Kritische Sicherheitslücken in BeyondTrust: Was IT-Verantwortliche jetzt tun müssen

Schwerwiegende Authentifizierungsfehler in Remote-Access-Software bedrohen Unternehmensnetzwerke weltweit – auch in Deutschland.


Was ist passiert?

BeyondTrust, einer der führenden Anbieter von Privileged Access Management (PAM) und Remote-Support-Lösungen, hat seine Kunden mit einer dringenden Sicherheitswarnung alarmiert: In den Produkten Remote Support (RS) und Privileged Remote Access (PRA) wurden zwei kritische Sicherheitslücken entdeckt, die es Angreifern ermöglichen könnten, die Authentifizierung vollständig zu umgehen.

Für IT-Verantwortliche und Geschäftsführer in deutschen Unternehmen ist diese Meldung aus mehreren Gründen höchst relevant: BeyondTrust-Produkte sind in zahlreichen mittelständischen und großen Unternehmen sowie in kritischen Infrastrukturen (KRITIS) im Einsatz. Ein erfolgreicher Angriff auf diese Systeme würde Angreifern potenziell privilegierten Zugang zu sensiblen Systemen, Kundendaten und internen Netzwerken verschaffen – mit weitreichenden rechtlichen und betrieblichen Konsequenzen.


Technischer Hintergrund: Was steckt hinter diesen Lücken?

Authentifizierungsumgehung als kritisches Angriffsszenario

Bei den entdeckten Schwachstellen handelt es sich um sogenannte Authentication Bypass Vulnerabilities – also Sicherheitslücken, bei denen ein Angreifer die regulären Anmeldeprozesse eines Systems umgehen kann, ohne gültige Zugangsdaten zu besitzen. Solche Lücken gelten in der IT-Sicherheit als besonders gravierend, weil sie die grundlegendste Sicherheitsschicht eines Systems – die Zugangskontrolle – aushebeln.

Im konkreten Fall betrifft dies:

  • BeyondTrust Remote Support (RS): Eine Lösung, die IT-Teams die Fernwartung von Endgeräten und Systemen ermöglicht – oft mit weitreichenden administrativen Rechten.
  • BeyondTrust Privileged Remote Access (PRA): Ein Tool zur kontrollierten Verwaltung privilegierter Zugänge für externe Dienstleister und Administratoren.

Beide Produkte sind typischerweise tief in Unternehmensinfrastrukturen integriert und haben Zugang zu hochsensiblen Systemen. Ein Angreifer, der die Authentifizierung erfolgreich umgeht, könnte:

  • Administratorzugang zu kritischen Systemen erlangen
  • Laterale Bewegungen im Netzwerk durchführen (sogenanntes Lateral Movement)
  • Daten exfiltrieren, Ransomware einschleusen oder Hintertüren installieren
  • Den Angriff über kompromittierte Remote-Access-Sitzungen verschleiern

Die Schwachstellen wurden mit einem CVSS-Score im kritischen Bereich bewertet, was eine sofortige Reaktion erfordert.


NIS2-Relevanz: Welche Pflichten gelten für deutsche Unternehmen?

NIS2-Richtlinie und das NIS2UmsuCG

Mit der EU-Richtlinie NIS2 (Network and Information Security Directive 2) und deren deutscher Umsetzung – dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – gelten für zahlreiche Unternehmen in Deutschland verschärfte Anforderungen an das Cybersicherheitsmanagement. Betroffen sind unter anderem Unternehmen aus den Sektoren Energie, Gesundheit, Transport, digitale Infrastruktur und viele weitere.

Die entdeckten BeyondTrust-Schwachstellen berühren gleich mehrere NIS2-Kernpflichten:

NIS2-Pflicht Relevanz im BeyondTrust-Kontext
Risikomanagement (Art. 21 NIS2) Kritische Lücken in eingesetzter Software müssen im Risikoregister bewertet werden
Patch-Management Unverzügliche Installation verfügbarer Sicherheitsupdates ist Pflicht
Meldepflichten (Art. 23 NIS2) Bei aktivem Angriff: Meldung an BSI binnen 24 Stunden (Erstmeldung)
Sicherheit der Lieferkette Drittanbieter-Software wie BeyondTrust muss kontinuierlich überwacht werden
Zugangskontrollen Kompromittierung von PAM-Systemen ist ein direkter Verstoß gegen Mindestanforderungen

Meldewege in Deutschland

Sollte ein Unternehmen feststellen, dass es durch diese Schwachstellen tatsächlich angegriffen wurde, gelten folgende Meldepflichten:

  1. Erstmeldung an das BSI innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls
  2. Detailliertere Meldung (Incident Report) innerhalb von 72 Stunden
  3. Abschlussbericht innerhalb von einem Monat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits in der Vergangenheit auf ähnliche PAM-Schwachstellen hingewiesen und empfiehlt generell, Sicherheitswarnungen von Herstellern umgehend zu bewerten und entsprechende Maßnahmen zu dokumentieren.

Wichtig für Geschäftsführer: Gemäß NIS2UmsuCG tragen Geschäftsführer und Vorstände persönliche Verantwortung für die Umsetzung von Cybersicherheitsmaßnahmen. Eine ignorierte kritische Sicherheitswarnung kann bei einem späteren Vorfall als grob fahrlässig gewertet werden.


Praktische Schutzmaßnahmen: Was Sie jetzt tun sollten

1. Sofortige Bestandsaufnahme und Versionscheck

Prüfen Sie umgehend, ob BeyondTrust Remote Support oder Privileged Remote Access in Ihrer Infrastruktur im Einsatz sind und welche Versionen betrieben werden. Nutzen Sie Ihr CMDB (Configuration Management Database) oder Asset-Management-System für eine vollständige Inventarisierung – inklusive On-Premises-Installationen und Cloud-gehosteter Instanzen.

