Kostenloser IT-Notfall-Service bei Hackerangriffen
Mai 2026
Immer häufiger werden Privatpersonen Opfer von Schadsoftware, Ransomware oder Hackerangriffen.
Oft erscheinen plötzlich Zahlungsaufforderungen und wichtige Daten sind nicht mehr erreichbar.
Die ITNSS Systemhaus AG möchte helfen.
Wir unterstützen Betroffene kostenlos bei:
Analyse gehackter oder verschlüsselter Systeme
Datenrettung & Wiederherstellung
Prüfung auf Schadsoftware
Technischer Dokumentation für Polizei oder Versicherung
Nachvollziehbarkeit von Angriffen, soweit technisch möglich
Wichtig:
Bitte zahlen Sie nicht vorschnell Lösegeld an Cyberkriminelle.
02822 / 977141
info@itnss-systemhaus.de
Unterstützung im Kreis Kleve, Niederrhein und deutschlandweit per Fernwartung.
IT-Ausfälle vermeiden – professionelle IT-Betreuung für Unternehmen im Kreis Kleve
Mai 2026
Moderne Unternehmen sind heute stärker denn je auf eine stabile und sichere IT-Infrastruktur angewiesen. Schon kleine Probleme können zu Ausfällen, Datenverlusten oder langen Unterbrechungen im Arbeitsalltag führen.
Viele IT-Probleme kündigen sich frühzeitig an – beispielsweise durch langsame Systeme, fehlerhafte Backups, überlastete Server oder Sicherheitswarnungen.
Mit professioneller Überwachung und regelmäßiger Wartung lassen sich viele Störungen vermeiden, bevor sie kritisch werden.
Die ITNSS Systemhaus AG unterstützt Unternehmen in Emmerich am Rhein, Kleve und am gesamten Niederrhein mit:
✔ Managed IT Services
✔ Monitoring & Frühwarnsystemen
✔ Firewall- und Sicherheitslösungen
✔ Backup & Datensicherung
✔ Server- und Netzwerkbetreuung
✔ 24/7 IT-Notdienst
Unser Ziel: zuverlässige, sichere und stabile IT-Systeme für Unternehmen jeder Größe.
Sie möchten Ihre IT-Infrastruktur modernisieren oder Ausfälle vermeiden?
Wir beraten Sie gerne persönlich.
ITNSS Systemhaus AG
📍 Emmerich am Rhein | Kleve | Niederrhein
📞 02822/977141
🌐 www.itnss-systemhaus.de
Welt-Passwort-Tag: Warum Passwörter allein nicht mehr ausreichen
Der Welt-Passwort-Tag macht jedes Jahr darauf aufmerksam, wie wichtig sichere Zugangsdaten für Unternehmen und private Nutzer sind. Noch immer gehören einfache Passwörter, mehrfach verwendete Zugangsdaten oder fehlende Zusatzabsicherungen zu den größten Sicherheitsrisiken.
Klassische Passwörter sollten heute mindestens lang, eindeutig und für jeden Dienst unterschiedlich sein. In der Praxis ist das ohne Hilfsmittel kaum noch zuverlässig umsetzbar. Deshalb empfiehlt sich der Einsatz eines Passwort-Managers, der sichere Passwörter erzeugt und verwaltet.
Noch wichtiger ist die Aktivierung einer Mehr-Faktor-Authentifizierung. Dabei reicht ein Passwort allein nicht mehr aus. Zusätzlich wird zum Beispiel ein Code aus einer Authenticator-App oder eine Freigabe auf einem vertrauenswürdigen Gerät benötigt. SMS oder E-Mail als zweiter Faktor sind möglich, gelten jedoch als schwächere Varianten.
Eine moderne Alternative sind sogenannte Passkeys. Sie ersetzen klassische Passwörter durch kryptografische Verfahren. Dadurch müssen keine Passwörter mehr eingegeben oder gemerkt werden. Laut heise bieten inzwischen immer mehr Unternehmen Passkeys für den sicheren Zugriff auf Online-Konten an. Auch zahlreiche Passwort-Manager unterstützen diese Technik bereits.
