Zurück zum Blog
CYBERSECURITYSOFTWARE SECURITY

Supply Chain Attacks: Wenn der Angriff durch vertrauenswürdige Software kommt

Ein WordPress-Plugin mit Backdoor, vergiftete Python-Pakete, kompromittierte Build-Pipelines — Supply Chain Attacks greifen dort an, wo Unternehmen am wenigsten hinschauen: in der Software, der sie täglich vertrauen. Was sich verändert hat und wie Sie sich schützen.

13. April 2026
9 min Lesezeit
Von Keep IT Fair

Was sind Supply Chain Attacks?

Ein Supply Chain Attack umgeht die direkten Abwehrmechanismen eines Unternehmens vollständig. Statt das Ziel selbst anzugreifen, kompromittieren Angreifer eine vertrauenswürdige Komponente in der Lieferkette — ein Plugin, eine Bibliothek, ein Update, ein Build-Tool — und gelangen so auf indirektem Weg in Tausende von Systemen gleichzeitig.

Das Tückische: Das Opfer tut aus seiner Sicht alles richtig. Es installiert ein bekanntes Plugin, führt ein offizielles Update durch, bindet eine populäre Open-Source-Bibliothek ein. Genau das ist die Stärke dieser Angriffsmethode — und genau deshalb ist sie so gefährlich.

+742 %
Anstieg von Software-Supply-Chain-Angriffen seit 2022 (Sonatype 2025)
15.500+
bösartige Pakete wurden 2025 allein in npm und PyPI entdeckt
∅ 287 Tage
bis ein kompromittiertes Paket in einer Produktionsumgebung entdeckt wird

Aktuelle Vorfälle 2026: Kein theoretisches Risiko

Supply Chain Attacks sind kein abstraktes Zukunftsszenario — sie passieren gerade, und sie treffen Unternehmen jeder Größe. Die Vorfälle der letzten Monate zeigen die Breite des Angriffsfeldes:

April 2026Kritisch
Smart Slider 3 Pro — WordPress-Plugin mit Backdoor

Das populäre WordPress-Plugin Smart Slider 3 Pro wurde in seiner offiziellen Paketquelle kompromittiert. Angreifer schleusten eine Backdoor ein, die auf allen betroffenen Websites eine versteckte Admin-Hintertür öffnete. Betroffen: zehntausende Websites weltweit, die das Plugin aus der offiziellen Quelle bezogen hatten — ohne dass Websitebetreiber etwas falsch gemacht hätten.

März 2026Hoch
Adobe-Komponenten aktiv ausgenutzt

Mehrere weit verbreitete Adobe-Komponenten wurden über bekannte, aber ungepatchte Schwachstellen aktiv von Angreifern ausgenutzt. Besonders betroffen: Unternehmen mit veralteten Adobe-Versionen in automatisierten Verarbeitungspipelines, die keine konsequente Patch-Routine implementiert hatten.

Laufend 2025/2026Hoch
Vergiftete Python-Pakete auf PyPI

Angreifer veröffentlichen kontinuierlich bösartige Pakete auf dem Python Package Index (PyPI) — oft mit Namen, die legitimen populären Paketen täuschend ähnlich sehen (Typosquatting). Wird das falsche Paket installiert, führt es beim Import Schadcode aus: Credential-Diebstahl, Backdoors, Cryptominer.

2025 (Nachwirkungen bis heute)Kritisch
XZ Utils Backdoor — Warnung vor staatlichen Akteuren

Der XZ-Utils-Vorfall aus 2024 bleibt ein Meilenstein: Ein staatlich gesponserter Akteur hat über fast zwei Jahre hinweg gezielt das Vertrauen der Open-Source-Community aufgebaut, um schließlich eine Backdoor in eine weit verbreitete Linux-Bibliothek einzuschmuggeln. Der Angriff wurde nur durch Zufall entdeckt — kurz vor der breiten Distribution.

Gemeinsamer Nenner aller Vorfälle: Die Opfer haben vertrauenswürdige, legitime Software eingesetzt. Perimeter-Sicherheit, Firewalls und Antivirenprogramme haben keinen dieser Angriffe verhindert — weil der Schadcode aus einer als sicher geltenden Quelle kam.

Angriffsvektor CI/CD-Pipelines und Dependencies

Moderne Softwareentwicklung ist hochgradig automatisiert — und genau das macht sie angreifbar. Eine typische Webanwendung bindet Hunderte von direkten und indirekten Abhängigkeiten ein. Jede davon ist ein potenzieller Einstiegspunkt.

