Warum Cyberangriffe auf Checkmarx und Bitwarden die Sicherheitsbranche alarmieren

Die letzten Wochen haben die Sicherheitsbranche erschüttert: Innerhalb von nur 40 Tagen wurde der beliebte Schwachstellenscanner Trivy gleich zweimal Ziel eines Supply-Chain-Angriffs. Dabei gerieten nicht nur die Entwickler, sondern auch ihre Kunden ins Visier – darunter die renommierten Sicherheitsfirmen Checkmarx und Bitwarden. Die Angriffe zeigen, wie verwundbar selbst hochspezialisierte Unternehmen in der digitalen Lieferkette sind.

Ein Angriff auf die Supply Chain mit Folgen

Alles begann am 19. März 2026 mit der Kompromittierung des Trivy-GitHub-Kontos. Die Angreifer nutzten die Zugriffsrechte, um Schadsoftware in den offiziellen Trivy-Code einzuschleusen. Das Tool, das eigentlich zur Erkennung von Sicherheitslücken in Software dient, wurde so zum Trojaner umfunktioniert. Die Malware durchsuchte infizierte Systeme nach sensiblen Daten wie Repository-Tokens, SSH-Schlüsseln und anderen Zugangsdaten – ein klassischer Fall von lateraler Bewegung innerhalb der Lieferkette.

Doch die Angriffe hörten hier nicht auf. Nur vier Tage später wurde auch das GitHub-Konto von Checkmarx kompromittiert. Die Hacker nutzten die Plattform, um bösartige Versionen der Sicherheitssoftware an die Kunden des Unternehmens zu verteilen. Zwar gelang es Checkmarx, den Vorfall einzudämmen und die infizierten Versionen durch legitime Software zu ersetzen. Doch die Frage bleibt: Wie konnten die Angreifer überhaupt so weit vordringen?

Warum ausgerechnet Sicherheitsfirmen im Visier standen

Die gezielte Auswahl von Checkmarx und Bitwarden als Ziele wirft Fragen auf. Beide Unternehmen sind führend in der Bereitstellung von Sicherheitslösungen – ein scheinbar paradoxer Umstand: Warum greifen Cyberkriminelle gerade die an, die sie eigentlich bekämpfen sollten?

Experten vermuten, dass die Angreifer gezielt nach hochwertigen Zugangsdaten oder vertraulichen Informationen suchten. Durch die Kompromittierung von Sicherheitssoftware könnten sie nicht nur Daten stehlen, sondern auch zukünftige Angriffe vorbereiten. Ein erfolgreicher Supply-Chain-Angriff auf ein Tool wie Trivy oder Checkmarx ermöglicht es Angreifern, Tausende Systeme gleichzeitig zu infizieren – ein Szenario, das besonders für Ransomware-Banden attraktiv ist.

Laut Aussagen von Checkmarx wurde der ursprüngliche Angriff zwar schnell erkannt und behoben, doch die Ransomware-Gruppe hinter dem Vorfall drang kurze Zeit später erneut ein. Diesmal verschlüsselten die Hacker interne Systeme und forderten Lösegeld – ein klassischer Ablauf für einen gezielten Angriff auf ein Sicherheitsunternehmen.

Die Lektion für die Cybersecurity-Branche

Die jüngsten Vorfälle zeigen, dass selbst spezialisierte Unternehmen nicht vor Supply-Chain-Angriffen sicher sind. Die Komplexität moderner Software-Lieferketten bietet Angreifern zahlreiche Angriffsvektoren. Doch welche Maßnahmen können Firmen ergreifen, um sich besser zu schützen?

• Mehrschichtige Authentifizierung (MFA): Selbst wenn ein GitHub-Konto kompromittiert wird, kann MFA zusätzliche Schutzschichten bieten.
• Regelmäßige Code-Audits: Automatisierte Tools sollten verdächtige Code-Änderungen sofort erkennen.
• Isolierte Entwicklungsumgebungen: Entwickler sollten keine sensiblen Daten in öffentlichen Repositories speichern.
• Schnelle Reaktion auf Vorfälle: Die Zeit zwischen Erkennung und Reaktion ist entscheidend, um Schäden zu begrenzen.

Die Angriffe auf Checkmarx und Bitwarden sind kein Einzelfall. In den letzten Jahren haben Supply-Chain-Angriffe wie der auf SolarWinds oder Kaseya gezeigt, wie verheerend solche Vorfälle sein können. Die Branche steht vor der Herausforderung, ihre eigenen Werkzeuge und Prozesse zu überdenken – bevor die nächsten Angreifer eine neue Schwachstelle ausnutzen.

Für Sicherheitsfirmen bedeutet das: Die eigenen Systeme müssen mindestens so sicher sein wie diejenigen, die sie ihren Kunden anbieten. Denn wer die Tür zur Lieferkette öffnet, riskiert nicht nur den Verlust von Daten, sondern auch das Vertrauen in die gesamte Branche.