Für Unternehmen ist jetzt ein guter Zeitpunkt, die eigene Passwort- und Zugriffssicherheit zu überprüfen. Dazu gehören klare Passwortrichtlinien, MFA für wichtige Dienste, sichere Administrator-Konten, regelmäßige Schulungen der Mitarbeiter und ein durchdachtes Notfallkonzept bei kompromittierten Zugangsdaten.
Die ITNSS Systemhaus AG unterstützt Unternehmen im Kreis Kleve, in Emmerich am Rhein, am Niederrhein und deutschlandweit bei der Einführung sicherer Passwortkonzepte, Mehr-Faktor-Authentifizierung, Microsoft-365-Sicherheit, Firewall-Lösungen und Managed IT Services.
Sprechen Sie uns gerne an – wir prüfen gemeinsam, wie sicher Ihre Zugänge wirklich sind.
Aktuelle IT-Sicherheitsmeldungen: Windows, Linux, Fortinet und Citrix im Fokus
Mai 2026
Die IT-Sicherheitslage bleibt angespannt. Im Mai 2026 stehen besonders Windows-Umgebungen, Linux-Server, VPN-Gateways, Firewalls und zentrale Managementsysteme im Fokus. Viele Schwachstellen werden heute sehr schnell nach Bekanntwerden aktiv ausgenutzt. Unternehmen sollten deshalb Updates, Patchmanagement und Monitoring nicht aufschieben.
Windows- und Server-Systeme regelmäßig aktualisieren
Der Microsoft Patchday bringt regelmäßig wichtige Sicherheitsupdates für Windows, Office, Serverdienste und weitere Microsoft-Produkte. Besonders kritisch sind Windows-Server, Terminalserver, Domain Controller sowie Exchange- und SharePoint-Systeme. Updates sollten kontrolliert getestet, aber bei kritischen Lücken zeitnah installiert werden.
Linux-Server und öffentlich erreichbare Systeme prüfen
Auch Linux-Systeme sind regelmäßig von sicherheitsrelevanten Schwachstellen betroffen. Besonders Webserver, Hosting-Systeme, Monitoring-Server und Administrationssysteme sollten aktuell gehalten werden. Systeme mit Internetzugang, VPN-Zugänge und Firewalls benötigen dabei besondere Aufmerksamkeit.
Fortinet, Citrix und VPN-Gateways im Blick behalten
Firewalls, VPN-Systeme und Gateway-Lösungen wie Fortinet oder Citrix NetScaler sind attraktive Ziele für Angreifer. Da diese Systeme häufig direkt aus dem Internet erreichbar sind, sollten Patchstand, Logdateien und verdächtige Anmeldeversuche regelmäßig kontrolliert werden.
Unsere Empfehlung
Unternehmen sollten ihre IT-Systeme regelmäßig auf bekannte Schwachstellen prüfen lassen. Wichtig sind ein sauber dokumentiertes Patchmanagement, aktuelle Backups, funktionierende Wiederherstellungstests und eine laufende Überwachung kritischer Systeme.
Die ITNSS Systemhaus AG unterstützt Unternehmen bei der Absicherung, Wartung und Überwachung ihrer IT-Infrastruktur – von Servern und Netzwerken über Firewalls und Cloud-Dienste bis hin zu IT-Support und Notfallhilfe.
Sie möchten wissen, ob Ihre IT-Systeme ausreichend geschützt sind? Sprechen Sie uns gerne an. Wir prüfen Ihre Umgebung und zeigen konkrete Verbesserungsmöglichkeiten auf.
Wichtige Information für Inhaber von .de-Domains
Mai 2026
Die DENIC, die zentrale Registrierungsstelle für alle .de-Domains in Deutschland, startet aktuell eine Verifizierung von Domaininhaberdaten.
