Barracuda full logo

Malware-Kurzbericht: Wenn die Lieferkette zur Angriffsfläche wird

Themen:
5. März. 2026
|
Tony Burgess

Wie Angriffe auf die Software-Lieferkette die Sicherheitsgrenzen von Unternehmen neu definieren

Die wichtigsten Erkenntnisse

  • Angriffe auf die Software-Lieferkette ermöglichen es Angreifern, Tausende von Organisationen gleichzeitig zu kompromittieren, indem sie vertrauenswürdige Anbieter, Entwickler oder Softwareabhängigkeiten ins Visier nehmen.
  • Im Jahr 2025 konzentrierten sich Angreifer zunehmend auf Entwicklerzugangsdaten, Quellcode-Repositories und Open-Source-Maintainer.
  • Diese Angriffe umgehen oft herkömmliche Sicherheitskontrollen häufig, da der Schadcode über legitime Updates und Tools eingeschleust wird.
  • Die Abwehr von Lieferkettenrisiken erfordert Transparenz, Widerstandsfähigkeit und schnellere Erkennung, nicht nur Perimetersicherheit.

Lange Zeit konzentrierten sich die Verteidiger darauf, den Perimeter zu verstärken: Systeme patchen, Benutzer schulen, Endpunkte absichern. Da sich die Bedrohungen der Lieferkette jedoch vervielfachen, umgehen Angreifer zunehmend die Perimeterverteidigung und dringen direkt über vertrauenswürdige Software, Dienste und Abhängigkeiten ein.

Genau das macht Angriffe auf die Softwarelieferkette so effektiv. Anstatt ein Unternehmen nach dem anderen zu gefährden, zielen Bedrohungsakteure auf einen einzelnen Anbieter, Entwicklerkonto oder ein Build-System ab und lassen den Vertrauensvorschuss den Rest der Arbeit für sie erledigen.

In diesem Malware-Kurzbericht betrachten wir drei aktuelle, groß angelegte Cyberangriffe auf Lieferketten, die veranschaulichen, wie fragil moderne Software-Ökosysteme geworden sind.

F5 BIG – IP-Quellcode-Diebstahl

Im Jahr 2025 drang eine mit China in Verbindung stehende Bedrohungsgruppe namens UNC5221 in die Entwicklungsumgebung von F5 Networks ein und stahl Quellcode, der mit der weit verbreiteten BIG-IP-Plattform von F5 Networks zusammenhängt.

Im Gegensatz zur Ransomware-Angriffe, die auf schnelle Angriffe setzte, konzentrierte sich diese Operation auf langfristigen strategischen Wert. Durch das Auslesen des Quellcodes erlangten die Angreifer tiefe Einblicke in die Funktionsweise eines kritischen Unternehmensprodukts und konnten diese Erkenntnisse nutzen, um bisher unbekannte Schwachstellen zu entdecken oder zukünftige Exploits zu entwickeln.

Momentaufnahme des Angriffs:

  • Erster Zugriffsweg: Kompromittierung der Entwicklungsumgebung von F5 (genaue Angriffsmethode nicht öffentlich bekannt)
  • Was gestohlen wurde: Der Quellcode von BIG-IP, einschließlich sensibler Logik und Konfigurationsdetails.
  • Art des Angriffs: Quellcode-Diebstahl, der eine zukünftige Ausnutzung ermöglicht.
  • Mögliche Auswirkungen: Erhöhtes langfristiges Risiko für Organisationen, die BIG-IP-Systeme betreiben, aufgrund erhöhter Transparenz für die Angreifer

Warum das wichtig ist:
Der Diebstahl von Quellcode führt nicht immer zu unmittelbaren Zwischenfällen, aber er schafft ein dauerhaftes Ungleichgewicht. Angreifer erlangen Wissen, von dem die Verteidiger nichts wissen, und schaffen so die Voraussetzungen für leisere und gezieltere Angriffe in der Zukunft.

NPM-Maintainer-Entführung: Vergiftung von Open-Source in großem Maßstab

Im September 2025 wurden Open-Source-Ökosysteme angegriffen, als Angreifer 18 beliebte NPM-Pakete durch Phishing-Kampagnen kaperten, indem sie die Konten der Betreuer kompromittierten.

Das waren keine versteckten Bibliotheken. Die betroffenen Pakete wurden wöchentlich milliardenfach heruntergeladen. Das bedeutet, dass ein einziges kompromittiertes Maintainer-Konto das Potenzial hatte, sich fast sofort auf Unternehmen aller Branchen auszuwirken.

Momentaufnahme des Angriffs:

  • Erster Zugriffsvektor: Phishing-Angriffe auf NPM-Paketbetreuer
  • Was wurde kompromittiert: Zugangsdaten von Maintainer für 18 weit verbreitete NPM-Pakete
  • Art der Malware: Bösartiger Code, der in vertrauenswürdige Open-Source-Bibliotheken eingeschleust wird
  • Geschätzte Reichweite: Pakete werden insgesamt Milliarden Mal pro Woche heruntergeladen

Warum es wichtig ist:
Open Source beschleunigt die Entwicklung, kann aber auch Risiken konzentrieren. Wenn Angreifer eine vertrauenswürdige Bibliothek kompromittieren, geht damit das Vertrauen aller Entwickler und Organisationen einher, die davon abhängig sind.