Häufige Angriffsmethoden
  • Typosquatting: Pakete mit ähnlichen Namen wie legitime Bibliotheken
  • Dependency Confusion: interne Paketnamen öffentlich registrieren
  • Kompromittierung von Maintainer-Accounts (npm, PyPI, WordPress.org)
  • Einschleusen von Schadcode in Pull Requests open-source Projekte
  • Manipulation von Build-Artefakten in CI/CD-Systemen
  • Gestohlene Signing-Keys für legitim signierte Pakete
Typische Schwachstellen in Unternehmen
  • Keine Versions-Pinning — immer die neueste Version wird geladen
  • Transitive Dependencies nicht im Blick (Abhängigkeiten von Abhängigkeiten)
  • Keine automatischen Vulnerability-Scans in der Pipeline
  • Langlebige CI/CD-Secrets ohne Rotation
  • Kein Monitoring auf unerwartete Netzwerkverbindungen aus Builds
  • Plugins und CMS-Komponenten werden selten aktualisiert

Wichtig zu verstehen: Eine durchschnittliche Node.js-Anwendung hat ca. 1.000 transitive Abhängigkeiten. Wer jede davon manuell prüft, kann nicht gleichzeitig entwickeln. Automatisierung ist keine Komfortlösung — sie ist die einzige skalierbare Antwort.

SBOM: Software Bill of Materials — die Grundlage der Transparenz

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Komponenten, die in einem Softwareprodukt enthalten sind — mit Versionen, Lizenzen und bekannten Schwachstellen. Sie ist das Äquivalent zur Zutatenliste auf einem Lebensmittelprodukt: Transparenz darüber, was wirklich drinsteckt.

2026 ist die SBOM keine optionale Best Practice mehr. Die NIS2-Richtlinie und die US Executive Order on Cybersecurity machen sie für kritische Infrastrukturen und Lieferanten der öffentlichen Hand zur Pflicht. Auch im B2B-Bereich wird sie zunehmend von Großunternehmen als Voraussetzung in Lieferantenverträgen gefordert.

Was eine SBOM enthält
Komponentenname & Version
Jede direkte und indirekte Abhängigkeit
Herkunft & Lizenz
Paketquelle, Autor, Lizenztyp (MIT, GPL, ...)
Bekannte CVEs
Verlinkung zu Schwachstellendatenbanken
Hashes & Signaturen
Kryptografische Verifikation der Integrität

Im Ernstfall — etwa wenn ein neues kritisches CVE bekannt wird — kann ein Unternehmen mit einer aktuellen SBOM innerhalb von Minuten prüfen, ob und wo eine verwundbare Komponente eingesetzt wird. Ohne SBOM kann dieselbe Analyse Tage oder Wochen dauern.

Sichere CI/CD-Pipelines: Wo viele Unternehmen angreifbar sind

Die Build- und Deployment-Pipeline ist das Nervensystem moderner Softwareentwicklung — und eines der am häufigsten unterschätzten Angriffsziele. Ein Angreifer, der die Pipeline kontrolliert, kontrolliert alles, was darüber deployed wird.

Secrets sicher verwalten

API-Keys, Deployment-Tokens und Zugangsdaten dürfen niemals im Klartext in Pipeline-Konfigurationen oder im Code liegen. Stattdessen: Secrets Manager (GitHub Actions Secrets, HashiCorp Vault, Azure Key Vault) mit kurzlebigen, automatisch rotierenden Credentials.

OIDC statt statischer Access Keys

Modern Deployments nutzen OpenID Connect (OIDC) für die Authentifizierung von CI/CD-Systemen gegen Cloud-Provider. Dabei werden kurzlebige Tokens ausgestellt, die nur für die Dauer des Builds gültig sind — kein dauerhafter API-Key, der gestohlen werden kann.

Pipeline-Steps mit minimalen Rechten

Jeder einzelne Schritt in einer Build-Pipeline sollte nur die Berechtigungen haben, die er tatsächlich benötigt. Ein Test-Step braucht keinen Schreibzugriff auf das Container Registry. Ein Build-Step braucht keinen Zugriff auf Produktionsdatenbanken.

Artifact-Signing und Provenance

Build-Artefakte (Container Images, Binaries, Pakete) sollten kryptografisch signiert werden — damit nachgewiesen werden kann, dass sie von einer vertrauenswürdigen Pipeline stammen und nach dem Build nicht verändert wurden. Standards: SLSA (Supply Chain Levels for Software Artifacts), Sigstore/Cosign.

Realitätscheck: Bei vielen Unternehmen sind GitHub Actions oder GitLab CI/CD mit weitreichenden Cloud-Berechtigungen konfiguriert — und jeder, der einen Pull Request öffnen kann, kann potenziell Code in die Pipeline einschleusen. Prüfen Sie, wer in Ihrer Pipeline Änderungen vornehmen darf.

