Ein gezielter Social-Engineering-Angriff auf das Kundenportal von DigiCert hat weitreichende Folgen: Der Zertifikatsanbieter musste Dutzende digitale Zertifikate widerrufen, nachdem Angreifer Initialisierungscodes für sensible Extended-Validation-Zertifikate erbeutet hatten. Mit diesen Signaturen autorisierten Kriminelle anschließend Schadsoftware – ein schwerer Schlag für das Vertrauen in die digitale Infrastruktur.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book zur Cyber Security jetzt herunterladen
Der Angriff: Wie Hacker das Support-Portal infiltrierten
Die Attacke begann Anfang April 2026. Die Täter nutzten einen Chat-Kanal des DigiCert-Kundensupports, um mit Mitarbeitern in Kontakt zu treten. Was als harmlose Kundenanfrage getarnt war, entpuppte sich als raffinierte Falle: Die Angreifer übergaben einen vermeintlichen Screenshot, der in Wirklichkeit eine Schadsoftware enthielt.
Zwei Mitarbeiter-Endgeräte wurden so infiziert. Besonders brisant: Eine zweite Infektion auf einem weiteren Rechner blieb bis zum 14. April unentdeckt – ein Sicherheitsprogramm hatte versagt. In dieser Zeit verschafften sich die Hacker Zugang zu internen Systemen und konnten die Initialisierungscodes für EV-Code-Signing-Zertifikate abgreifen. Diese Codes sind der Schlüssel zur Aktivierung der höchsten Vertrauensstufe für Software-Signaturen.
Die gute Nachricht: DigiCerts Kernsysteme – die Zertifikatsausstellung und die Hauptdatenbanken – blieben nach Unternehmensangaben unberührt.
60 Zertifikate widerrufen – und eine Malware-Verbindung
Die Bilanz des Angriffs ist alarmierend. Insgesamt zog DigiCert 60 Zertifikate zurück, die als gefährdet oder unrechtmäßig erlangt galten. 27 davon ließen sich direkt den Angreifern zuordnen.
Der schwerwiegendste Fund: Elf dieser Zertifikate wurden genutzt, um eine Schadsoftware namens Zhong Stealer zu signieren. Mit einer legitimen EV-Signatur umging die Malware die üblichen Sicherheitswarnungen von Betriebssystemen – sie galt als vertrauenswürdig. Die Folge: Die Schadsoftware konnte ungehindert auf Zielsysteme gelangen.
Betroffen sind Organisationen in 13 Ländern, darunter mehrere namhafte Unternehmen in der Europäischen Union. Zwar sind die Zertifikate inzwischen ungültig, doch das Zeitfenster für erfolgreiche Angriffe war weit geöffnet.
Branche unter Beschuss: Mehrere Sicherheitsvorfälle zeitgleich
Der DigiCert-Vorfall ist kein Einzelfall. Ende April und Anfang Mai 2026 häufen sich Angriffe auf die Software-Lieferkette:
- Am 29. April traf ein separater Angriff offizielle SAP-npm-Pakete. Gestohlene Tokens ermöglichten es Angreifern, Schadcode in Pakete mit hunderttausenden wöchentlichen Downloads einzuschleusen.
- Trellix, ein weiterer Sicherheitsanbieter, bestätigte unbefugten Zugriff auf Teile seines internen Quellcode-Repositories. Die Angreifer manipulierten zwar nicht die Auslieferungspipeline, doch die Häufung der Vorfälle wirft Fragen auf.
Die Botschaft ist klar: Kriminelle zielen gezielt auf die Infrastruktur der Softwareentwicklung ab – und treffen damit das Herz der digitalen Sicherheit.
Rekord-Schäden durch Phishing zeigen, wie wichtig gezielte Awareness-Kampagnen für Unternehmen heute sind. In diesem kostenlosen Paket erfahren Sie in 4 Schritten, wie Sie sich effektiv gegen psychologische Manipulationstaktiken und Cyberkriminalität wehren. Kostenloses Anti-Phishing-Paket sichern
Warum EV-Zertifikate so begehrt sind
Extended-Validation-Zertifikate sind die Königsklasse der digitalen Vertrauenswürdigkeit. Anders als Standard-Zertifikate durchlaufen sie einen strengen Prüfprozess. Software, die damit signiert ist, genießt bei Betriebssystemen automatisch einen Vertrauensvorschuss. Genau diese Eigenschaft macht sie für Angreifer so wertvoll.
Der Vorfall zeigt auch die Grenzen automatisierter Sicherheitslösungen. Die zweite Infektion blieb fast zwei Wochen unentdeckt – ein klassisches Versagen bei der Verhaltensanalyse. Während Backend-Server immer besser geschützt sind, bleiben Support-Schnittstellen attraktive Einfallstore.
Die Lehren: Strengere Regeln für Zertifikatsanbieter
DigiCert hat reagiert: Multi-Faktor-Authentifizierung ist jetzt für alle administrativen Workflows Pflicht, der Zugriff auf Initialisierungscodes wurde eingeschränkt. Auch die Überwachung der Support-Kommunikation wurde verbessert.
Doch die Branche muss nachziehen. Experten erwarten, dass strengere MFA-Vorgaben und restriktive Zugriffsrechte für Initialisierungscodes zum Standard werden. Die US-Sicherheitsbehörde CISA hat bereits neue Warnungen für Bundesbehörden und Unternehmen herausgegeben: Sie sollen die Integrität ihrer Code-Signing-Praktiken überprüfen.
Der Fall Zhong Stealer ist eine Warnung: Unternehmen müssen nicht nur die Signaturen der Software prüfen, die sie ausführen – sondern auch die Herkunft und Historie dieser Signaturen. In den kommenden Wochen werden weitere Details zu den Angreifern erwartet, während Forensiker die Infrastruktur der Schadsoftware analysieren.