Hintergrund sind neue gesetzliche Vorgaben im Rahmen der NIS-2-Richtlinie zur Verbesserung der IT-Sicherheit. 
Viele Domaininhaber erhalten derzeit E-Mails mit der Aufforderung, ihre hinterlegten Kontaktdaten zu überprüfen und zu bestätigen.
Dabei handelt es sich laut aktuellen Informationen nicht um Phishing, sondern um eine offizielle Sicherheitsmaßnahme der DENIC. 
Was bedeutet das für Unternehmen?
Betroffen sind insbesondere Betreiber von .de-Domains.
Wichtig ist dabei:
* Hinterlegte Inhaberdaten müssen korrekt und aktuell sein
* E-Mail-Adressen und Kontaktdaten können überprüft werden
* Fehlende oder falsche Angaben können langfristig zu Einschränkungen oder Deaktivierungen von Domains führen
* Unternehmen sollten eingehende Verifizierungs-E-Mails sorgfältig prüfen und nicht ignorieren
Empfehlung von ITNSS Systemhaus AG
Wir empfehlen allen Kunden:
✔ Domain-Kontaktdaten überprüfen
✔ Auf offizielle Verifizierungs-E-Mails achten
✔ Keine unbekannten Links ungeprüft öffnen
✔ Bei Unsicherheiten Rücksprache mit dem IT- oder Hosting-Partner halten
Gerne unterstützen wir bei der Prüfung ihrer Domain- und DNS-Konfigurationen sowie bei Fragen rund um DENIC, DNSSEC und NIS-2-Anforderungen.
#ITSecurity #DENIC #Domains #NIS2 #DNS #CyberSecurity #ITNSS #ITService #ITSupport #Hosting #Domainverwaltung #ITSecurityGermany
Mai 2026
Malware-Angriff auf DigiCert: Warum Codesigning-Zertifikate für Unternehmen ein Sicherheitsrisiko werden können
Ein aktueller Sicherheitsvorfall bei DigiCert zeigt erneut, wie gefährlich kompromittierte Vertrauensketten in der IT-Sicherheit sein können. Nach einem Malware-Angriff auf Kundendienstmitarbeiter des Zertifizierungsanbieters sollen Angreifer Zugriff auf ein geschütztes Kundenportal erhalten und mehrere Codesigning-Zertifikate missbraucht haben. Mit solchen Zertifikaten kann Software digital signiert werden, damit sie für Betriebssysteme und Sicherheitslösungen vertrauenswürdiger erscheint. Genau das macht den Vorfall für Unternehmen besonders relevant.
Codesigning-Zertifikate dienen eigentlich dazu, die Herkunft und Integrität von Software zu bestätigen. Anwender und Systeme sollen dadurch erkennen können, ob ein Programm von einem legitimen Herausgeber stammt und nachträglich nicht verändert wurde. Werden solche Zertifikate jedoch von Kriminellen missbraucht, kann Schadsoftware professioneller und vertrauenswürdiger wirken. Sicherheitsmechanismen wie Windows SmartScreen oder andere Schutzsysteme können dadurch unter Umständen schwerer zwischen legitimer Software und gefährlicher Malware unterscheiden.
Nach Angaben aus dem Bericht wurden zunächst Rechner von DigiCert-Mitarbeitern kompromittiert. Über diesen Weg konnten die Angreifer offenbar Funktionen nutzen, mit denen Kundenzugänge im DigiCert-Portal simuliert werden konnten. Anschließend wurden Zertifikate abgerufen und für die Signierung von Malware eingesetzt. DigiCert habe daraufhin betroffene Zertifikate zurückgezogen und weitere verdächtige Vorgänge untersucht.
