RMM-Tools: Die neue Einfallspforte für Cyberangriffe

Phishing-Kampagnen kapern vertrauenswürdige IT-Verwaltungssoftware, um sich unbemerkt in Firmennetzwerke einzuschleichen. Ein neuer Angriffsvektor nutzt etablierte Fernwartungs-Tools als Hintertür und stellt die herkömmliche IT-Sicherheit vor immense Herausforderungen. Für deutsche Unternehmen, die oft auf Tools wie TeamViewer oder AnyDesk setzen, ist die Bedrohung akut.

„Skeleton Key“: Der Schlüssel aus vertrauenswürdiger Software

Cybersicherheitsforscher haben eine ausgeklügelte Phishing-Kampagne identifiziert, die einen gefährlichen Trend fortschreibt: Angreifer missbrauchen legitimierte Remote Monitoring and Management (RMM)-Werkzeuge. Diese Software, eigentlich für IT-Administratoren gedacht, wird zur perfiden Hintertür. Die als „Skeleton Key“ bekannte Kampagne beginnt mit täuschend echten Phishing-Mails, die etwa Einladungen über bekannte Event-Dienste vortäuschen.

Klickt ein Mitarbeiter auf den Link, landet er auf einer gefälschten Login-Seite und gibt unwissentlich seine Zugangsdaten preis. Mit diesen gestohlenen Credentials installieren die Angreifer dann kommerzielle RMM-Tools wie GoTo Resolve oder LogMeIn. Da diese Anwendungen legitim und digital signiert sind, werden sie von vielen Sicherheitssystemen nicht blockiert. Der Eindringling ist plötzlich „offiziell“ im System.

CEO-Fraud, gefälschte Meeting‑Einladungen und der gezielte Missbrauch signierter Fernwartungs‑Tools sind exakt die Taktiken, die Sicherheitsforscher aktuell beobachten – und die klassische Abwehr oft aushebeln. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Phishing‑E-Mails erkennen, gefälschte Login‑Seiten enttarnen und RMM‑Missbrauch frühzeitig stoppen. Konkrete Checklisten und Fallbeispiele helfen, Ihre Mitarbeiter sofort widerstandsfähiger zu machen. Jetzt Anti‑Phishing‑Paket sichern

Die Strategie: „Living Off the Land“

Diese Methode ist ein Paradebeispiel für „Living Off the Land“. Angreifer nutzen Werkzeuge, die bereits im Zielnetzwerk vertrauenswürdig sind oder sein sollten. Sie konfigurieren die RMM-Software für unbeaufsichtigten Zugriff und verschmelzen so mit dem normalen IT-Betrieb. Diese Tarnung ermöglicht es ihnen, wochenlang unentdeckt zu spionieren, Berechtigungen auszuweiten und Daten abzuschöpfen.

Ein signiertes Programm namens „GreenVelopeCard.exe“ dient in dieser Kampagne als Orchestrator für die RMM-Installation. Es nutzt die Reputation des Software-Herstellers gegen das Opfer – eine Taktik, die Sicherheitsexperten immer häufiger beobachten. Der Fokus verschiebt sich weg von eigener Malware hin zum Missbrauch legaler Dienste.

Eine wachsende, allgegenwärtige Gefahr

Der Missbrauch von RMM-Tools ist kein Einzelfall. Sicherheitsfirmen verzeichnen einen starken Anstieg von Kampagnen, die Produkte wie AnyDesk, TeamViewer, Atera oder ScreenConnect für kriminelle Zwecke nutzen. Von Ransomware-Affiliates bis zu anderen Cyberbanden – alle setzen auf diese Tools, um Endpoint-Security-Systeme zu umgehen.

Die Köder sind vielfältig und zielen auf alltägliche Geschäftskommunikation: Gefälschte Browser-Update-Meldungen, betrügerische Meeting-Einladungen für Teams oder Zoom und sogar Party-E-Invites. In einigen Fällen installieren Angreifer mehrere RMM-Tools parallel auf einem kompromittierten System, um redundante Zugangskanäle zu schaffen. Die Bereinigung wird so enorm erschwert.

Folgen für die IT-Sicherheitsbranche

Diese strategische Wende stellt Abwehrkräfte vor ein fundamentales Problem. Herkömmliche Sicherheitsmodelle, die bekannte Schadsoftware blockieren, sind gegen Bedrohungen mit whitelisteten Anwendungen machtlos. Die Ambiguität einer RMM-Verbindung – ist es legitimer IT-Support oder ein böswilliger Zugriff? – ist genau das, was Angreifer ausnutzen.

Die Kampagne unterstreicht die kritische Bedeutung von starken Zugangsdaten und Mitarbeitersensibilisierung. Da der erste Zugang über gestohlene Passwörter erfolgt, bleibt die Multi-Faktor-Authentifizierung (MFA) eine entscheidende Verteidigungslinie. Doch selbst MFA kann von entschlossenen Angreifern überwunden werden, weshalb ein mehrschichtiger Sicherheitsansatz nötig ist.

Experten raten Unternehmen, eine strikte Basis genehmigter RMM-Software festzulegen und ungewöhnliche Installationen oder Aktivitäten zu überwachen. Dazu gehört die Kontrolle anomaler Kommandozeilenparameter und die Einschränkung von Software-Downloads von unbekannten Domains. Erweiterte Netzwerksichtbarkeit und Application Allowlisting können helfen, unbefugte RMM-Nutzung zu erkennen, bevor ein größerer Schaden entsteht.

Ausblick: Der Fokus verschiebt sich auf das Verhalten

Die Cybersicherheitsstrategie muss sich weiterentwickeln, um dem Missbrauch legitimer Tools zu begegnen. Der Fokus verlagert sich von signaturbasierter Erkennung hin zu Behavioral Analytics. Durch die Überwachung anomaler Aktivitäten während RMM-Sitzungen oder ungewöhnlicher Muster im Netzwerkverkehr können Unternehmen besser identifizieren, wann ein vertrauenswürdiges Werkzeug für bösartige Zwecke genutzt wird.

Zudem ist die kontinuierliche Schulung der Mitarbeiter im Erkennen raffinierter Phishing-Köder von größter Bedeutung. Eine gut informierte Belegschaft wird zur ersten Verteidigungslinie. Unternehmen sollten reale Angriffsbeispiele in Trainingssimulationen verwandeln, um ihre Mitarbeiter besser zu wappnen. Die „Skeleton Key“-Kampagne ist eine deutliche Erinnerung daran, dass der Schlüssel zum Königreich eines Unternehmens heute nicht mehr ein Schadprogramm, sondern ein vertrautes Werkzeug in den falschen Händen sein kann.

Übrigens: Wenn in Ihrem Unternehmen RMM‑Tools im Einsatz sind, hilft oft schon eine konkret anwendbare Schulung kombiniert mit technischen Kontrollen. Das Anti‑Phishing‑Paket liefert neben Präventions‑Checklisten auch Muster‑Trainings und Vorlagen zur Kommunikation an Mitarbeitende, damit Phishing‑Köder schneller erkannt werden. Ideal, um vorhandene Prozesse rasch zu stärken und Nachinstallationen oder unbeabsichtigte Zugriffe zu reduzieren. Anti‑Phishing‑Paket kostenlos anfordern