SolarWinds-Hilfesoftware: Einfallstor für Cyberangriffe

Ungepatchte SolarWinds-Server werden von Hackern als Einstiegspunkt für komplexe Netzwerkübernahmen genutzt – deutsche Unternehmen sind gefährdet.

Microsoft warnt vor einer aktiven Angriffswelle, bei der Cyberkriminelle Schwachstellen in internetfähigen SolarWinds Web Help Desk-Servern ausnutzen. Die Angreifer gelangen so in Unternehmensnetzwerke und arbeiten sich systematisch zu wertvollen Assets vor. Die Attacken zeigen das immense Risiko veralteter Unternehmenssoftware und eine neue Taktik: Hacker nutzen zunehmend legitime IT-Tools, um unentdeckt zu bleiben.

Vom Helpdesk zur Domänenübernahme: So läuft der Angriff ab

Die Attackenkette beginnt mit der Ausnutzung bekannter Sicherheitslücken in SolarWinds WHD. Microsoft beobachtete die ersten erfolgreichen Einbrüche bereits im Dezember 2025 – die aktive Ausnutzung dauert jedoch an. Da die kompromittierten Systeme oft mehrere Schwachstellen gleichzeitig aufwiesen, lässt sich der genaue Einstiegsweg nicht immer eindeutig identifizieren.

Unter den verdächtigen Schwachstellen befinden sich die kürzlich bekanntgewordenen Lücken CVE-2025-40551 und CVE-2025-40536 sowie die ältere, kritische Sicherheitslücke CVE-2025-26399. Alle ermöglichen Angreifern die Ausführung von beliebigem Code aus der Ferne. Die US-Cybersicherheitsbehörde CISA hat CVE-2025-40551 bereits in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen – ein deutliches Warnsignal.

Nach dem ersten Einbruch gehen die Angreifer methodisch vor. Sie nutzen legitime Software, um ihre Position im Netzwerk zu festigen und Zugriff zu behalten. Das Sicherheitsunternehmen Huntress berichtet, dass Tools wie Zoho Meetings (für Fernzugriff), Cloudflare-Tunnel (für dauerhafte Kommunikation) und Velociraptor (für die Überwachung von Endgeräten) zum Einsatz kommen.

Viele Firmen unterschätzen, wie schnell Angreifer ungepatchte Helpdesk‑Systeme als Einstieg nutzen und sich seitlich durch Netzwerke bewegen. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ erklärt die aktuellsten Angriffswege — inklusive Missbrauch legitimer Admin‑Tools — und liefert Prioritäten fürs Patch‑Management sowie sofort umsetzbare Schutzmaßnahmen für IT‑Teams. Mit Checklisten, Praxisbeispielen und konkreten Handlungsempfehlungen für die Erkennung und Abwehr. Jetzt kostenlosen Cyber‑Security‑Report anfordern

Tarnkappen-Taktik: Angreifer nutzen legitime Admin-Tools

Das entscheidende Merkmal dieser mehrstufigen Angriffe ist der gezielte Einsatz von Werkzeugen, die eigentlich für die IT-Administration gedacht sind. Diese Taktik hilft den Angreifern, sich in normalen Netzwerkverkehr und Administrationsaktivitäten zu verstecken. Ihre Entdeckung wird dadurch erheblich erschwert.

Microsoft betont, dass diese Vorgehensweise – der Missbrauch eingebauter Systemwerkzeuge und weit verbreiteter IT-Software – ein häufiges und äußerst effektives Muster ist. Von einer einzigen exponierten Anwendung aus können Angreifer so ein gesamtes Netzwerk kompromittieren. Der Einsatz solcher Tools nach der ersten Infiltration deutet auf einen hochgradig professionellen Gegner hin, der auf langfristigen Zugriff und Datendiebstahl abzielt.

Handlungsempfehlungen für Unternehmen: Patchen und überwachen

Die aktive Ausnutzung von SolarWinds WHD ist eine kritische Warnung für alle Organisationen: Internetfähige Systeme müssen priorisiert gepatcht werden. Hilfesoftware ist naturgemäß mit vielen anderen Systemen verbunden und speichert oft privilegierte Zugangsdaten – sie ist damit ein erstklassiges Ziel für Angreifer.

Cybersicherheitsexperten drängen alle Nutzer von SolarWinds WHD dazu, von der Verwundbarkeit ungepatchter Versionen auszugehen und sofort zu handeln. Die wichtigste Maßnahme ist die umgehende Installation aller verfügbaren Sicherheitsupdates des Herstellers.

Zusätzlich zum Patchen empfehlen Sicherheitsteams weitere defensive Maßnahmen:
* Der Zugang zu administrativen Oberflächen wie WHD sollte durch eine VPN- oder Firewall-Lösung geschützt werden.
* Alle mit der Hilfesoftware verbundenen Zugangsdaten sollten überprüft und zurückgesetzt werden.
* Verhaltensbasierte Überwachung von Endgeräten und Identitäten ist essenziell, um ungewöhnliche Aktivitäten zu erkennen.

Immer kürzeres Zeitfenster: Der Wettlauf gegen die Hacker

Diese Angriffswelle unterstreicht einen anhaltenden Trend: Cyberkriminelle nutzen neu bekanntgewordene Schwachstellen in verbreiteter Unternehmenssoftware immer schneller für ihre Attacken. Das Zeitfenster zwischen der Veröffentlichung einer Sicherheitslücke und ihrer aktiven Ausnutzung schrumpft kontinuierlich. Das setzt IT- und Sicherheitsteams unter enormen Druck, ihre Patch-Disziplin aufrechtzuerhalten.

Die Fokussierung auf eine Helpdesk-Plattform ist dabei eine strategische Entscheidung der Angreifer. Diese Systeme sind zentrale Drehscheiben der IT-Operationen und bieten bei erfolgreicher Kompromittierung einen reichen Informations- und Zugangsschatz. Für deutsche Unternehmen, die vergleichbare Systeme wie SAP Solution Manager oder ServiceNow einsetzen, gilt dieselbe Wachsamkeit. Die aktuelle Angriffswelle beweist: Schon eine einzige ungepatchte Anwendung kann die Sicherheitsverteidigung eines gesamten Unternehmens aushebeln.

PS: Nutzen Ihre Teams VPN, Cloud‑Tunnel oder Monitoring‑Tools? Der Gratis‑Report „Cyber Security Awareness Trends“ zeigt, welche Konfigurationen häufig missbraucht werden und welche Gegenmaßnahmen (von abgesicherten VPNs bis verhaltensbasierter Endpunktüberwachung) sofort Wirkung zeigen. Kostenloses Praxis‑E‑Book mit Checklisten für Patch‑Priorisierung, Phishing‑Abwehr und Reaktionsplänen — ideal für Sicherheitsverantwortliche in KMU und Konzernen. Gratis‑Report für IT‑ und Sicherheitsverantwortliche herunterladen