Der Fall zeigt deutlich: IT-Sicherheit endet nicht bei Firewalls, Antivirenlösungen oder Backups. Auch Prozesse rund um Identitäten, Zertifikate, Benutzerrechte und Support-Zugänge müssen konsequent abgesichert werden. Gerade privilegierte Zugänge, interne Verwaltungsportale und Supportsysteme stellen für Angreifer attraktive Ziele dar, da sie im Erfolgsfall Zugriff auf besonders sensible Funktionen ermöglichen.
Für Unternehmen bedeutet das: Digitale Zertifikate sollten aktiv überwacht, sauber dokumentiert und regelmäßig geprüft werden. Dazu gehören unter anderem eine klare Übersicht über eingesetzte Zertifikate, definierte Verantwortlichkeiten, kurze Reaktionswege bei Auffälligkeiten und ein Konzept zur schnellen Sperrung oder Erneuerung kompromittierter Zertifikate. Ebenso wichtig sind Endpoint-Schutz, Mehr-Faktor-Authentifizierung, Rechtebegrenzung und eine kontinuierliche Überwachung administrativer Systeme.
Besonders kritisch ist der Vorfall, weil er das Vertrauen in signierte Software betrifft. Viele Unternehmen verlassen sich bei der Softwareverteilung, bei Updates und bei internen Anwendungen auf digitale Signaturen. Wird diese Vertrauensebene missbraucht, kann Schadsoftware leichter in professionelle IT-Umgebungen gelangen.
Empfehlung für Unternehmen
Unternehmen sollten den Vorfall zum Anlass nehmen, ihre eigenen Sicherheitsprozesse zu überprüfen. Wichtig sind insbesondere:
Prüfung aller eingesetzten Codesigning-, TLS- und internen Zertifikate
Kontrolle, welche Systeme und Personen Zugriff auf Zertifikate und Schlüsselmaterial haben
Einsatz von Mehr-Faktor-Authentifizierung für administrative Portale
Überwachung verdächtiger Softwareausführungen trotz gültiger Signatur
Regelmäßige Sicherheitsupdates auf Clients, Servern und Administrationssystemen
Klare Notfallprozesse für kompromittierte Zertifikate oder verdächtige Signaturen
Der Vorfall macht deutlich, dass moderne Cyberangriffe zunehmend auf Vertrauensmechanismen abzielen. Unternehmen sollten daher nicht nur einzelne Systeme absichern, sondern ihre gesamte Sicherheitsarchitektur regelmäßig überprüfen.
April 2026
Kritische cPanel-Schwachstelle: Warum Hosting-Systeme jetzt dringend geprüft werden müssen
Eine neu bekannt gewordene Schwachstelle in cPanel und WHM zeigt erneut, wie kritisch öffentlich erreichbare Administrationsoberflächen für Hosting-Umgebungen sind. Die Schwachstelle CVE-2026-41940 ermöglicht Angreifern unter bestimmten Voraussetzungen einen unbefugten Zugriff auf Verwaltungsbereiche von cPanel- und WHM-Systemen.
Besonders relevant ist der Fall, weil die Schwachstelle bereits aktiv ausgenutzt wird. Sicherheitsberichte zeigen, dass Angreifer kompromittierte Systeme nutzen, um Webseiten zu verschlüsseln und Ransomware auszurollen. Betroffen sind vor allem Hosting-Server, auf denen cPanel oder WHM zur Verwaltung von Webseiten, E-Mail-Konten, Datenbanken und Serverdiensten eingesetzt wird.
Für Unternehmen und Hoster bedeutet dies: Systeme sollten umgehend auf verfügbare Updates geprüft werden. Zusätzlich sollten Administratoren kontrollieren, ob ungewöhnliche Logins, neue Benutzerkonten, veränderte Dateien oder unbekannte Prozesse vorhanden sind. Eine reine Installation des Updates reicht nicht aus, wenn das System bereits vor der Aktualisierung kompromittiert wurde.
