper“, die sich als Ransomware tarnen. Check Point Research hat kürzlich die Aktivitäten von Vect 2.0 detailliert – einer Ransomware-as-a-Service (RaaS)-Plattform, die seit Ende 2025 aktiv ist und ihre Reichweite in den letzten Monaten ausgebaut hat.
Die Analyse des Vect-2.0-Codes zeigt: Es handelt sich eher um einen Datenwiper als um eine traditionelle Verschlüsselungssoftware. Aufgrund von Fehlern in der Implementierung der libsodium-Bibliothek zerstört die Malware Dateien über 128 KB dauerhaft – eine Datenwiederherstellung ist selbst nach Zahlung eines Lösegelds unmöglich. Betroffen sind Branchen wie Fertigung, Bildung und Gesundheitswesen, mit Opfern in den USA, Brasilien und Indien. Die Vect-Gruppe nutzt das Starkiller-Phishing-Framework für Session-Hijacking und MFA-Umgehung – dieselben Techniken, die auch bei legitimen RMM-Tools zum Einsatz kommen.
Doch nicht nur kriminelle Gruppen setzen auf zerstörerische Technologie. Forscher von SentinelOne haben kürzlich ein hochentwickeltes Malware-Framework namens Fast16 entdeckt. Obwohl erst jetzt bekannt gegeben, war das Framework bereits seit 2005 aktiv – fünf Jahre vor dem berühmten Stuxnet-Wurm. Fast16 wurde für Industriesabotage entwickelt, speziell gegen Ingenieurssoftware wie LS-DYNA und PKPM. Statt Dateien zu löschen, korrumpierte die Malware Gleitkomma-Operationen, um subtile, katastrophale Fehler in physischen Strukturen zu verursachen – eine Form des „logischen Wipe“, die als frühestes bekanntes Beispiel staatlich gesteuerter Cyber-Sabotage gilt.
Supply-Chain-Attacken und globale Datenlecks
Die Sicherheit von Remote-Management- und Entwickler-Tools wurde durch eine Reihe spektakulärer Supply-Chain-Angriffe weiter untergraben. Ende März 2026 wurde die Sicherheitsfirma Checkmarx von der Gruppe TeamPCP in Zusammenarbeit mit Lapsus$ angegriffen. Die Angreifer kompromittierten zunächst Trivy, einen beliebten Schwachstellenscanner von Aqua Security, und nutzten diesen Zugang, um Credential-stehlende Malware in Checkmarx‘ KICS-Tool (Keeping Infrastructure as Code Secure) einzuschleusen.
Der Angriff betraf auch die Bitwarden-Kommandozeilenschnittstelle (CLI) und mehrere GitHub Actions. Ziel dieser Attacken: die Beschaffung von Quellcode und Geheimnissen für noch größere Operationen. Ähnliche Taktiken wurden im SAP-Ökosystem beobachtet, wo bösartige npm-Pakete wie @cap-js/sqlite verwendet wurden, um Zugangsdaten von Organisationen zu stehlen, die SAP-Software als geschäftskritisch betrachten. Eine SAPinsider-Studie von 2025 zeigt: Während 92 Prozent der Firmen diese Systeme als essenziell einstufen, haben nur 34 Prozent einen ausgereiften Cybersicherheitsstand erreicht.
Die Folgen dieser systemischen Schwachstellen sind in den massiven Datenlecks im April 2026 sichtbar:
- AT&T bestätigte einen Bruch, der 73,5 Millionen aktuelle und ehemalige Kunden betrifft – persönliche Daten tauchten im Dark Web auf.
- Amtrak meldete ein Leck mit über 2,1 Millionen einzigartigen Konten, Schätzungen gehen von bis zu 9,4 Millionen betroffenen Datensätzen aus.
- Carnival Corp bestätigte, dass ein Ransomware-Angriff auf seine Holland America Line zur Offenlegung von 8,7 Millionen Datensätzen führte.
- Rituals, ein niederländischer Kosmetikhändler, bestätigte einen Datenbruch, der 41 Millionen Kunden betrifft.
