KW 06/2026: Remote-Tools als Angriffsziel
Wenn ich diese Woche die Security-News durchgehe, fällt mir eines auf: Angreifer lieben Remote-Tools. Ob BeyondTrust, SolarWinds oder gleich ganze Telekom-Netze – überall, wo Fernzugriff oder zentrale Administration im Spiel ist, steht plötzlich jemand ungebeten im digitalen Wohnzimmer. Drei Vorfälle, drei unterschiedliche Ebenen – aber ein gemeinsames Muster: Vertrauenssoftware wird zur Schwachstelle.
BeyondTrust: Kritische RCE in Remote-Support-Software
Laut BleepingComputer hat BeyondTrust eine kritische Remote-Code-Execution-Schwachstelle in seinen Produkten *Remote Support (RS)* und *Privileged Remote Access (PRA)* gemeldet. Wer die Software kennt, weiß: Diese Tools ermöglichen es IT-Teams und Managed-Service-Providern, sich sicher und zentral auf Systeme aufzuschalten, häufig mit administrativen Rechten. Genau das macht sie so attraktiv – nicht nur für Admins, sondern auch für Angreifer.
Die Schwachstelle erlaubt es einem nicht authentifizierten Angreifer, beliebigen Code im Kontext der Anwendung auszuführen. Mit anderen Worten: Man braucht keine Zugangsdaten, um volle Kontrolle zu übernehmen. Das ist, als würde jemand durch den Lüftungsschacht in den Serverraum kriechen – an sämtlichen Zugangskontrollen vorbei. BeyondTrust hat bereits Patches veröffentlicht, doch wie immer gilt: Ein Patch ist nur effektiv, wenn er auch eingespielt wird.
Ehrlich gesagt, überrascht mich das leider nicht. Remote-Support-Lösungen sind komplex und erfordern enge Integration in Unternehmensnetzwerke. In meiner Beratungspraxis sehe ich regelmäßig Installationen, die vergessen wurden – „läuft doch, wird nur selten genutzt“. Genau diese Systeme sind das Einfallstor. Gerade MSPs und Unternehmen mit Fernwartungslösungen in der Städteregion Aachen sollten dringend prüfen, ob sie betroffen sind. Aus meiner Sicht ist das Risiko enorm, weil hier nicht irgendein Endpunkt, sondern oft der administrative Nerv des Netzwerks bedroht ist.
SolarWinds Web Help Desk unter Beschuss
Kaum hat man sich vom BeyondTrust-Schreck erholt, kommt die nächste Warnung – diesmal von SolarWinds. Laut BleepingComputer nutzen Angreifer Schwachstellen in *SolarWinds Web Help Desk (WHD)*, um Code auf exponierten Systemen auszuführen. Doch der Clou: Die Angreifer setzen danach legitime DFIR-Tools wie *Velociraptor* ein – also Programme, die normalerweise bei der Forensik helfen sollen. Ein cleverer Trick: Statt Schadcode zu droppen, nutzen sie legale Software, um sich festzusetzen oder Spuren zu verwischen.
Das zeigt zweierlei: Angreifer werden professioneller, und viele Helpdesk-Systeme sind schlicht überexponiert. Web Help Desk läuft oft auf internetzugänglichen Servern, damit externe User Tickets erstellen können. Aber genau das öffnet die Tür. Wenn da jemand ein ungepatchtes System findet, kann er Remote Code ausführen, sich interne Berechtigungen erschleichen und von dort aus breitmachen.
Was ich daran besonders beunruhigend finde, ist der Einsatz legitimer Software. Klassische Virenscanner schlagen da nicht an, SIEM-Systeme sehen „Velociraptor.exe“ und denken: alles gut. Die Ironie: Ein Tool, das eigentlich bei der Aufklärung helfen soll, dient hier dem Angriff. Für Unternehmen in NRW, die SolarWinds-Produkte zur internen ITSM nutzen, gilt: nicht nur patchen, sondern vor allem Netzwerksegmentierung und Application Whitelisting prüfen. Lieber eine Support-Applikation zu viel isolieren als eine Backdoor zu wenig schließen.
Und ja, bevor jemand fragt: SolarWinds sollte nach dem Supply-Chain-Debakel eigentlich gelernt haben. Trotzdem zeigt dieser Fall, dass Angriffsflächen weiter existieren – und dass kein Tool, auch kein WHD, immun ist, wenn es frei im Netz hängt.
Chinesische Cyber-Spione greifen Singapurs Telcos an
Das dritte Thema führt uns nach Asien, bleibt aber im gleichen Muster: Zugangskontrolle und Vertrauen. Die Sicherheitsforscher berichten, dass die chinesische Gruppe UNC3886 die vier größten Telekommunikationsanbieter Singapurs kompromittiert hat – Singtel, StarHub, M1 und Simba. Das ist kein kleiner Fisch. Wenn Telekomkonzerne eines Landes kompromittiert werden, betrifft das nicht nur Kundendaten, sondern potenziell auch Regierungs- und Militärkommunikation.
