Einleitung: Die gefährliche Illusion
Viele kleine und mittlere Unternehmen (KMU) gehen davon aus, dass sie sicher sind, solange sie auf bekannte Standardsoftware setzen.
Tools wie Notepad++ oder Microsoft Visual Studio gehören zum Alltag in der Entwicklung – und genießen hohes Vertrauen. Doch genau dieses Vertrauen wird zunehmend ausgenutzt.
Aktuelle Vorfälle zeigen, dass nicht Ihre Systeme das primäre Ziel sind– sondern die Software, der Sie bereits vertrauen.
1. Der Angriff kommt über vertrauenswürdige Tools
Beispiel 1: Notepad++ Auto-Updater verteilt verseuchte Version
In einem aktuellen Fall wurde die offizielle automatische Update-Funktion von Notepad++ missbraucht, um manipulierte Versionen bzw. schadhafte Inhalte zu verbreiten. Angreifer nutzten dabei standardisierte und automatisierte Distributionswege und das Vertrauen der Nutzer.
Das Gefährliche daran:
- Nutzer hielten ihre Software up-to-date wie gewohnt
- keine offensichtlichen Warnsignale
- Schadcode wird „legitim“ ins Unternehmen gebracht
Beispiel 2: Kompromittierte Erweiterungen in Microsoft Visual Studio
Noch kritischer ist der Fall rund um Visual Studio Extensions:
Angreifer haben bösartige Erweiterungen in Umlauf gebracht, die:
- als legitime Tools erscheinen
- großteils echte Funktionalität bieten (durch KI-Programmierung leicht umzusetzen)
- im Hintergrund Daten abgreifen oder Code manipulieren
2. Warum das für KMUs so gefährlich ist
Diese Angriffe umgehen klassische Sicherheitsmechanismen aus folgenden Gründen:
- Firewall-Regeln greifen nicht
- Antivirus erkennt oft nichts
- alles wirkt „normal“
Das Kernproblem:
Vertrauen ersetzt Kontrolle und KMUs sind hier besonders anfällig, weil:
- selten geprüft wird, welche Extensions installiert sind
- keine klare Freigabestrategie für Tools existiert
- Drittsoftware ungeprüft genutzt oder aktualisiert wird
Des Weiteteren fehlen KMUs oft die Informationen über solch Angriffe (mal abgesehen davon, dass man dann eh schon infiziert ist), wodurch Angreifer monatelang in einem Unternehmens-Netzwerk fungieren und so maximalen Schaden anrichten können.
3. Supply Chain Angriffe im Development
Moderne Angriffe zielen darauf ab genau dort anzusetzen, wo Software entsteht, denn Entwickler Workstations und Entwicklungs-Umgebungen bieten eigene spezielle Gefahren, die für Angreifer sehr lukrativ sind.
Ein kompromittiertes Tool kann nämlich in den eisten Fällen:
- Code unbemerkt verändern
- Backdoors einbauen
- sensible Daten exfiltrieren
Das heißt: Sie können als Sprungbrett für Angreifer ausgenutzt werden - Ihre Software wird "infiziert" und so ist Ihre Software nun verantwortlich für den nächsten Supply Chain Angriff bei Ihren Kunden.
4. Die unterschätzte Gefahr: Erweiterungen & Plugins
Gerade Erweiterungen sind ein massives Risiko aufgrund Ihrer Eigenschaften. Sie sind einfach zu installieren und unterliegen oft keiner (strikten) Sicherheitsprüfung - weder von den "Stores" der Hersteller, noch von den Programmen bzw. Betriebssystemen.
Wie in Punkt 3 beschrieben, verändern sie meist den Code, den der Entwickler produziert, dabei hängen sie sich gerne an "commits" an. Das bedeutet, sie sind nicht oder nur schwer im Quellcode ersichtlich wodurch sie durch gängige Sicherheitstools ohne Entdeckung durch kommen.
Ein Entwickler installiert also „mal schnell“ ein Plugin – und öffnet damit potenziell die Tür für einen schwerwiegenden Angriff.
5. Was KMUs jetzt konkret tun sollten
1. Kontrolle über eingesetzte Software zurückgewinnen
- Welche Tools sind im Einsatz?
- Welche Extensions sind installiert?
2. Klare Richtlinien für Software & Plugins
- Whitelisting statt freier Installation
- zentrale Freigabeprozesse
3. Development-Umgebung absichern
- isolierte Build-Systeme
- keine direkten Produktivzugriffe
- minimale Berechtigungen
4. Updates und Quellen prüfen
- nur offizielle Quellen nutzen
- Signaturen validieren
- keine „inoffiziellen Downloads“
- kein blindes "auto-updating"
5. Monitoring & Detection
- ungewöhnliche Aktivitäten erkennen
- Verhalten statt nur Signaturen prüfen
Wissen Sie, welche Software wirklich in Ihrem Unternehmen läuft – und was sie tut?
Wir helfen Ihnen gerne dabei, Risiken in Ihrer Development- und Software-Lieferkette sichtbar zu machen und gezielt abzusichern.