RMM-Tools als Einfallstor: Security-Checkliste für ConnectWise, Kaseya und Co.

3 Min. Lesezeit

RMM-Tools (Remote Monitoring and Management) haben per Design privilegierten Zugang zu allen verwalteten Endpunkten. Genau das macht sie zum bevorzugten Einfallstor für Angreifer. CrowdStrike dokumentiert im Threat Hunting Report 2024: RMM-Missbrauch wuchs um 70 Prozent im Jahresvergleich und machte 27 Prozent aller handgeführten Intrusions aus. Ein kompromittierter RMM-Server ist nicht ein kompromittierter Kunde, sondern alle Kunden gleichzeitig.

Das Wichtigste in Kürze

• 🔒 RMM-Missbrauch stieg um 70 Prozent. 27 Prozent aller Hands-on-Keyboard-Intrusions laufen über RMM-Tools (CrowdStrike 2024).
• ⚠️ Kaseya VSA 2021: Eine Zero-Day-Schwachstelle, 60 MSPs kompromittiert, bis zu 1.500 Unternehmen betroffen, 70 Mio. Dollar Lösegeld gefordert.
• 🛡️ ConnectWise ScreenConnect CVE-2024-1709: CVSS 10.0, Authentication Bypass, trivial ausnutzbar.
• 📊 59,4 Prozent aller Ransomware-Vorfälle resultieren aus External Remote Access / RMM-Tools (Arctic Wolf 2025).
• 🔧 CISA/NSA empfehlen: MFA erzwingen, Netzwerksegmentierung, Allowlisting, alle RMM-Sessions loggen.

Warum Angreifer RMM-Tools lieben

RMM-Software ist für legitimen IT-Betrieb gebaut: Updates ausrollen, Systeme überwachen, Probleme remote lösen. Damit hat der RMM-Agent per Design Admin-Rechte auf jedem verwalteten Endpunkt, Netzwerkzugang zu allen Clients und die Fähigkeit, Code auszuführen. Für einen Angreifer ist das die perfekte Backdoor, die bereits installiert ist.

Der zweite Vorteil: Legitime Software wird von Sicherheits-Tools deutlich schwerer als bösartig erkannt. Wenn AnyDesk oder ConnectWise ScreenConnect auf einem System läuft, schlägt kein EDR Alarm. Das nennt sich Living-off-the-Land. CISA und NSA haben im Januar 2023 ein gemeinsames Advisory veröffentlicht, das beschreibt, wie Angreifer RMM-Software gezielt für Persistence und Command-and-Control einsetzen, ohne Malware zu installieren.

Sophos bestätigt: AnyDesk und PsExec kamen in mehr Incidents vor als Cobalt Strike. Mindestens 17 Ransomware-Gruppen wurden beim gezielten Einsatz von AnyDesk beobachtet, darunter REvil, Black Basta und LockBit.

Quellen: CrowdStrike Threat Hunting Report 2024, Arctic Wolf 2025

Drei Vorfälle die das Risiko greifbar machen

Kaseya VSA (Juli 2021). Die REvil-Gruppe nutzte eine Zero-Day-Schwachstelle in Kaseya VSA, einer weit verbreiteten RMM-Plattform für Managed Service Provider. Da VSA direkt auf den Endpunkten aller MSP-Kunden läuft, hatte der Angriff sofortigen Supply-Chain-Charakter: weniger als 60 MSPs direkt betroffen, aber bis zu 1.500 Downstream-Unternehmen kompromittiert. Die schwedische Supermarktkette Coop musste alle 800 Filialen für fast eine Woche schließen. REvil forderte 70 Millionen Dollar für einen universellen Entschlüsseler.

ConnectWise ScreenConnect (Februar 2024). CVE-2024-1709 erhielt den maximalen CVSS-Score von 10.0. Die Schwachstelle war ein Authentication Bypass: Ein einfacher HTTP-Request auf die Setup-Seite ermöglichte es, alle bestehenden Admin-Accounts zu überschreiben und Remote Code Execution zu erlangen. Proof-of-Concept und Metasploit-Modul waren sofort verfügbar. Alle Versionen unter 23.9.8 waren betroffen.

SimpleHelp (2025). CISA warnt aktuell vor laufender Exploitation von SimpleHelp-Schwachstellen (CVE-2024-57727, Path Traversal) durch Ransomware-Akteure. Das zeigt: Das Risiko ist nicht historisch, sondern akut.

