ConnectWise, bekannt als Entwickler der populären Remote-Access- und Support-Software ScreenConnect, geriet kürzlich ins Visier eines ausgeklügelten Cyberangriffs, der mutmaßlich von einem Nation-State-Akteur ausgeführt wurde. Die Bedrohung verdeutlicht einmal mehr, wie kritisch die Sicherheit von Fernzugriffssoftware für Unternehmen aller Größenordnungen ist und wie hoch das Risiko durch gezielte Angriffe auf Anbieter solcher Technologien ist. ConnectWise veröffentlichte am 28. Mai 2025 eine kurze Stellungnahme, in der das Unternehmen bestätigte, dass sie ungewöhnliche Aktivitäten in ihrer Systemumgebung entdeckt haben, die wahrscheinlich auf einen hochentwickelten staatlich geförderten Angreifer zurückzuführen sind. Obwohl die genaue Anzahl der betroffenen Kunden nicht offengelegt wurde, handelt es sich um eine sehr begrenzte Kundengruppe, die von dem Zwischenfall direkt betroffen ist.
Mit der Hinzuziehung der renommierten Sicherheitsfirma Google Mandiant unternimmt ConnectWise intensive forensische Untersuchungen, um den Vorfall detailliert aufzuarbeiten und die Schwachstellen, die ausgenutzt wurden, zu identifizieren. Parallel dazu hat das Unternehmen alle betroffenen Kunden über die Sicherheitsverletzung informiert und arbeitet daran, den Schaden zu begrenzen und weiteren Angriffen vorzubeugen. Laut ConnectWise gibt es aktuell keine Hinweise auf weitere ungewöhnliche Aktivitäten bei anderen Kunden. Die genaue Identität des Angreifers bleibt bis dato geheim, ebenso sind die Details des Zeitpunkts und der Methodik des Angriffs nicht bekannt gegeben worden. Dennoch wird aufgrund der technischen Raffinesse und der Zielgerichtetheit des Angriffs ein staatlich unterstützter Akteur vermutet, was die Schwere und das Ausmaß der Bedrohung unterstreicht.
Ein wichtiger Kontext zu diesem Vorfall ist die im April 2025 veröffentlichte Sicherheitslücke mit der Kennung CVE-2025-3935. Diese Schwachstelle betraf ältere Versionen von ScreenConnect (bis Version 25.2.3) und weist einen hohen Schweregrad mit einem CVSS-Score von 8,1 auf. Die Sicherheitslücke ermöglichte ViewState-Code-Injection-Angriffe, die durch öffentlich verfügbare ASP.
NET-Maschinenschlüssel ausgenutzt werden konnten. Microsoft hatte diese Art von Angriffen bereits im Februar 2025 als aktives Exploit-Verfahren in freier Wildbahn gewarnt. Bereits Ende April wurde ein Patch veröffentlicht, der die Schwachstelle ab Version 25.2.4 behob.
ConnectWise hat inzwischen bestätigt, dass der jüngste Cyberangriff mit der Exploitation dieser spezifischen Schwachstelle zusammenhängt. Vor der Veröffentlichung des Patches wurde offenkundig die Sicherheitslücke aktiv von Angreifern genutzt. Seitdem sind keine weiteren verdächtigen Aktivitäten mehr beobachtet worden. Die US-Cybersecurity and Infrastructure Security Agency (CISA) nahm die Schwachstelle CVE-2025-3935 am 2. Juni 2025 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf.
Damit wurde die Priorität und Dringlichkeit der Problematik unterstrichen. Bundesbehörden sind aufgefordert, bis spätestens 23. Juni 2025 entsprechende Patches zu installieren, um sich gegen die bekannte Gefahr zu wappnen. Die Angriffe auf ConnectWise ScreenConnect Software sind nur der jüngste Höhepunkt einer Serie von gezielten Kampagnen gegen das Unternehmen. Bereits Anfang 2024 wurden zwei weitere Sicherheitslücken mit den Kennungen CVE-2024-1708 und CVE-2024-1709 ausgenutzt.
