NERDMANZero-Day schleust Malware in Behörden ein
Eine Sicherheitslücke in der Videokonferenz-Software TrueConf hat Angreifern die Tür zu deutschen Behördennetzwerken geöffnet. Kein Phishing, kein Klick nötig — der Update-Mechanismus war das Einfallstor.
Was passiert ist
Check Point Research hat einen Zero-Day in TrueConf gefunden. Die Schwachstelle steckt im Auto-Update der Software. Angreifer konnten darüber Malware direkt in geschlossene Netzwerke schleusen — ohne dass ein Mitarbeiter auch nur eine E-Mail öffnen musste.
Warum das so brisant ist
TrueConf gilt als "sichere" Alternative zu Zoom und Teams. Behörden nutzen die Software genau deshalb. Wenn ausgerechnet das Sicherheits-Tool zum Angriffsvektor wird, hat jemand seine Hausaufgaben nicht gemacht.
💡 Was das bedeutet
Der Angriff zeigt ein fundamentales Problem: Software-Updates sind Vertrauenssache. Wer den Update-Kanal kompromittiert, umgeht jede Firewall und jeden geschulten Mitarbeiter. Behörden müssen endlich Zero-Trust ernst nehmen — nicht als Buzzword, sondern als Architekturprinzip.
✅ Pro
- Lücke wurde von Forschern entdeckt, nicht erst nach Großschaden
- Zeigt klar, warum Zero-Trust-Prinzipien Pflicht sind
❌ Con
- Unbekannt, wie lange die Lücke offen war
- Unklar, welche Behörden betroffen sind
- Update-Mechanismen bleiben ein systemisches Risiko
Der Elefant im Raum
Supply-Chain-Attacken über Update-Mechanismen sind kein neues Problem. SolarWinds 2020 hat es vorgemacht. Sechs Jahre später passiert exakt dasselbe — nur mit anderer Software. Die Lehre wurde nicht gezogen.
