Digital Business & Future 06.06.2026

Wenn das Update selbst zum Einfallstor wird

6 Min. Lesezeit

Am 11. Mai genügten sechs Minuten. In diesem Fenster schoben Angreifer 84 manipulierte Versionen in 42 weit verbreitete Entwickler-Pakete, jede mit einem Dieb für Zugangsdaten an Bord. Wer diese Pakete nutzte, lud sich die Schadsoftware mit dem nächsten Update selbst herunter. Drei solcher Fälle landeten allein im Mai im Warnkatalog der US-Behörde CISA.

Das Wichtigste in Kürze

Vertraute Werkzeuge wurden zum Angriffsweg. TanStack, Daemon Tools und Nx Console verteilten im Mai Schadcode über reguläre Updates. CISA stufte alle drei als aktiv ausgenutzt ein.
Auch wer nicht selbst entwickelt, ist betroffen. Fast jede Geschäftssoftware steckt voller fremder Bausteine. Das Risiko wandert über die Lieferkette ins Haus, nicht über die eigene Eingangstür.
NIS2 macht die Lieferkette zur Chefsache. Wer unter die Richtlinie fällt, muss die Sicherheit seiner Lieferanten und Software-Bausteine ins Risikomanagement aufnehmen. Ein Inventar ist der erste und günstigste Schritt.

Verwandt:NIS2-Umsetzung: Checkliste für den Mittelstand / RegTech: Compliance-Risiken meistern

Wie aus vertrauten Tools ein Einfallstor wurde

Was ist ein Lieferkettenangriff? Bei einem Lieferkettenangriff manipulieren Täter nicht das Zielunternehmen direkt, sondern eine Software oder ein Werkzeug, dem es vertraut. Über das nächste reguläre Update gelangt der Schadcode unbemerkt in viele Systeme zugleich. Ein einziger gekaperter Update-Weg erreicht so tausende Firmen auf einmal.

Die drei Fälle aus dem Mai zeigen das Muster in Reinform. Bei TanStack, einer im Web-Umfeld weit verbreiteten Bausteinsammlung, kaperten Angreifer den automatisierten Veröffentlichungsweg über GitHub und veröffentlichten in wenigen Minuten Dutzende vergiftete Versionen. Bei Daemon Tools Lite waren über Wochen die offiziellen Installer manipuliert, getarnt mit einem gültigen Code-Signing-Zertifikat. Bei Nx Console, einer Erweiterung für Entwicklungsumgebungen, lag kurzzeitig eine bösartige Fassung im offiziellen Marktplatz.

Das Tückische ist die Tarnung. Jeder dieser Wege sah nach Routine aus: ein signierter Installer, ein Marktplatz-Eintrag, ein Versions-Update. Wer schon einmal eine Software-Umgebung betreut hat, weiß, dass genau solche Updates normalerweise ohne zweiten Blick durchlaufen. Die nüchterne Chronologie:

Die Lieferketten-Welle im Mai

11. Mai

TanStack: 84 manipulierte Versionen in 42 npm-Paketen, veröffentlicht über einen gekaperten Automatik-Workflow. An Bord ein Dieb für Zugangsdaten.

18./19. Mai

Nx Console: eine bösartige Fassung der Entwickler-Erweiterung liegt kurzzeitig im offiziellen Marktplatz und auf OpenVSX.

April bis Mai

Daemon Tools Lite: über Wochen sind die offiziellen Installer manipuliert, getarnt mit einem gültigen Code-Signing-Zertifikat.

27. Mai

CISA nimmt alle drei in den Katalog bekannter ausgenutzter Schwachstellen auf und setzt US-Behörden eine Frist zum Handeln.

Warum das auch den Mittelstand trifft, der nicht selbst entwickelt

Der häufigste Reflex im Mittelstand lautet: Wir programmieren doch gar nichts, das betrifft uns nicht. Der Reflex trügt. Die Warenwirtschaft, das Kundenportal, die Buchhaltungs-Anbindung, fast jede moderne Geschäftssoftware ist aus fremden Bausteinen zusammengesetzt. Wer eine Web-Anwendung von einer Agentur bauen ließ, hat mit hoher Wahrscheinlichkeit Pakete aus derselben Welt im Haus, aus der die TanStack-Versionen stammen.

Der Angriff erreicht das Unternehmen über seine Zulieferer und deren Software, lange bevor jemand an einen direkten Einbruch denkt. Diese Lieferkette ist im Mittelstand selten dokumentiert. Niemand führt eine Liste, welche fremde Software in welchem System steckt. Genau diese Lücke nutzen die Angreifer aus, weil eine vergiftete Bibliothek so lange unsichtbar bleibt, bis jemand gezielt sucht.

manipulierte Paketversionen schleusten die Angreifer am 11. Mai in nur sechs Minuten in 42 weit verbreitete Entwickler-Pakete.