Diese Schwachstellen wurden nicht nur von Cyberkriminellen, sondern auch von staatlich gelenkten Akteuren aus Ländern wie China, Nordkorea und Russland zur Verbreitung schädlicher Payloads genutzt. Die Angriffe zeigen eine klare Tendenz: Nation-State-Gruppen zielen zunehmend auf Softwareunternehmen ab, die kritische Infrastrukturkomponenten und Fernzugangstools bereitstellen. Die potenziellen Auswirkungen eines solchen Vorfalls sind gravierend, da kompromittierte Remote-Access-Lösungen umfassenden Zugang zu den Netzwerken ihrer Kunden ermöglichen können. Aus diesem Grund liegt ein besonderes Augenmerk auf der schnellen Erkennung und Behebung von Schwachstellen sowie auf der Implementierung von erweiterten Überwachungs- und Schutzmechanismen. ConnectWise hat als Reaktion auf den Vorfall verstärkte Monitoring- und Sicherheitsmaßnahmen eingeführt und die Systeme gehärtet, um zukünftige Angriffe abzuwehren.
Neben der unmittelbaren Reaktion ist es für Unternehmen essenziell, ihre eingesetzten Versionen kontinuierlich zu aktualisieren und Sicherheitsupdates unverzüglich zu implementieren – selbst wenn der Wartungsvertrag ausgelaufen sein sollte. Cybersecurity-Experten raten, auch eigenständig die neuesten Patches einzuspielen, um Sicherheitslücken nicht für Angriffe offen zu lassen. Insgesamt unterstreicht der Vorfall bei ConnectWise die steigende Gefahr durch gezielte Angriffe auf Softwareanbieter, deren Produkte Zugang zu vielen Kundenumgebungen ermöglichen. Die zunehmende Professionalisierung und Persistenz von Cyberkriminellen und staatlichen Akteuren führen zu einem erhöhten Risiko für Unternehmen weltweit. Insbesondere Organisationen, die Fernzugangstools nutzen, sollten zeitnah prüfen, ob sie von den beschriebenen Schwachstellen betroffen sind und ihre Systeme entsprechend absichern.
Darüber hinaus ist die enge Zusammenarbeit zwischen betroffenen Unternehmen, Sicherheitsfirmen und Behörden wichtig, um Bedrohungen frühzeitig zu erkennen und effizient zu reagieren. Die Analyse und Veröffentlichung von Schwachstellen durch Initiativen wie CISA KEV trägt dazu bei, die Sicherheitslücken bekannt zu machen und zur schnellen Abhilfe anzuregen. Für IT-Sicherheitsteams bedeuten die Entwicklungen rund um ConnectWise eine erhöhte Aufmerksamkeit und die Notwendigkeit für proaktives Handeln. Die Einhaltung von Best Practices in der Patch-Verwaltung, die Durchführung regelmäßiger Audits und die Anwendung von fortschrittlichen Monitoring-Tools stärken die Widerstandsfähigkeit gegenüber Angriffen. Letztlich zeigt das Beispiel auch, wie zunehmend komplex die Bedrohungslandschaft wird, wenn hochgradig spezialisierte Nation-State-Akteure gezielt kritische IT-Infrastrukturen ins Visier nehmen.
Umso wichtiger ist ein mehrschichtiger Sicherheitsansatz, der technologische, organisatorische und personelle Schutzmaßnahmen kombiniert. ConnectWise steht exemplarisch für Unternehmen, die sich solchen Herausforderungen stellen müssen – mit Transparenz in der Kommunikation, schnellen Reaktionen und der Kooperation mit führenden Sicherheitsdienstleistern, um die Integrität und den Schutz ihrer Systeme und Kunden zu gewährleisten. Die Entwicklungen rund um den Angriff demonstrieren eindrucksvoll, dass Sicherheit in der Softwareentwicklung und im Betrieb nicht statisch sein kann, sondern ein kontinuierlicher Prozess von Anpassung und Verbesserung sein muss. Nur so lassen sich die steigenden Anforderungen eines immer vernetzteren und komplexeren Cyber-Ökosystems bewältigen und das Vertrauen der Nutzer sowie der Industrie aufrechterhalten.
