Die meisten Nutzer vertrauen darauf, dass Software aus offiziellen Quellen sicher ist. Wer ein Programm direkt beim Hersteller herunterl\u00e4dt oder ein signiertes Softwarepaket installiert, geht in der Regel davon aus, dass keine Gefahr besteht. Genau dieses Vertrauen nutzen Cyberkriminelle jedoch zunehmend aus.<\/p>\n
Cyberangriffe auf die Software-Lieferkette<\/a> nehmen seit Jahren massiv zu. Immer h\u00e4ufiger gelingt es Angreifern, legitime Programme zu manipulieren oder Schadcode in offizielle Installationsdateien einzuschleusen. F\u00fcr Nutzer ist dies besonders gef\u00e4hrlich, weil die Software scheinbar aus vertrauensw\u00fcrdigen Quellen stammt und h\u00e4ufig sogar digital signiert ist.<\/p>\n Wie gef\u00e4hrlich manipulierte Software sein kann, zeigte unter anderem der Vorfall rund um DAEMON Tools. Dabei wurde eine manipulierte Installationsdatei verbreitet, die neben der eigentlichen Software zus\u00e4tzliche Schadfunktionen enthielt.<\/p>\n F\u00fcr die betroffenen Nutzer war der Angriff kaum erkennbar. Die Software stammte scheinbar aus einer vertrauensw\u00fcrdigen Quelle und wirkte vollkommen legitim. Genau das macht solche Angriffe so gef\u00e4hrlich: Nutzer ignorieren Warnsignale h\u00e4ufig, weil sie der bekannten Software vertrauen.<\/p>\n Sobald manipulierte Programme installiert werden, k\u00f6nnen Angreifer tief ins System eindringen. Schadsoftware kann sich dauerhaft im System verankern, Daten auslesen oder weitere Schadprogramme nachladen. Supply-Chain-Angriffe wie dieser geh\u00f6ren deshalb zu den gef\u00e4hrlichsten Cyberbedrohungen der vergangenen Jahre.<\/p>\n Auch vermeintlich harmlose Programme wie PDF-Software wurden bereits als Angriffsvektor missbraucht. Cyberkriminelle nutzen manipulierte Anwendungen gezielt, um Schadcode auf Systeme zu schleusen und sensible Daten abzugreifen.<\/p>\n Besonders kritisch ist dabei, dass solche Programme h\u00e4ufig t\u00e4glich genutzt werden und deshalb kaum Misstrauen ausl\u00f6sen. Nutzer installieren Updates oder neue Versionen oft automatisch, ohne die Herkunft oder Integrit\u00e4t genauer zu pr\u00fcfen.<\/p>\n Supply-Chain-Angriffe geh\u00f6ren aktuell zu den gef\u00e4hrlichsten Cyberbedrohungen \u00fcberhaupt. Dabei kompromittieren Angreifer offizielle Softwarepakete, Build-Systeme oder Update-Server. Nutzer installieren die Schadsoftware anschlie\u00dfend unwissentlich \u00fcber eigentlich vertrauensw\u00fcrdige Quellen.<\/p>\n Das Gef\u00e4hrliche daran ist, dass selbst etablierte Sicherheitsmechanismen oft versagen. Wenn manipulierte Software offiziell signiert oder \u00fcber legitime Update-Prozesse verteilt wird, f\u00e4llt der Angriff h\u00e4ufig erst sehr sp\u00e4t auf.<\/p>\n Gerade gro\u00dfe Unternehmen und Beh\u00f6rden stehen deshalb zunehmend im Fokus solcher Angriffe.<\/p>\n Bei Trojanern oder Backdoors tarnt sich Schadsoftware als legitimes Programm oder wird direkt in bestehende Anwendungen integriert. Im Hintergrund \u00f6ffnen die Programme heimlich Zug\u00e4nge f\u00fcr Angreifer oder manipulieren Systeme.<\/p>\n Dadurch k\u00f6nnen Cyberkriminelle sensible Daten auslesen, Nutzer \u00fcberwachen oder Systeme vollst\u00e4ndig kompromittieren. Besonders problematisch ist, dass viele Backdoors lange unentdeckt bleiben und dauerhaft Zugriff erm\u00f6glichen.<\/p>\n Moderne Spyware<\/a> z\u00e4hlt zu den technisch anspruchsvollsten Formen manipulierter Software. Ein bekanntes Beispiel ist Pegasus, eine hochentwickelte \u00dcberwachungssoftware, die gezielt Ger\u00e4te kompromittiert und Kommunikationsdaten ausliest.<\/p>\n Solche Programme erm\u00f6glichen Angreifern teilweise vollst\u00e4ndigen Zugriff auf Smartphones oder Computer. Nachrichten, Mikrofone, Kameras oder Standortdaten k\u00f6nnen heimlich \u00fcberwacht werden.<\/p>\n Die Entwicklung solcher Spyware zeigt deutlich, wie professionell moderne Cyberangriffe inzwischen geworden sind.<\/p>\n Mit dem Boom k\u00fcnstlicher Intelligenz entstehen gleichzeitig v\u00f6llig neue Angriffsformen. Besonders relevant wird dabei das Thema Prompt Injection. Hierbei manipulieren Angreifer Eingaben, Dokumente oder Datenquellen gezielt so, dass KI-Systeme unerw\u00fcnschte oder sch\u00e4dliche Aktionen ausf\u00fchren.