Empfohlen wird eine vollständige Prüfung der Serverprotokolle, insbesondere der Zugriffe auf WHM, cPanel, SSH und Webserver-Logs. Auch Backups sollten auf Integrität geprüft werden. Wichtig ist dabei, dass Sicherungen offline oder zumindest unveränderbar vorgehalten werden, damit sie im Fall einer Verschlüsselung nicht ebenfalls betroffen sind.
Der Vorfall zeigt deutlich, dass Hosting-Infrastrukturen nicht nur regelmäßig aktualisiert, sondern auch aktiv überwacht werden müssen. Gerade bei Systemen mit Kundenwebseiten, E-Mail-Diensten und produktiven Datenbanken kann eine kompromittierte Administrationsoberfläche erhebliche wirtschaftliche Folgen haben.
April 2026
Quellcode-Zugriff bei Sicherheitsanbieter Trellix: Warum Repository-Sicherheit geschäftskritisch ist
Der bestätigte Sicherheitsvorfall beim Cybersecurity-Anbieter Trellix zeigt, dass selbst Unternehmen aus der Sicherheitsbranche Ziel erfolgreicher Angriffe werden können. Nach aktuellen Informationen hatten Unbefugte Zugriff auf einen Teil des Quellcodes. Hinweise darauf, dass der Quellcode manipuliert oder der Release-Prozess kompromittiert wurde, liegen bislang nicht vor.
Trotzdem ist ein solcher Vorfall sicherheitstechnisch relevant. Quellcode enthält nicht nur Programmlogik, sondern kann auch Hinweise auf Architektur, interne Abläufe, Bibliotheken, Abhängigkeiten oder potenzielle Schwachstellen enthalten. Selbst wenn keine direkten Zugangsdaten enthalten sind, kann ein Angreifer aus Quellcode wertvolle Informationen für spätere Angriffe gewinnen.
Für Unternehmen ist der Vorfall ein wichtiger Anlass, die eigene Repository-Sicherheit zu überprüfen. Dazu gehören Multi-Faktor-Authentifizierung für Entwicklerkonten, strikte Rechtevergabe, Protokollierung aller Zugriffe, verpflichtende Code-Reviews und die Trennung von Entwicklungs-, Test- und Produktionsumgebungen.
Besonders wichtig ist außerdem die Kontrolle von Secrets. Zugangsdaten, API-Schlüssel, Zertifikate oder Tokens dürfen nicht im Quellcode abgelegt werden. Unternehmen sollten automatisierte Secret-Scans einsetzen und prüfen, ob historische Commits sensible Informationen enthalten.
Auch Software-Lieferketten müssen stärker betrachtet werden. Viele Angriffe zielen nicht direkt auf produktive Systeme, sondern auf Entwicklungsumgebungen, Build-Prozesse und CI/CD-Pipelines. Wer dort Zugriff erhält, kann unter Umständen manipulierte Software in legitime Update-Kanäle einschleusen.
Der Trellix-Vorfall zeigt, dass Quellcode-Verwaltung ein zentraler Bestandteil der IT-Sicherheitsstrategie sein muss. Repository-Sicherheit ist nicht nur ein Entwicklerthema, sondern betrifft unmittelbar die Integrität von Software, Updates und vertrauenswürdigen Lieferketten.
April 2026
Aktive Linux-Schwachstelle: Lokale Rechteausweitung auf Root erfordert schnelle Reaktion
Eine aktuell aktiv ausgenutzte Schwachstelle im Linux-Kernel macht deutlich, wie wichtig ein konsequentes Patch-Management auch bei internen Systemen ist. Die Schwachstelle CVE-2026-31431 kann es einem Angreifer ermöglichen, aus einem eingeschränkten Benutzerkontext heraus Root-Rechte zu erlangen.
Besonders kritisch ist diese Art von Schwachstelle, weil sie häufig in Kombination mit anderen Angriffen genutzt wird. Ein Angreifer benötigt zunächst zwar lokalen Zugriff oder einen bereits kompromittierten Dienst, kann danach aber seine Rechte auf dem System ausweiten. Dadurch wird aus einem zunächst begrenzten Zugriff schnell eine vollständige Systemkompromittierung.
