Die Neue Unsichtbare Bedrohung: Angriffe auf die Software-Lieferkette mehr als verdoppeln sich bis 2025
Software-Lieferkettenvorfälle haben sich 2025 weltweit mehr als verdoppelt und dabei kritische Lücken in der Unternehmensvorbereitung offenbart. Der Angriff auf tj-actions im März 2025 kompromittierte CI/CD-Pipelines in Tausenden von Repositories. Der Fall XZ Utils aus 2024, in dem ein Angreifer zwei Jahre lang Vertrauen aufbaute, bevor er einen Backdoor einfügte, setzte den Standard für moderne Bedrohungen.
Der Angriff, der den Standard für die moderne Bedrohung der Software-Lieferkette definierte, war nicht schnell. Er war geduldig. Über zwei Jahre hinweg trug ein unbekannter Akteur regelmäßig zu XZ Utils bei, einem Komprimierungs-Utility für Linux, das in nahezu jeder Distribution des Betriebssystems vorhanden ist. Er gewann das Vertrauen der Community, erhielt Maintainer-Zugriff und fügte im März 2024 ein sorgfältig gestaltetes Backdoor in die offiziellen Versionen des Projekts ein. Die Entdeckung war zufällig: Ein Ingenieur von Microsoft bemerkte anomales Leistungs verhalten, bevor der schadhafte Code in die Produktionsdis tributionen gelangte.
Die XZ Utils waren nicht der Höhepunkt. Sie waren der Präzedenzfall.
Die Vorfälle von 2025
Im März 2025 zeigte die Kompromittierung von tj-actions, einem weit verbreiteten Tool in CI-Pipelines auf GitHub, dass das Risiko von CI/CD nicht theoretisch ist. Geheimnisse wurden über Speicherdumping zur Laufzeit in Tausenden von Repositories, die das Tool verwendeten, offengelegt.
Im August 2025 enthielten bösartige Versionen des Pakets Nx Post-Installations-Skripte, die betroffene Systeme nach Token, SSH-Schlüsseln und API-Geheimnissen durchsuchten und die Daten an Repositories exfiltrierten, die von den Angreifern kontrolliert wurden. Im September injizierte die Kampagne TinyColor schadhafte Skripte in das beliebte Farbpaket und Dutzende verwandte Pakete, wodurch sie in einen selbstverbreitenden Wurm verwandelt wurden, der während der Installation Anmeldedaten sammelte.
Laut Sicherheitserforschern, die öffentliche und private Repositories überwachen, haben sich Software-Lieferkettenvorfälle 2025 weltweit mehr als verdoppelt.
Der strukturelle Unterschied zu traditionellen Angriffen
Bei einem traditionellen Angriff versucht der Gegner, den Perimeter der Organisation zu durchdringen. Bei einem Angriff auf die Lieferkette kompromittiert der Gegner etwas, das die Organisation bereits vertraut. Der Unterschied ist grundlegend: Die Erkennungs- und Reaktionskontrollen, die den Perimeter schützen, sind gegen schadhafter Code, der als legitimes Update einer Abhängigkeit ins System kommt, ineffektiv.
SolarWinds hat dies 2020 demonstriert, als 18.000 Organisationen kompromittierte Updates installierten. Die durchschnittlichen Kosten pro betroffener Organisation betrugen 12 Millionen US-Dollar, wobei der Vorfall etwa neun Monate lang unentdeckt blieb.
Was reife Organisationen tun
Die Antwort auf das Risiko der Lieferkette umfasst Kontrollebenen, die über Antivirus und Firewall hinausgehen. Software Bill of Materials (SBOM): Ein Inventar jedes Softwarekomponenten und ihrer Herkunft, das seit 2021 durch ein US-Präsidialdekret für Regierungsanbieter vorgeschrieben und von großen Unternehmen schrittweise übernommen wird. Integritätsprüfung von Paketen: Krypto-prüfung von Hashes vor der Installation von Abhängigkeiten in Produktionsumgebungen. Versionsfixierung: Vermeidung von Abhängigkeiten, die sich automatisch auf die neueste Version aktualisieren, und Priorisierung spezifischer, geprüfter Versionen. Monitoring des Pipeline-Verhaltens: Erkennung von Datenexfiltration oder Zugriff auf Anmeldedaten durch Build-Prozesse, die diesen Zugriff nicht haben sollten.
Das Risiko der Lieferkette ist nicht eliminierbar. Es ist mit der Aufmerksamkeit, die zuvor nur für den externen Perimeter reserviert war, verwaltbar.