<\/p>\n Dadurch k\u00f6nnen Sicherheitsmechanismen umgangen oder Systeme manipuliert werden. Gerade bei KI-gest\u00fctzten Anwendungen w\u00e4chst deshalb die Bedeutung sicherer Entwicklungs- und Pr\u00fcfprozesse erheblich.<\/p>\n Die Angriffslandschaft entwickelt sich aktuell extrem dynamisch weiter \u2013 insbesondere im Zusammenhang mit KI-Technologien.<\/p>\n Die Ziele der Angreifer sind vielf\u00e4ltig. H\u00e4ufig geht es um Datendiebstahl, das Abgreifen von Zugangsdaten oder den Aufbau dauerhafter Systemzugriffe. Teilweise werden kompromittierte Systeme auch als Ausgangspunkt f\u00fcr weitere Angriffe innerhalb eines Unternehmensnetzwerks genutzt.<\/p>\n Klassisches Code Signing<\/a> verfolgt grunds\u00e4tzlich ein wichtiges Sicherheitsziel: Entwickler signieren ihre Software digital mithilfe eines Code-Signing-Zertifikats<\/a>. Nutzer k\u00f6nnen dadurch pr\u00fcfen, von wem die Software stammt und ob sie nachtr\u00e4glich ver\u00e4ndert wurde. Dieses Verfahren schafft Vertrauen und verbessert die Integrit\u00e4t von Software erheblich. Allerdings zeigt sich zunehmend, dass klassisches Code Signing allein heute oft nicht mehr ausreicht.<\/p>\n Das Problem liegt darin, dass auch manipulierte oder kompromittierte Software signiert werden kann \u2013 insbesondere dann, wenn Angreifer Zugriff auf Build-Systeme, Signaturprozesse oder Entwicklerumgebungen erhalten.<\/p>\n Code Signing as a Service<\/a> \u2013 h\u00e4ufig auch CSaaS genannt \u2013 beschreibt eine cloudbasierte Plattform f\u00fcr sicheres und zentralisiertes Signieren von Software.<\/p>\n Im Gegensatz zu klassischen lokalen Signaturprozessen werden Signaturen dabei zentral verwaltet und abgesichert. Unternehmen erhalten dadurch deutlich mehr Kontrolle \u00fcber ihre Software-Sicherheitsprozesse.<\/p>\n Moderne CSaaS-L\u00f6sungen gehen dabei weit \u00fcber reines Signieren hinaus. Sie integrieren zus\u00e4tzliche Sicherheitspr\u00fcfungen, Monitoring-Funktionen und Freigabeprozesse, um manipulierte Software fr\u00fchzeitig zu erkennen.<\/p>\n Moderne CSaaS-Plattformen analysieren Software bereits vor dem Signieren. Verd\u00e4chtige Dateien, bekannte Malware oder auff\u00e4llige Verhaltensmuster k\u00f6nnen dadurch fr\u00fchzeitig erkannt werden.<\/p>\n Das reduziert das Risiko erheblich, dass manipulierte Software \u00fcberhaupt signiert und ver\u00f6ffentlicht wird.<\/p>\n Ein weiterer wichtiger Sicherheitsfaktor ist die zentrale \u00dcberwachung der Build- und Signaturprozesse. Moderne Plattformen kontrollieren genau, welche Software signiert wird und aus welcher Quelle sie stammt.<\/p>\n Dadurch lassen sich Manipulationen innerhalb der Entwicklungsumgebung deutlich besser erkennen und verhindern.<\/p>\n Code Signing as a Service erm\u00f6glicht au\u00dferdem klar definierte Freigabe- und Sicherheitsrichtlinien. Unternehmen k\u00f6nnen genau festlegen, wer Software signieren darf und welche Voraussetzungen daf\u00fcr erf\u00fcllt sein m\u00fcssen.<\/p>\n Ein Beispiel f\u00fcr moderne Code-Signing-Sicherheit ist SignPath<\/a>. Die Plattform kombiniert klassische Code-Signing-Funktionen mit erweiterten Sicherheitsmechanismen und zentralem Management.<\/p>\n Dazu geh\u00f6ren unter anderem die Integration in Build-Pipelines, automatisierte Sicherheitspr\u00fcfungen sowie zentralisierte Kontroll- und Freigabeprozesse. Unternehmen erhalten dadurch deutlich mehr Transparenz und Sicherheit \u00fcber ihre gesamten Signaturprozesse hinweg.<\/p>\nBackdoor im Installer: Der Fall DAEMON Tools<\/h2>\n
Manipulierte PDF-Software als Einfallstor f\u00fcr Datendiebstahl<\/h2>\n
H\u00e4ufige Formen und Angriffsvektoren manipulierter Software<\/h2>\n
Supply-Chain-Angriffe auf die Software-Lieferkette<\/h3>\n
Trojaner und Backdoors<\/h3>\n
Spyware wie Pegasus<\/h3>\n
Prompt Injection und KI-Manipulation<\/h3>\n
Warum herk\u00f6mmliches Code Signing oft nicht mehr ausreicht<\/h2>\n
Wie Code Signing as a Service Schadprogramme erkennt<\/h2>\n
Zus\u00e4tzliche Sicherheitsmechanismen von Code Signing as a Service<\/h3>\n
Malware- und Sicherheitspr\u00fcfungen<\/h4>\n
Kontrolle der Build-Pipeline<\/h4>\n
Richtlinien und Freigabeprozesse<\/h4>\n
SignPath als Beispiel moderner Software Sicherheit<\/h3>\n