Relevanz besteht insbesondere für Linux-Server, Container-Hosts, Virtualisierungsumgebungen und Systeme, auf denen mehrere Dienste oder Benutzerkontexte parallel betrieben werden. Auch in Cloud- und Hosting-Umgebungen kann eine lokale Rechteausweitung erhebliche Auswirkungen haben, wenn Angreifer aus einem Dienstkontext in den Kernel- oder Root-Bereich gelangen.
Administratoren sollten zeitnah prüfen, ob ihre eingesetzten Distributionen Sicherheitsupdates bereitgestellt haben. Neben klassischen Servern sollten auch Container-Hosts, Appliances, Monitoring-Systeme, Backup-Server und intern betriebene Linux-Systeme berücksichtigt werden. Häufig werden gerade diese Systeme im Patch-Management übersehen.
Falls ein sofortiges Update nicht möglich ist, sollten zusätzliche Schutzmaßnahmen umgesetzt werden. Dazu gehören Netzwerksegmentierung, Einschränkung von Shell-Zugriffen, Härtung von Container-Umgebungen, Monitoring auf verdächtige Prozesse sowie eine genaue Prüfung privilegierter Benutzerkonten.
Der Vorfall unterstreicht, dass Sicherheitsupdates auf Betriebssystemebene nicht aufgeschoben werden sollten. Gerade Kernel-Schwachstellen gehören zu den Risiken, die Angreifer bevorzugt nutzen, um aus einem ersten Zugriff eine vollständige Kontrolle über Systeme zu gewinnen.
April 2026
Vishing, SSO und SaaS: Moderne Angriffe umgehen klassische Schutzmaßnahmen
Aktuelle Angriffskampagnen zeigen eine deutliche Verschiebung im Vorgehen professioneller Cybercrime-Gruppen. Statt klassische Malware auf Endgeräten auszuführen, greifen Angreifer zunehmend Identitäten, Single-Sign-On-Systeme und SaaS-Plattformen an. Besonders häufig wird dabei Voice-Phishing, also telefonisches Social Engineering, eingesetzt.
Bei diesen Angriffen geben sich Täter beispielsweise als interne IT-Mitarbeiter oder Helpdesk aus. Ziel ist es, Benutzer auf gefälschte SSO-Anmeldeseiten zu lenken und dort Zugangsdaten sowie MFA-Informationen abzugreifen. Nach erfolgreicher Anmeldung bewegen sich die Angreifer innerhalb legitimer Cloud- und SaaS-Dienste. Dadurch entstehen deutlich weniger klassische Malware-Spuren auf Endgeräten.
Besonders kritisch ist der Missbrauch von SSO-Strukturen. Wenn ein Angreifer Zugriff auf das zentrale Identitätskonto erhält, kann er häufig auf mehrere angebundene Anwendungen zugreifen. Dazu gehören unter anderem Microsoft 365, SharePoint, Google Workspace, Salesforce, HubSpot oder andere geschäftskritische Plattformen.
Die Angriffe sind oft sehr schnell. Nach der Kompromittierung werden interne Verzeichnisse durchsucht, privilegierte Benutzer identifiziert, MFA-Geräte registriert oder Benachrichtigungen unterdrückt. Anschließend werden vertrauliche Dokumente, Kundendaten, Berichte oder interne Geschäftsinformationen exfiltriert. Häufig folgt danach eine Erpressung ohne klassische Ransomware-Verschlüsselung.
Für Unternehmen bedeutet dies, dass klassische Schutzmaßnahmen wie Antivirus allein nicht mehr ausreichen. Entscheidend sind Identitätsschutz, Conditional Access, starke MFA-Verfahren, Protokollierung von SaaS-Aktivitäten, Erkennung ungewöhnlicher Logins und Schulung der Mitarbeiter gegen telefonische Manipulation.