„Angreifer nutzen RMM-Software gezielt für Persistence und Command-and-Control, ohne Malware zu installieren. Sicherheits-Tools erkennen legitime Software deutlich schwerer als bösartig.“
CISA/NSA/MS-ISAC Joint Advisory AA23-025A, Januar 2023

Security-Checkliste für RMM-Tools

Die folgenden Maßnahmen basieren auf dem CISA Guide to Securing Remote Access Software und dem Joint Advisory AA23-025A.

1. MFA auf jedem RMM-Account erzwingen. Nicht nur für Admin-Zugänge, sondern für jeden Account der RMM-Sessions steuern kann. Auch für kundengerichtete Dienste. Passkeys/FIDO2 wo möglich.

2. Netzwerksegmentierung. RMM-Management-Interfaces hinter VPN oder in ein dediziertes Admin-Netzwerk isolieren. Der RMM-Server darf nicht aus dem Internet erreichbar sein. Zero-Trust-Architektur implementieren.

3. Allowlisting statt Blocklisting. RMM-Kommunikation auf bekannte IP-Paare beschränken. Nur freigegebene RMM-Programme im Netzwerk erlauben. Jedes nicht autorisierte RMM-Tool ist ein potenzieller Angriffsvektor.

4. Alle RMM-Sessions loggen und überwachen. Ungewöhnliche Verbindungszeiten, Verbindungen von unbekannten IP-Adressen und ungewöhnliche Session-Dauer sofort flaggen. Huntress findet regelmäßig „vergessene“ RMM-Instanzen in Kundennetzwerken.

5. RMM-Inventar führen und reduzieren. Alle installierten RMM-Tools inventarisieren. Nicht genutzte Tools sofort deinstallieren. Huntress dokumentiert einen Anstieg von 214 Prozent bei RMM-bezogenen Incidents seit Januar 2024. Jedes überflüssige Tool ist Angriffsfläche.

6. Vendor Security Assessment. RMM-Anbieter regelmäßig prüfen: Patch-Frequenz, Incident-Response-Prozess, Sicherheitszertifizierungen. Nach ConnectWise (CVSS 10.0) und SimpleHelp ist die Lieferantenbewertung kein Nice-to-have.

Fazit: Das größte Risiko ist das Tool das bereits läuft

RMM-Tools sind kein optionales Risiko. Sie laufen bereits auf den Endpunkten. Sie haben bereits Admin-Rechte. Sie sind bereits im Netzwerk. Die Frage ist nicht ob man RMM absichern sollte, sondern wie schnell. CrowdStrike zeigt: Mehr als ein Viertel aller handgeführten Angriffe nutzt bereits RMM-Tools als Einstiegspunkt. Arctic Wolf dokumentiert: 59,4 Prozent aller Ransomware-Vorfälle gehen auf External Remote Access zurück. Die CISA-Checkliste oben ist der Einstieg. Heute.

Häufige Fragen

Welche RMM-Tools wurden bei Angriffen missbraucht?

Dokumentiert: ConnectWise ScreenConnect, Kaseya VSA, AnyDesk, TeamViewer, SimpleHelp, NinjaOne, Datto RMM. Mindestens 17 Ransomware-Gruppen nutzen AnyDesk gezielt. ConnectWise hatte 2024 eine Schwachstelle mit CVSS 10.0.

Wie erkenne ich RMM-Missbrauch in meinem Netzwerk?

Alle installierten RMM-Tools inventarisieren (auch nicht autorisierte). RMM-Sessions auf ungewöhnliche Zeiten, Quell-IPs und Dauer überwachen. EDR-Regeln für den Start von RMM-Prozessen außerhalb der Geschäftszeiten einrichten. CISA empfiehlt explizit Allowlisting für RMM-Kommunikation.

Sollten wir RMM-Tools abschaffen?

Nein. RMM ist für den IT-Betrieb unverzichtbar. Aber es muss gehärtet werden: MFA, Netzwerksegmentierung, Logging, Vendor Assessment. Ein nicht abgesichertes RMM-Tool ist gefährlicher als kein RMM-Tool.

Was unterscheidet den Kaseya-Vorfall von einem normalen Ransomware-Angriff?

Der Supply-Chain-Multiplikator. Kaseya VSA läuft als Agent auf den Endpunkten aller MSP-Kunden. Ein kompromittierter Server betraf nicht einen Kunden, sondern bis zu 1.500 Downstream-Unternehmen gleichzeitig. Das ist das strukturelle Risiko jeder zentralen Management-Plattform.

Quelle Titelbild: Pexels / Brett Sayles

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer