eScan: Antivirus-Hersteller verteilt Malware über eigene Updates

Ein schwerer Supply-Chain-Angriff auf den Sicherheitsanbieter eScan erschüttert das Vertrauen in Schutzsoftware und stellt Unternehmen vor massive Compliance-Herausforderungen. Der Vorfall unterstreicht die wachsende Bedrohung durch Angriffe auf die Software-Lieferkette und rückt die Pflichten nach NIS2 und DSGVO in den Fokus.

Signierte Schadsoftware umgeht alle Schutzbarrieren

Am 20. Januar 2026 kompromittierten Angreifer Teile der Update-Server von eScan, einem Produkt von MicroWorld Technologies. Sie schleusten manipulierte Update-Pakete ein, die mit einem gestohlenen, aber legitimen Zertifikat des Herstellers signiert waren. Für die Antiviren-Software auf den Kundensystemen erschienen diese Dateien somit als absolut vertrauenswürdig. Ein klassischer Fall von Supply-Chain-Attacke, der grundlegendes Vertrauen ausnutzt.

Die Malware installierte eine Backdoor für Fernzugriff und wehrte sich geschickt gegen eine Bereinigung. Sie blockierte die Kommunikation zu den legitimen eScan-Servern, sodass betroffene Systeme keine korrigierenden Updates mehr erhielten. Nur ein manueller Eingriff kann die Infektion beheben.

Passend zum Thema Cyber‑Supply‑Chain: Viele Unternehmen sind auf solche Angriffe nicht vorbereitet. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt IT‑Verantwortlichen praxisnahe Maßnahmen, mit denen Sie Lieferketten absichern, kompromittierte Komponenten schneller erkennen und Compliance‑Pflichten wie NIS2 gezielt umsetzen können. Inklusive Checklisten und sofort umsetzbaren Schritten für kleine und mittlere Unternehmen. Jetzt kostenlosen Cyber-Security-Guide anfordern

Compliance-Alarm: NIS2 und DSGVO greifen sofort

Dieser Vorfall ist mehr als ein IT-Problem – er ist ein erhebliches Compliance-Risiko. Die erweiterte EU-Richtlinie NIS2 verpflichtet Unternehmen in kritischen Sektoren, ihre Lieferketten abzusichern. Der Einsatz einer kompromittierten Sicherheitssoftware kann als Verstoß gegen diese Sorgfaltspflichten gewertet werden.

Gleichzeitig drohen Konsequenzen aus der Datenschutz-Grundverordnung (DSGVO). Wenn über die Backdoor auf personenbezogene Daten zugegriffen wurde, liegt eine meldepflichtige Datenpanne vor. Unternehmen müssen die Behörden und möglicherweise Betroffene informieren. In einer ohnehin angespannten IT-Sicherheitslage, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert, wird robustes Risikomanagement zur Pflicht.

Hersteller reagiert – Unternehmen müssen handeln

MicroWorld Technologies bestätigte den Vorfall. Die Verteilung sei auf ein zweistündiges Fenster und einen regionalen Server begrenzt gewesen, nur eine „kleine Gruppe“ betroffen. Unabhängig vom Umfang müssen alle eScan-Nutzer jetzt aktiv werden.

IT-Verantwortliche sollten umgehend prüfen, wo die Software im Einsatz ist. Verdächtige Systeme müssen isoliert und auf Indikatoren einer Kompromittierung (IoCs) untersucht werden. Da die Malware automatische Updates blockiert, ist eine manuelle Bereinigung und Wiederherstellung der Verbindung zu den Herstellerservern entscheidend.

Fundamentales Vertrauen in Sicherheitssoftware erschüttert

Der Angriff auf eScan reiht sich ein in eine Serie von Lieferketten-Angriffen. Er zeigt den Trend: Attacken richten sich nicht mehr primär gegen Unternehmen selbst, sondern gegen ihre Software-Zulieferer. Antiviren-Programme sind dabei ein perfektes Ziel. Sie genießen höchste Systemprivilegien und pures Vertrauen.

Doch was passiert, wenn die Schutzsoftware selbst zur Waffe wird? Die Grenze zwischen Verteidigung und Angriff verschwimmt. Für die gesamte Cybersicherheitsbranche ist das eine fundamentale Herausforderung.

Lieferkettensicherheit wird zur strategischen Pflicht

Vorfälle wie dieser werden die Aufsicht verschärfen. Behörden dürften die Einhaltung von NIS2 und dem Digital Operational Resilience Act (DORA) für Finanzunternehmen konsequenter durchsetzen.

Für Unternehmen bedeutet das: Ein proaktives Cyber-Supply Chain Risk Management (C-SCRM) ist keine Option mehr, sondern strategische Notwendigkeit. Die sorgfältige Auswahl von Anbietern, kontinuierliche Risikoüberwachung und klare Reaktionspläne für den Fall eines kompromittierten Zulieferers werden zum entscheidenden Baustein einer widerstandsfähigen IT-Strategie. Die Frage ist nicht mehr, ob Lieferketten angegriffen werden, sondern wann – und ob man vorbereitet ist.

PS: Wenn Sicherheitslösungen selbst kompromittiert werden, brauchen Entscheider pragmatische Schutzmaßnahmen und klare Reaktionspläne. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, gesetzliche Pflichten (NIS2/DSGVO) und praktikable Schutzschritte zusammen – ideal für Geschäftsführer und IT‑Leiter, die rasch handeln müssen. Gratis E-Book ‚Cyber Security Awareness Trends‘ downloaden