Quelle: TanStack-Postmortem, Snyk-Analyse

Hinzu kommt die regulatorische Seite. Die NIS2-Richtlinie zieht einen großen Teil des Mittelstands erstmals in verbindliche Sicherheitspflichten und nennt die Lieferkette ausdrücklich. Unternehmen müssen die Sicherheit ihrer Software-Bestandteile und Dienstleister mitdenken, nicht nur die eigene Firewall. Ein Vorfall wie bei TanStack ist damit nicht mehr nur ein IT-Ärgernis, sondern eine Frage der Sorgfaltspflicht, für die am Ende die Geschäftsführung geradesteht.

Was der Mittelstand jetzt tun kann

Die gute Nachricht: Es braucht kein Sicherheitsteam von einem Konzern, um das Grundrisiko zu senken. Vier Schritte, die auch ein Haus mit knappen Ressourcen umsetzen kann, decken den größten Teil ab.

Vier Schritte ohne Konzern-Budget

Inventar anlegen

Festhalten, welche fremde Software, Bibliotheken und Entwickler-Werkzeuge im Einsatz sind. Ohne diese Liste lässt sich ein Vorfall weder eingrenzen noch melden.

Updates entschleunigen

Nicht blind die neueste Version ziehen. Ein bis zwei Tage Abstand und ein Blick in die Release-Hinweise fangen die meisten manipulierten Veröffentlichungen ab.

Zugänge härten

Die Angreifer zielten auf Zugangsdaten und automatische Veröffentlichungs-Schlüssel. Zwei-Faktor-Pflicht, enge Veröffentlichungsrechte und regelmäßig gewechselte Schlüssel schließen das Haupteinfallstor.

Dienstleister fragen

Wer Software einkauft oder bauen lässt, fragt nach der Herkunft der Bausteine und dem Update-Prozess. NIS2 verlangt genau diese Sorgfalt gegenüber Zulieferern.

Keiner dieser Schritte ist teuer, und keiner verlangt Spezialwissen. Der eigentliche Aufwand liegt darin, einmal hinzusehen, wo bisher niemand zuständig war. Genau das ist der Unterschied zwischen einem Haus, das einen Lieferkettenangriff bemerkt, und einem, das ihn erst aus der Presse erfährt.

Vier Schritte zur Risikosenkung: Inventar, Update-Pause, Prüfung, Meldung - als Infografik mit Icons und kurzen Labels. — Mittelstand sichert IT durch klare Schritte gegen Software-Risiken ab.

Die Welle vom Mai dürfte nicht die letzte sein. Angriffe auf die Software-Lieferkette sind günstig, skalieren über tausende Opfer zugleich und treffen den vorbereiteten wie den unvorbereiteten Betrieb. Der Unterschied entsteht erst danach, in der Frage, ob jemand das eigene Inventar kennt.

Häufige Fragen

Was ist bei den Angriffen auf TanStack, Daemon Tools und Nx Console passiert?

In allen drei Fällen schleusten Angreifer Schadcode über reguläre Vertriebswege ein: gekaperte Veröffentlichungs-Workflows bei TanStack, manipulierte signierte Installer bei Daemon Tools, eine bösartige Erweiterung im offiziellen Marktplatz bei Nx Console. CISA listete alle drei Ende Mai als aktiv ausgenutzte Schwachstellen.

Betrifft das auch den Mittelstand, der gar nicht selbst entwickelt?

Ja. Fast jede Geschäftssoftware enthält fremde Bausteine, und eingekaufte oder von Agenturen gebaute Anwendungen nutzen dieselben Pakete, die hier betroffen waren. Das Risiko wandert über die Lieferkette ins Haus, unabhängig davon, ob im Unternehmen selbst programmiert wird.

Was hat NIS2 mit Software-Lieferketten zu tun?

NIS2 verpflichtet betroffene Unternehmen ausdrücklich, die Sicherheit ihrer Lieferkette und ihrer direkten Dienstleister ins Risikomanagement aufzunehmen. Dazu gehört, die eingesetzten Software-Bausteine zu kennen und ihre Herkunft bewerten zu können. Verstöße können die Geschäftsführung in die Haftung bringen, weshalb das Thema nicht in der IT-Abteilung endet.

Wie erkenne ich, ob mein Unternehmen betroffen ist?

Der erste Schritt ist ein Inventar der eingesetzten Software und Bibliotheken. Darauf lässt sich abgleichen, ob betroffene Versionen im Einsatz sind. Wer eine externe Agentur beschäftigt, fragt dort gezielt nach den verwendeten Paketen und den installierten Versionsständen.

Was kostet die Absicherung einen Mittelständler ohne großes Sicherheitsteam?

Die wirksamsten Schritte sind günstig: ein Software-Inventar, ein bewusster Umgang mit Updates und gehärtete Zugänge mit Zwei-Faktor-Pflicht. Das kostet vor allem Disziplin und etwas Zeit, kein großes Budget. Teuer wird erst der Vorfall, den niemand bemerkt hat.