Wenn Sicherheitslücken in herkömmlichen Systemen zum Risiko werden, suchen immer mehr Nutzer nach stabilen Alternativen. Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel installieren und so von mehr Tempo und Sicherheit profitieren. Kostenloses Linux-Startpaket inklusive Ubuntu-Vollversion hier anfordern
Doch nicht nur Kriminelle sind aktiv. Am 29. April 2026 veröffentlichte die mit dem Iran verbundene Gruppe Handala die persönlichen Daten von 2.379 US-Marines, die in der Golfregion stationiert sind. Dies folgte auf einen angeblichen Hack von FBI-Direktor Kash Patel – ein Zeichen für die anhaltende Bedrohung hochrangiger Persönlichkeiten.
Kontext und Branchenanalyse
Die aktuelle Krise in der Remote-Management-Sicherheit findet vor dem Hintergrund eines grundlegenden Wandels in der Industrialisierung von Cyberkriminalität statt. Der Europol IOCTA 2026 Report stellte fest, dass es 2025 über 120 aktive Ransomware-Marken gab. Der Markt bewegt sich hin zu einem „Pure Extortion“-Modell, bei dem Datendiebstahl vor Verschlüsselung priorisiert wird. Der Aufstieg von Ransomware-as-a-Service hat die Einstiegshürde für Partner gesenkt – Gruppen wie Qilin bieten ihren Partnern bis zu 85 Prozent der Lösegeldzahlungen.
Branchenanalysten betonen, dass das Zeitfenster zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung auf nur wenige Tage schrumpft. Dies zeigte sich zuletzt bei der Ausnutzung von CVE-2026-32202, einem Windows-Shell-Fehler. Die Schwachstelle war das Ergebnis eines unvollständigen Patches für einen früheren Bug, der von der staatlich gesteuerten Gruppe APT28 ausgenutzt wurde. Obwohl Microsoft am 14. April 2026 einen Fix veröffentlichte, wurde die aktive Ausnutzung bis zum 27. April bestätigt. Die CISA fügte den Fehler am 28. April ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu. Bundesbehörden haben bis zum 12. Mai 2026 Zeit, das Problem zu beheben.
Darüber hinaus wurde kürzlich eine kritische Zero-Day-Schwachstelle im Linux-Kernel namens „Copy Fail“ (CVE-2026-31431) offengelegt. Dieser Fehler, der seit 2017 im Kernel existiert, ermöglicht eine lokale Rechteausweitung auf Root-Ebene. Da er fast jede große Distribution betrifft – darunter Ubuntu, RHEL und SUSE – bietet er Angreifern, die bereits einen Fuß in der Tür haben, ein mächtiges Werkzeug, um die volle Kontrolle über Server und Cloud-Umgebungen zu übernehmen.
Ausblick: Identitätsmanagement statt Geräteverwaltung
Für den Rest des Jahres 2026 verschiebt sich der Fokus von einfacher Geräteverwaltung hin zu robustem Identitäts- und Zugriffsmanagement. Sicherheitsexperten betonten anlässlich des Welt-Passwort-Tages Ende April, dass traditionelle Passwortrichtlinien nicht mehr ausreichen, um gegen die aktuelle Welle von Session-Hijacking und RMM-Missbrauch zu schützen.
Die Branche erlebt einen deutlichen Schub hin zu Passkeys und FIDO-basierter Authentifizierung für phishing-resistente Sicherheit. Experten von Keeper Security und Netrio betonen, dass Privileged Access Management (PAM) zu einer kritischen Anforderung für jede Organisation wird, die Remote-Management-Tools einsetzt. Ohne streng kontrollierten und überwachten Zugang zu den Systemen, die Remote-Wipes und Software-Bereitstellungen durchführen, werden die Werkzeuge zum Schutz von Unternehmensdaten weiterhin eine primäre Risikoquelle darstellen.
Für MSPs und interne IT-Abteilungen lautet das Gebot der kommenden Monate: Rückkehr zu den Sicherheitsgrundlagen. Dazu gehören die verpflichtende Implementierung von MFA, die regelmäßige Überprüfung von RMM-Konfigurationen und die Einführung von Zero-Trust-Architekturen, die auch Management-Traffic nicht automatisch vertrauen. Je mehr die Grenze zwischen legitimen administrativen Aktionen und bösartigen Aktivitäten verschwimmt, desto mehr wird die Fähigkeit, zwischen einem routinemäßigen Remote-Wipe und einem destruktiven Cyberangriff zu unterscheiden, zur zentralen Herausforderung moderner Endpunktsicherheit.
