0201 / 89 08 36 – 50
·

Die Gefahr aus der Supply Chain

cropped profile.jpg

Timo Tegtmeier

Notepad++ Logo

Sogenannte Supply Chain Angriffe nehmen bekanntermaßen in den letzten Jahren zu. Ende 2025 wurde bekannt, dass davon auch der beliebte Texteditor Notepad++ betroffen war.

Supply Chain Angriffe sind Angriffe, die sich nicht direkt gegen einen Akteur, sei es eine Software oder ein Unternehmen, richten, sondern auf die Lieferkette. Bei Software wird insbesondere dann von einem Supply Chain Angriff gesprochen, wenn die in der Software verwendeten Bibliotheken kompromittiert wurden.

Im Fall Notepad++ liegt die Sache aber anders: Nicht Notepad++ selbst oder eine in dem Editor verwendete Komponente wurde kompromittiert, sondern statt dessen der Hosting-Provider, den die Entwickler einsetzten, um Updates zu verteilen.

Dadurch war es den Angreifern offenbar möglich, in den Prozess zur Auslieferung der Updates einzugreifen und so – zunächst unbemerkt – Schadsoftware einzuschleusen. Sowohl für die Entwickler, als auch für die Nutzer sah alles völlig normal aus. Die Entwickler luden ein Update hoch, dass sauber war, aber ausgeliefert wurde stattdessen ein mit Malware verseuchtes Update-Paket. Dadurch, dass der Updateprozess selbst kompromittiert wurde, hatten die Benutzer keine Chance, dies mit einfachen Mitteln zu erkennen.

Der Prozess war offenbar nicht durch digitale Signaturen und Zertifikate gesichert. Das ist den Entwicklern anzulasten. Allerdings darf man auch nicht vergessen, dass es sich bei Notepad++ um Freeware handelt.

Das wahre Versäumnis liegt auf Seiten des Hostingproviders, dessen Infrastruktur schlecht gesichert war – so zumindest die Aussage der Entwickler. Wenn sich das bewahrheitet, zeigt es einmal mehr, wie wichtig eine gute Absicherung der Infrastruktur ist und dass man nicht am falschen Ende sparen sollte.

Wir raten dringend dazu, insbesondere öffentlich erreichbare Infrastruktur, insbesondere Server und die darauf laufenden Anwendungen, etwa Webseiten, regelmäßig auf Sicherheitslücken prüfen zu lassen. Möglicherweise wäre in diesem Fall Schlimmeres verhindert worden. So aber wurden über ein halbes Jahr hunderttausende ahnungslose Nutzer Malware ausgesetzt.

, , , ,