KnowBe4 warnt vor getarnten RMM-Backdoors

Eine neue Angriffswelle nutzt vertrauenswürdige IT-Werkzeuge als perfekte Tarnung. Cyberkriminelle schleusen so unbemerkt dauerhafte Hintertüren in Unternehmensnetzwerke ein.

Die IT-Sicherheitsfirma KnowBe4 hat Details zu einer ausgeklügelten, zweistufigen Kampagne veröffentlicht. Statt eigener Schadsoftware missbrauchen die Angreifer legitime Fernwartungs- und Management-Tools (RMM). Diese Software ist für die IT-Administration unverzichtbar und gilt bei Sicherheitssystemen oft als vertrauenswürdig. Kompromittierte Anmeldedaten werden so zum “Generalschlüssel” für einen dauerhaften, unauffälligen Zugang.

So funktioniert die zweistufige Infiltration

Die Angreifer gehen systematisch vor. In Phase eins ergaunern sie sich die Zugangsdaten. Dazu setzen sie auf gezieltes Phishing, etwa mit gefälschten Einladungen zu Meetings oder System-Updates. Diese Social-Engineering-Angriffe auf Mitarbeiter bleiben eine der effektivsten Methoden für den Erstzugang.

Viele RMM‑Angriffe starten mit einer einzigen, überzeugenden Phishing‑Mail – eine gefälschte Meeting‑Einladung oder ein angebliches System‑Update reicht oft aus, damit Kriminelle Zugriff auf Admin‑Konten erhalten. Das kostenlose Anti‑Phishing‑Paket erklärt praxisnah, wie Sie betrügerische Mails erkennen, CEO‑Fraud abwehren und Mitarbeitende gezielt sensibilisieren. Enthalten sind Checklisten, Warnsignale und konkrete Trainingsschritte, die Erstzugänge verhindern helfen. Anti‑Phishing‑Paket jetzt herunterladen

Mit den gestohlenen Daten beginnt Phase zwei: die Installation der getarnten Backdoor. Die Kriminellen melden sich im System an und installieren eine legale RMM-Software. Da diese Tools für den normalen Betrieb benötigt werden, lösen sie keine Alarme aus. Die Angreifer agieren fortan unter dem Radar, können Daten ausspähen oder weitere Attacken wie Ransomware vorbereiten.

“Living off the Land”: Die perfekte Tarnung

Diese Taktik, bekannt als “Living off the Land” (LotL), ist für Verteidiger besonders tückisch. Die Angreifer benötigen keine eigene Malware, die Antivirenprogramme erkennen könnten. Stattdessen missbrauchen sie bereits vorhandene, vertrauenswürdige Anwendungen.

Der Datenverkehr von RMM-Tools kann für den Geschäftsbetrieb nicht einfach blockiert werden. Die Kriminellen verschmelzen so mit dem normalen IT-Betrieb und bleiben oft wochenlang unentdeckt. Eine reine Suche nach bekannten Schadsoftware-Signaturen ist gegen diese Angriffe wirkungslos.

Social Engineering als zentrales Einfallstor

Die RMM-Bedrohung fügt sich in ein größeres Bild ein. Erst am 24. Januar 2026 wurde etwa über eine großangelegte Voice-Phishing (Vishing)-Kampagne der Gruppe ShinyHunters berichtet. Dabei geben sich Kriminelle am Telefon als IT-Support aus, um an Zugangsdaten oder Multi-Faktor-Authentifizierungen (MFA) zu gelangen.

Solche Angriffe zielen häufig auf Single-Sign-On (SSO)-Systeme. Die Kompromittierung eines Kontos öffnet hier die Tür zu einer Vielzahl von Unternehmensanwendungen. Die anfängliche Erlangung von Zugangsdaten bleibt damit eine zentrale Taktik im Arsenal der Cyberkriminellen.

Neue Herausforderungen für die IT-Sicherheit

Der Trend zum Missbrauch legitimer Tools stellt Unternehmen, und besonders Managed Service Provider (MSPs), vor neue Probleme. Die klassische Malware-Erkennung reicht nicht mehr aus.

Sicherheitsteams müssen ihren Fokus auf Verhaltensanalyse verlagern. Jede Installation eines neuen RMM-Tools oder jede Fernwartungssitzung außerhalb der Norm muss als potenzielles Risiko bewertet werden. Dies erfordert fortschrittliche Monitoring-Lösungen und ein tiefes Verständnis der regulären Netzwerkabläufe.

So können sich Unternehmen schützen

Experten erwarten, dass LotL-Angriffe weiter zunehmen werden. Eine mehrschichtige Verteidigungsstrategie ist essenziell:

• Mitarbeitersensibilisierung: Regelmäßige Schulungen zu Phishing und Vishing stärken die erste Abwehrlinie.
• Strikte Zugriffskontrollen: Multi-Faktor-Authentifizierung (MFA) für alle Zugänge, besonders für Admin-Konten, macht gestohlene Daten nutzlos.
• Application Whitelisting: Eine strikte Liste erlaubter Anwendungen verhindert die unautorisierte Installation von Tools.
• Verhaltensbasierte Überwachung: Lösungen wie Endpoint Detection and Response (EDR) helfen, anomale Aktivitäten selbst bei legitimen Programmen zu erkennen.
• Inventarisierung und Härtung: Unternehmen sollten alle erlaubten RMM-Tools genau erfassen und stets aktuell sowie sicher konfigurieren.

Die aktuelle Warnung ist ein Weckruf: Die größte Gefahr lauert mitunter in den Werkzeugen, denen man am meisten vertraut.

PS: Sie wollen nicht erst reagieren, wenn die Hintertür schon offen ist? Das Anti‑Phishing‑Paket liefert eine kompakte 4‑Schritte‑Strategie zur Prävention: Erkennung, Sensibilisierung, technische Härtung und Incident‑Response‑Checklisten. Besonders für MSPs und IT‑Teams sind die praxisnahen Vorlagen hilfreich, um Phishing‑Ketten frühzeitig zu durchbrechen und RMM‑Missbrauch zu verhindern. Kostenloser Download inklusive branchenspezifischer Beispiele. In 4 Schritten Hacker‑Abwehr sichern