S1ngularity GitHub-Lieferkette: Angriff auf das Vertrauen der Entwickler

Im November 2025 erschütterte der S1ngularity-Angriff auf die Lieferkette die Open-Source-Community, als Bedrohungsakteure mehrere hochkarätige GitHub-Repositories kompromittierten. Durch die Ausnutzung von Schwachstellen in den Repository-Berechtigungen und gezieltes Social Engineering von Entwicklern schleusten Angreifer bösartigen Code in weit verbreitete Projekte ein. Dadurch konnten sie nicht nur auf den Quellcode zugreifen, sondern auch auf die Build-Pipelines, die Freigabeprozesse und die Bereitstellungsartefakte, was das Risiko für die nachgelagerten Verbraucher vergrößerte.

Der Vorfall verdeutlicht die Schwachstellen von Software-Lieferketten, insbesondere wenn vertrauenswürdige Entwicklerkonten und Automatisierungstools ins Visier genommen werden. Unternehmen, die sich auf diese kompromittierten Repositories verlassen, sind potenziell der Gefahr von Hintertüren, dem Diebstahl von Zugangsdaten und der Manipulation von Daten ausgesetzt, was verdeutlicht, wie schnell sich ein Angriff auf die Lieferkette branchen- und länderübergreifend ausbreiten kann.

  • Erster Zugriffsvektor: Kompromittierte Entwicklerkonten und manipulierte Repository-Berechtigungen
  • Was kompromittiert wurde: Quellcode, Build-Artefakte und Release-Pipelines für große Open-Source-Projekte
  • Art der Schwachstelle: Manipulation der Lieferkette durch Social Engineering und schwache Repository-Kontrollen
  • Geschätzte Reichweite: Tausende von Organisationen und Millionen von Nutzern, die sich auf die betroffenen GitHub-Projekte verlassen.

Warum das wichtig ist: Dieser Angriff verdeutlicht die entscheidende Bedeutung der Sicherung von Entwicklerzugangsdaten, der Durchsetzung strenger Repository-Berechtigungen und der Überwachung automatisierter Build-Systeme. Kontinuierliche Prüfungen und proaktive Bedrohungserkennung sind unerlässlich, um Angriffe auf die Lieferkette zu verhindern, die das Vertrauen in Open-Source-Projekte untergraben und den Betrieb auf globaler Ebene stören können.

Absichern, was man nicht kontrollieren kann.

Angriffe auf die Lieferkette stellen eine besondere Herausforderung dar, da sie auf Systeme und Beziehungen abzielen, die außerhalb Ihrer direkten Kontrolle liegen. Sie können das Risiko für Ihr Unternehmen jedoch reduzieren, indem Sie sich auf Folgendes konzentrieren:

  • Stärkere Kontrollen für den Entwicklerzugriff, einschließlich Multi-Faktor-Authentifizierung (MFA) und Berechtigungen mit geringsten Privilegien
  • Verbesserter Einblick in Abhängigkeiten von Drittanbietern, insbesondere Open-Source-Komponenten
  • Schnellere Erkennung von Anomalien, selbst bei vertrauenswürdigen Tools und Updates
  • Cyber-Resilienz, die Annahme, dass vertrauenswürdige Software ausfallen kann und die Planung einer schnellen Eindämmung und Wiederherstellung

Extended Detection and Response (XDR) kann hier helfen. Dienste wie Barracuda Managed XDR überwachen kontinuierlich Netzwerk-, Endpunkt- und Identitätsaktivitäten, um anomales und bösartiges Verhalten zu identifizieren, einschließlich Bedrohungen, die durch kompromittierte Updates, Entwicklertools oder Drittanbieter-Software auftreten.

Die Angriffe auf die Lieferkette sind da und werde nicht so schnell weggehen. Aber wenn man die Erkennung, Reaktion und Wiederherstellung verbessert, kann man die Auswirkungen deutlich im Zaum halten.

Erfahren Sie mehr über Barracuda Managed XDR
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
 Google-Bericht: Mehr Zero-Day-Schwachstellen, die Unternehmen betreffen
Google-Bericht: Mehr Zero-Day-Schwachstellen, die Unternehmen betreffen
 Der Notepad++-Angriff und neue Risiken in der Lieferkette
Der Notepad++-Angriff und neue Risiken in der Lieferkette
 Sandworm: Russlands globale Infrastruktur-Abrissmannschaft
Sandworm: Russlands globale Infrastruktur-Abrissmannschaft
Den Blog durchsuchen

Bericht über E-Mail-Sicherheitsverletzungen 2025

Wichtige Erkenntnisse über die Erfahrungen mit und Auswirkungen von E-Mail-Sicherheitsverletzungen auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Der MSP Customer Insight Report 2025 

Ein globaler Blick darauf, was Organisationen von ihren Cybersecurity Managed Service Providers benötigen und erwarten.

Zum Report

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.