UNC3886 ist kein Neuling. Die Gruppe wird seit Jahren mit Spionagekampagnen in Verbindung gebracht, die gezielt Netzwerkinfrastruktur angreifen – von Firewalls bis zu Virtualisierungsplattformen. Dass sie sich jetzt auf Telcos konzentrieren, passt ins Bild: Wer das Netz kontrolliert, kontrolliert die Kommunikation. Und das beunruhigt mich mehr als jede einzelne RCE. Denn hier reden wir nicht von klassischer Cyberkriminalität, sondern von staatlich unterstützter Cyberspionage.
Was mich dabei irritiert: Viele dieser Netzbetreiber setzen Security-Features um, die auf Papier perfekt aussehen – aber ein durchdachtes Monitoring und eine echte Trennung kritischer Systeme fehlt oft. Aus meiner Sicht sollte dieser Vorfall auch hierzulande ein Weckruf sein. Die Telekommunikationsinfrastruktur ist das Rückgrat aller digitalen Dienste, auch hier in Aachen. Ein ähnlicher Angriff auf hiesige Provider hätte direkte Auswirkungen auf Industrie, Verwaltung und Gesundheitswesen.
Was jetzt zu tun ist
Alle drei Fälle – BeyondTrust, SolarWinds und UNC3886 – zeigen dasselbe Grundproblem: Vertrauenssoftware ist kein Selbstläufer. Ob Remote-Zugriff, Ticket-System oder ganze Netzarchitektur – sobald jemand von außen zugreifen darf, wird’s gefährlich. Der erste Schritt ist also schlicht, die Angriffsfläche zu kennen. Wenn Sie Remote-Support nutzen, prüfen Sie die Versionen, vergleichen Sie mit den aktuellen Advisories von BeyondTrust, und patchen Sie sofort. Diese Systeme laufen häufig mit Domain-Admin-Berechtigungen – genau darum sind sie so reizvoll.
Bei SolarWinds gilt: Wenn Ihr Web Help Desk von außen erreichbar ist, denken Sie ernsthaft über eine Segmentierung oder Reverse-Proxy-Lösung nach. Patches schließen Lücken, aber die Architektur bestimmt, wie schlimm ein Exploit wird. Angreifer, die DFIR-Tools einsetzen, sind nicht mehr im „Script-Kiddie“-Bereich. Das sind Profis, die ganz genau wissen, wie sie unbemerkt bleiben.
Und die Lehre aus dem Singapur-Fall? Nation-State-Angriffe sind längst kein Problem anderer Länder mehr. Auch hier in NRW sind Unternehmen Teil globaler Lieferketten. Wer Netzinfrastruktur in seinen Prozessen nutzt – und das sind praktisch alle – hängt indirekt am gleichen Faden. Eine Kooperation mit regionalen CERTs, aktives Log-Reviewing und Zero-Trust-Architekturen sind mehr als Buzzwords – sie sind Pflicht.
Ich weiß, Security klingt oft nach Dauerstress. Aber ehrlich gesagt: Der Aufwand, ein Zertifikat zu prüfen, einen Patch zu fahren oder einen Port zu schließen, ist nichts im Vergleich zu Wochen Datenwiederherstellung und Incident Response.
Mein Fazit
Diese Woche zeigt frappierend, wie Vertrauen zum Sicherheitsrisiko werden kann – sei es in Support-Software, in Helpdesk-Systemen oder in Telco-Infrastrukturen. Aus meiner Sicht passieren die größten Schäden nicht durch fehlendes Wissen, sondern durch Bequemlichkeit. „Das wird schon passen“ ist kein Sicherheitskonzept.
Die gute Nachricht: Alle drei Themen sind lösbar – durch Patch-Management, durchdachte Netzarchitektur und ein bisschen gesunden Security-Realismus. Die schlechte: Es erfordert Aufmerksamkeit. Security ist kein einmaliges Projekt, sondern ein Dauerprozess.
Wer in Aachen oder der Region unsicher ist, ob seine Systeme betroffen sind oder wie man solche Risiken systematisch minimiert, kann sich gerne bei mir melden. Ein gezieltes Sicherheits-Audit ist oft effektiver – und günstiger – als der nächste Vorfall. Und seien wir ehrlich: Lieber einen Nachmittag für Patches einplanen, als den Ernstfall per Fernwartung mit einem Angreifer teilen.
Über den Autor
Ahmet Sanli
IT-Berater & Webentwickler mit Fokus auf IT-Security, Cloud-Infrastruktur und Digitalisierung. Ahmet berät Unternehmen in der Städteregion Aachen und deutschlandweit zu sicheren IT-Lösungen und schreibt wöchentlich über aktuelle Cyber-Bedrohungen und Schutzmaßnahmen.
Haben Sie Fragen zu diesem Thema?
Jetzt Kontakt aufnehmen