Empfohlen wird außerdem, neue MFA-Registrierungen, Änderungen an Inbox-Regeln, ungewöhnliche Downloads, Zugriffe aus neuen Ländern und privilegierte SaaS-Aktivitäten aktiv zu überwachen. Gerade Microsoft 365 und andere Cloud-Dienste sollten nicht nur administriert, sondern sicherheitstechnisch kontinuierlich analysiert werden.
Der Trend zeigt: Moderne Angriffe konzentrieren sich zunehmend auf Identitäten statt auf Geräte. Wer seine SSO- und SaaS-Umgebung nicht überwacht, riskiert Datenabfluss, Erpressung und langfristige unentdeckte Zugriffe.
April 2026
Angriffe auf Exchange und IIS: Warum alte Schwachstellen weiterhin ein erhebliches Risiko darstellen
Aktuelle Sicherheitsberichte zeigen erneut, dass bekannte Schwachstellen in Microsoft Exchange und Internet Information Services weiterhin aktiv für gezielte Angriffe genutzt werden. Angreifer setzen dabei nicht zwingend auf neue Zero-Day-Schwachstellen, sondern häufig auf bereits bekannte Sicherheitslücken, die in Unternehmen noch nicht vollständig geschlossen wurden.
Im aktuellen Fall wurden internetexponierte Exchange- und IIS-Systeme angegriffen. Nach erfolgreicher Ausnutzung platzieren die Angreifer Webshells, um dauerhaft Zugriff auf die Systeme zu behalten. Anschließend können weitere Werkzeuge nachgeladen, interne Systeme ausgespäht und Zugangsdaten gesammelt werden.
Für IT-Abteilungen ist dies besonders relevant, weil Exchange-Server häufig tief in die Unternehmensinfrastruktur integriert sind. Sie besitzen Zugriff auf E-Mail-Kommunikation, Adressbücher, Authentifizierungsdienste und teilweise interne Schnittstellen. Ein kompromittierter Exchange-Server kann daher als Ausgangspunkt für weiterführende Angriffe auf das gesamte Netzwerk dienen.
Unternehmen sollten deshalb nicht nur prüfen, ob aktuelle Sicherheitsupdates installiert sind. Ebenso wichtig ist die Kontrolle auf bereits erfolgte Kompromittierungen. Dazu gehören die Prüfung verdächtiger Dateien in Webverzeichnissen, ungewöhnliche PowerShell-Ausführungen, unbekannte geplante Tasks, neue Benutzerkonten, auffällige Anmeldeereignisse und verdächtige ausgehende Verbindungen.
Besonders gefährlich sind Systeme, die zwar nachträglich gepatcht wurden, aber bereits vorher kompromittiert waren. Ein Patch entfernt nicht automatisch Webshells, Backdoors oder gestohlene Zugangsdaten. Daher sollte bei kritischen Schwachstellen immer eine forensische Mindestprüfung erfolgen.
Der Fall zeigt klar: Patch-Management, Härtung und Kompromittierungsprüfung gehören zusammen. Gerade öffentlich erreichbare Dienste wie Exchange, IIS, VPN-Gateways und Remote-Zugänge müssen dauerhaft überwacht und regelmäßig sicherheitstechnisch überprüft werden.
Malware-Angriff auf DigiCert: Warum Codesigning-Zertifikate für Unternehmen ein Sicherheitsrisiko werden können
Ein aktueller Sicherheitsvorfall bei DigiCert zeigt erneut, wie gefährlich kompromittierte Vertrauensketten in der IT-Sicherheit sein können. Nach einem Malware-Angriff auf Kundendienstmitarbeiter des Zertifizierungsanbieters sollen Angreifer Zugriff auf ein geschütztes Kundenportal erhalten und mehrere Codesigning-Zertifikate missbraucht haben. Mit solchen Zertifikaten kann Software digital signiert werden, damit sie für Betriebssysteme und Sicherheitslösungen vertrauenswürdiger erscheint. Genau das macht den Vorfall für Unternehmen besonders relevant.
