Supply-Chain-Angriff

Supply-Chain-Angriff auf DAEMON Tools zeigt Schwächen bei der Angriffserkennung in Unternehmen und Behörden

, Filigran | Autor: Herbert Wieler

Supply-Chain-Angriff auf DAEMON Tools zeigt Schwächen bei der Angriffserkennung in Unternehmen und Behörden

Warum der nächste Supply-Chain-Angriff auch deutsche Unternehmen treffen kann

Der Angriff auf DAEMON Tools ist mehr als nur ein weiterer Cybervorfall – er zeigt, wie unbemerkt moderne Supply-Chain-Angriffe noch immer über Monate hinweg operieren können. Besonders kritisch: Selbst bekannte Muster aus Fällen wie SolarWinds, CCleaner oder 3CX reichen oft nicht aus, um kompromittierte Software frühzeitig zu erkennen. Für deutsche Unternehmen und Behörden wird damit erneut deutlich, dass klassische Sicherheitsmaßnahmen allein gegen gezielte Lieferkettenangriffe nicht mehr genügen.

Oliver Keizers, VP Sales Central EMEA bei Filigran beleuchtet das Thema aus der Sicht des Exposure Managements.

Der jüngst bekannt gewordene Supply-Chain-Angriff auf die weit verbreitete Software DAEMON Tools verdeutlicht erneut die enorme Gefahr kompromittierter Software-Lieferketten.

Oliver Keizers, VP Sales Central EMEA bei Filigran
Oliver Keizers, VP Sales Central EMEA bei Filigran

Über mehrere Monate hinweg blieb die Attacke unentdeckt, während Systeme in mehr als 100 Ländern infiziert wurden. Die Angreifer sammelten zunächst unauffällig Systeminformationen und luden anschließend bei ausgewählten Zielen weitere Schadsoftware nach – darunter Organisationen aus Verwaltung, Industrie, Handel und Forschung. Das Muster erinnert stark an frühere Großvorfälle wie den Angriff auf CCleaner im Jahr 2017, SolarWinds Orion im Jahr 2020 oder 3CX im Jahr 2023. Trotz wachsender Sensibilisierung dauerte auch diesmal die Entdeckung der Kompromittierung mehrere Wochen – ein alarmierendes Signal für Unternehmen und Behörden weltweit.

Gerade deutsche Organisationen gelten als besonders attraktive Ziele für Supply-Chain-Angriffe. Industrieunternehmen, Forschungseinrichtungen und öffentliche Verwaltungen nutzen täglich zahlreiche Softwarelösungen außerhalb klassischer Sicherheitsperimeter. Gleichzeitig verschärfen regulatorische Anforderungen den Handlungsdruck: Die europäische NIS2-Richtlinie, die in Deutschland über das NIS2UmsuCG umgesetzt wird, verpflichtet betroffene Einrichtungen ausdrücklich dazu, Risiken innerhalb ihrer Lieferketten aktiv zu überwachen und abzusichern.

Auch das Bundesamt für Sicherheit in der Informationstechnik stuft Supply-Chain-Angriffe seit Jahren als zentrale Bedrohung für die IT-Sicherheit ein. Dennoch fehlt vielen Unternehmen und Behörden weiterhin die operative Fähigkeit, verdächtige Aktivitäten in Echtzeit zu erkennen und schnell einzuordnen.

Die eigentliche Schwachstelle liegt oft nicht in der Software selbst

Der DAEMON-Tools-Vorfall zeigt exemplarisch, dass die größte Herausforderung häufig nicht die eigentliche Malware ist, sondern der Umgang mit vorhandenen Bedrohungsinformationen. Hinweise auf eine Kompromittierung waren vorhanden: ungewöhnliche Netzwerkverbindungen, neue Prozesse oder auffälliges Verhalten installierter Anwendungen. Ohne strukturierte Analyse und Korrelation dieser Daten bleiben solche Indikatoren jedoch oft bedeutungsloses Hintergrundrauschen.

Parallel dazu hat sich der Bereich Threat Intelligence in den vergangenen Jahren deutlich weiterentwickelt – insbesondere im Open-Source-Umfeld. Plattformen wie OpenCTI ermöglichen es Sicherheitsteams, Bedrohungsdaten aus unterschiedlichsten Quellen zentral zusammenzuführen, mit Frameworks wie MITRE ATT&CK zu verknüpfen und operativ nutzbar zu machen. Dadurch bleibt Wissen langfristig im Unternehmen erhalten – unabhängig von einzelnen Analysten oder externen Anbietern.

Zwar verhindern solche Systeme keine Angriffe vollständig, sie verkürzen jedoch entscheidend die Zeitspanne zwischen Kompromittierung und Entdeckung. Genau dieses Zeitfenster entscheidet heute häufig darüber, ob ein Sicherheitsvorfall kontrollierbar bleibt oder sich zu einer massiven Krise entwickelt.

Frühzeitige Erkennung wird zum entscheidenden Faktor

Supply-Chain-Angriffe werden auch künftig zu den größten Cyberbedrohungen für Unternehmen und Behörden zählen. Die entscheidende Frage lautet daher längst nicht mehr, ob Software kompromittiert werden kann – sondern wie schnell Sicherheitsverantwortliche dies erkennen.

Wer Threat Intelligence weiterhin nur als Reporting- oder Compliance-Thema betrachtet, unterschätzt die operative Bedeutung moderner Cyberabwehr. Der DAEMON-Tools-Angriff macht deutlich: Unternehmen benötigen heute nicht nur Sicherheitslösungen, sondern vor allem die Fähigkeit, Bedrohungsinformationen schnell zu vernetzen, zu analysieren und daraus konkrete Maßnahmen abzuleiten.