Konkrete Maßnahmen — priorisiert und umsetzbar

Supply Chain Security ist kein einmaliges Projekt — es ist ein fortlaufender Prozess. Diese sechs Maßnahmen bilden eine solide Grundlage:

01

Software-Inventar und SBOM einführen

Wissen Sie, welche Bibliotheken, Plugins und Drittanbieter-Komponenten in Ihrer Software stecken? Ohne vollständiges Inventar können Sie bei einem Vorfall nicht schnell reagieren. Eine SBOM (Software Bill of Materials) ist die Grundlage jeder Supply-Chain-Sicherheitsstrategie.

Konkrete Maßnahme: SBOM-Generierung in den Build-Prozess integrieren (z.B. Syft, CycloneDX). Für alle eingesetzten Softwareprodukte — intern wie extern — SBOM anfordern oder erstellen.
02

Dependency-Pinning und Integrity Checks

Wer externe Pakete ohne Versions-Pinning einbindet, kann nicht sicher sein, was er bekommt. Eine gepinnte Version garantiert, dass immer exakt dasselbe Paket geladen wird — und ein Hash-Vergleich stellt sicher, dass der Inhalt unverändert ist.

Konkrete Maßnahme: Alle Dependencies auf exakte Versionen pinnen (kein ^ oder ~ in package.json). Subresource Integrity (SRI) für externe Skripte aktivieren. Lockfiles (package-lock.json, poetry.lock) ins Repository einchecken.
03

Automatisches Schwachstellen-Scanning

Neue Schwachstellen in Abhängigkeiten werden täglich entdeckt. Manuelles Prüfen ist nicht skalierbar. Automatisierte Tools scannen kontinuierlich alle eingesetzten Komponenten gegen bekannte CVE-Datenbanken und alarmieren bei Treffern.

Konkrete Maßnahme: Dependabot, Snyk oder OWASP Dependency-Check in die CI/CD-Pipeline integrieren. Builds bei kritischen CVEs (CVSS >= 9.0) automatisch fehlschlagen lassen.
04

Sichere und gehärtete CI/CD-Pipelines

CI/CD-Systeme haben in modernen Unternehmen weitreichende Rechte: Sie deployen Code, schreiben in Repositories, interagieren mit Cloud-Infrastruktur. Gleichzeitig sind sie oft kaum abgesichert — ein attraktives Angriffsziel.

Konkrete Maßnahme: Secrets niemals als Klartext in Pipeline-Konfigurationen. OIDC-basierte Authentifizierung statt langlebiger API-Keys. Jeder Pipeline-Schritt mit minimalen Rechten ausführen (Least Privilege).
05

Vertrauenswürdige Quellen und Private Registries

Pakete aus unbekannten oder öffentlichen Quellen sind ein Risiko. Dependency Confusion Attacks nutzen aus, dass interne Paketnamen auch öffentlich registriert werden können — und das öffentliche Paket dann bevorzugt geladen wird.

Konkrete Maßnahme: Private Package Registry (z.B. Azure Artifacts, JFrog Artifactory) einrichten. Nur genehmigte Quellen als erlaubte Paketquellen konfigurieren. Namespace-Konflikte durch Scoped Packages vermeiden.
06

Update-Zyklen und Patch-Prozesse für alle Komponenten

Plugins, Themes, CMS-Systeme und Libraries veralten schnell. Die meisten Supply-Chain-Angriffe auf WordPress-Seiten betreffen Plugins, die seit Monaten nicht mehr aktualisiert wurden. Regelmäßige Updates sind eine der wirksamsten Schutzmaßnahmen.

Konkrete Maßnahme: Monatlicher Update-Zyklus für alle Plugins, Themes und Abhängigkeiten festlegen. Automatische Sicherheitsupdates aktivieren. Veraltete, nicht mehr gepflegte Komponenten identifizieren und ersetzen.

Wissen Sie, was in Ihrer Software steckt?

Die meisten Unternehmen haben keinen vollständigen Überblick über ihre eingesetzten Komponenten — und merken es erst, wenn ein Vorfall eintritt. Wir helfen Ihnen, Transparenz herzustellen und konkrete Schutzmaßnahmen zu implementieren.

Jetzt Supply-Chain-Analyse anfragen
Keep IT Fair
Keep IT Fair
IT-Sicherheit & IT-Support für den Mittelstand · Norderstedt / Hamburg

Welche Komponenten laufen in Ihrer Software — und sind sie sicher?

Wir helfen Ihnen, Transparenz zu schaffen und Ihre Software-Lieferkette abzusichern.