Codesigning-Zertifikate dienen eigentlich dazu, die Herkunft und Integrität von Software zu bestätigen. Anwender und Systeme sollen dadurch erkennen können, ob ein Programm von einem legitimen Herausgeber stammt und nachträglich nicht verändert wurde. Werden solche Zertifikate jedoch von Kriminellen missbraucht, kann Schadsoftware professioneller und vertrauenswürdiger wirken. Sicherheitsmechanismen wie Windows SmartScreen oder andere Schutzsysteme können dadurch unter Umständen schwerer zwischen legitimer Software und gefährlicher Malware unterscheiden.
Nach Angaben aus dem Bericht wurden zunächst Rechner von DigiCert-Mitarbeitern kompromittiert. Über diesen Weg konnten die Angreifer offenbar Funktionen nutzen, mit denen Kundenzugänge im DigiCert-Portal simuliert werden konnten. Anschließend wurden Zertifikate abgerufen und für die Signierung von Malware eingesetzt. DigiCert habe daraufhin betroffene Zertifikate zurückgezogen und weitere verdächtige Vorgänge untersucht.
Der Fall zeigt deutlich: IT-Sicherheit endet nicht bei Firewalls, Antivirenlösungen oder Backups. Auch Prozesse rund um Identitäten, Zertifikate, Benutzerrechte und Support-Zugänge müssen konsequent abgesichert werden. Gerade privilegierte Zugänge, interne Verwaltungsportale und Supportsysteme stellen für Angreifer attraktive Ziele dar, da sie im Erfolgsfall Zugriff auf besonders sensible Funktionen ermöglichen.
Für Unternehmen bedeutet das: Digitale Zertifikate sollten aktiv überwacht, sauber dokumentiert und regelmäßig geprüft werden. Dazu gehören unter anderem eine klare Übersicht über eingesetzte Zertifikate, definierte Verantwortlichkeiten, kurze Reaktionswege bei Auffälligkeiten und ein Konzept zur schnellen Sperrung oder Erneuerung kompromittierter Zertifikate. Ebenso wichtig sind Endpoint-Schutz, Mehr-Faktor-Authentifizierung, Rechtebegrenzung und eine kontinuierliche Überwachung administrativer Systeme.
Besonders kritisch ist der Vorfall, weil er das Vertrauen in signierte Software betrifft. Viele Unternehmen verlassen sich bei der Softwareverteilung, bei Updates und bei internen Anwendungen auf digitale Signaturen. Wird diese Vertrauensebene missbraucht, kann Schadsoftware leichter in professionelle IT-Umgebungen gelangen.
Empfehlung für Unternehmen
Unternehmen sollten den Vorfall zum Anlass nehmen, ihre eigenen Sicherheitsprozesse zu überprüfen. Wichtig sind insbesondere:
Prüfung aller eingesetzten Codesigning-, TLS- und internen Zertifikate
Kontrolle, welche Systeme und Personen Zugriff auf Zertifikate und Schlüsselmaterial haben
Einsatz von Mehr-Faktor-Authentifizierung für administrative Portale
Überwachung verdächtiger Softwareausführungen trotz gültiger Signatur
Regelmäßige Sicherheitsupdates auf Clients, Servern und Administrationssystemen
Klare Notfallprozesse für kompromittierte Zertifikate oder verdächtige Signaturen
Der Vorfall macht deutlich, dass moderne Cyberangriffe zunehmend auf Vertrauensmechanismen abzielen. Unternehmen sollten daher nicht nur einzelne Systeme absichern, sondern ihre gesamte Sicherheitsarchitektur regelmäßig überprüfen.
Aktuelle IT News, Cybersecurity Meldungen und Technik Informationen für Unternehmen im Kreis Kleve und Niederrhein.