Checkliste:
- [ ] Welche BeyondTrust-Produkte sind im Einsatz?
- [ ] Welche Versionsstände werden aktuell betrieben?
- [ ] Sind externe Dienstleister betroffen, die BeyondTrust nutzen?

2. Patches unverzüglich einspielen

BeyondTrust hat Sicherheitsupdates bereitgestellt. Spielen Sie diese sofort in einer kontrollierten Patch-Sequenz ein:

  • Testen Sie den Patch zunächst in einer Staging-Umgebung, sofern dies zeitlich vertretbar ist
  • Bei kritischen Lücken dieser Schwere empfiehlt das BSI, den Patch innerhalb von 24–72 Stunden produktiv zu setzen
  • Dokumentieren Sie den Patch-Vorgang lückenlos für Ihren Compliance-Nachweis

3. Netzwerksegmentierung und temporäre Zugangseinschränkung

Bis das Patch vollständig eingespielt ist, sollten Sie den Zugang zu BeyondTrust-Instanzen aktiv einschränken:

  • Whitelisting von IP-Adressen: Erlauben Sie den Zugang nur von vertrauenswürdigen IP-Bereichen
  • Deaktivierung nicht benötigter Funktionen innerhalb der BeyondTrust-Konsole
  • Isolierung der betroffenen Systeme vom breiteren Netzwerk, falls ein Patch-Einsatz verzögert werden muss
  • Temporäre Abschaltung der exponierten Dienste, wenn ein sofortiger Patch nicht möglich ist

4. Monitoring und Anomalie-Erkennung aktivieren

Erhöhen Sie das Logging-Level für BeyondTrust-Systeme und analysieren Sie aktive Sitzungen auf Anomalien:

  • Überprüfen Sie Authentifizierungslogs auf ungewöhnliche Zugriffsversuche oder erfolgreiche Logins ohne vorherige MFA-Bestätigung
  • Aktivieren Sie SIEM-Regeln (Security Information and Event Management) für verdächtige BeyondTrust-Aktivitäten
  • Überprüfen Sie bestehende Remote-Sitzungen auf unautorisierte Verbindungen
  • Schauen Sie auf privilegierte Konten, die möglicherweise bereits kompromittiert wurden

5. Lieferanten und externe Dienstleister informieren

Viele Unternehmen nutzen BeyondTrust nicht nur intern, sondern stellen externen IT-Dienstleistern und Managed Service Providern (MSPs) darüber Zugang bereit:

  • Informieren Sie alle externen Partner, die über BeyondTrust auf Ihre Systeme zugreifen
  • Fordern Sie eine schriftliche Bestätigung, dass auch auf Dienstleister-Seite die Schwachstelle adressiert wurde
  • Prüfen Sie Ihre Lieferantenverträge auf Regelungen zur Patch-Pflicht und Informationspflicht bei Sicherheitsvorfällen – NIS2 macht Supply-Chain-Security zur Pflicht

6. Vorfallsreaktion vorbereiten und Meldepflichten prüfen

Selbst wenn Sie (noch) nicht angegriffen wurden, sollten Sie jetzt:

  • Ihren Incident Response Plan auf den BeyondTrust-Kontext hin überprüfen
  • Die BSI-Meldekette intern aktivieren, sodass im Ernstfall keine Zeit verloren geht
  • Eine interne Risikobewertung dokumentieren, die zeigt, dass Sie die Schwachstelle erkannt und behandelt haben
  • Ihren Datenschutzbeauftragten einbinden, da bei einem Angriff auch DSGVO-Meldepflichten (Art. 33, 34 DSGVO) gegenüber der Aufsichtsbehörde und betroffenen Personen greifen können

Fazit: Schnelles Handeln schützt – Zögern kostet

Die kritischen Schwachstellen in BeyondTrust Remote Support und Privileged Remote Access sind ein erneutes Warnsignal, das die Bedeutung eines strukturierten Patch-Managements und eines robusten Risikomanagements unterstreicht. Gerade weil es sich um PAM-Software handelt – also Systeme, die per Definition mit höchsten Zugriffsrechten ausgestattet sind –, ist das Schadenspotenzial im Angriffsfall außerordentlich hoch.

Für Unternehmen, die unter die NIS2-Richtlinie fallen, ist eine dokumentierte und zeitnahe Reaktion nicht nur eine Frage der IT-Sicherheit, sondern eine rechtliche Verpflichtung – mit potenziell empfindlichen Bußgeldern und persönlicher Haftung der Unternehmensleitung im Fall der Nichterfüllung.


💡 Tipp für IT-Verantwortliche: NIS2-Compliance strukturiert managen

Die Verwaltung von Sicherheitsvorfällen, Meldepflichten, Patch-Zyklen und Lieferantenbewertungen manuell zu koordinieren, wird mit steigenden regulatorischen Anforderungen zunehmend komplex. Spezialisierte NIS2-Compliance-Software kann dabei helfen, Risiken zentral zu erfassen, Maßnahmen zu dokumentieren, Meldepflichten fristgerecht zu koordinieren und Nachweise für Behörden oder Auditoren strukturiert bereitzuhalten. Wenn Sie noch kein dediziertes Tool im Einsatz haben, ist jetzt der richtige Zeitpunkt, sich über entsprechende Lösungen zu informieren.


Quellen: Bleeping Computer (07.07.2026), BSI-Grundschutz, ENISA Threat Landscape 2024, NIS2-Richtlinie (EU) 2022/2555, NIS2UmsuCG (Deutschland)