Mittwochabend, der IT-Dienstleister loggt sich routinemässig auf einen KMU-Server ein, um ein Update einzuspielen. Was er nicht weiss: Über genau dieses Werkzeug ist seit zwei Tagen jemand anderes auf der Maschine. Der Angreifer hat sich Zeit gelassen, alle Backups gefunden, dann die Verschlüsselung gestartet. Am Donnerstagmorgen klingelt das Notfall-Telefon.
Die US-Behörde CISA hat am 29. April 2026 vor aktiver Ausnutzung von ConnectWise ScreenConnect gewarnt – einer der weltweit verbreitetsten RMM-Lösungen für Remote-Wartung. Heise Security berichtet parallel über die Welle. Was Schweizer KMU davon haben sollten: jeder, der mit einem IT-Dienstleister arbeitet, hat mit hoher Wahrscheinlichkeit ScreenConnect, AnyDesk, TeamViewer oder ein vergleichbares Tool auf seinen Servern. Und genau diese Tools sind aktuell das bevorzugte Einfallstor.
Warum RMM-Tools jetzt im Visier sind
Remote Monitoring and Management ist die Kategorie von Software, mit der IT-Dienstleister Kundensysteme aus der Ferne warten – Updates einspielen, Fehler beheben, Backups orchestrieren. Sie sind per Design tief im System verankert, laufen mit hohen Rechten und haben oft direkten Zugriff aufs Active Directory.
Genau das macht sie zum Premium-Ziel:
Eine Schwachstelle, viele Opfer. Wer ScreenConnect erfolgreich angreift, kommt nicht auf einen Server, sondern auf alle Server, die das jeweilige IT-Haus damit betreut. Eine kompromittierte ConnectWise-Instanz bei einem mittleren Schweizer IT-Dienstleister ist Zugang zu Dutzenden KMU.
Die Tools laufen mit Admin-Rechten. Sobald drin, ist niemand mehr im Weg. Keine Privilege-Escalation nötig, kein Token-Stealing, kein lateraler Schritt – der Angreifer ist sofort Domain Admin oder zumindest lokaler Admin auf jeder Maschine, die das Tool managed.
Die Backdoor wird übersehen. RMM-Aktivität sieht in den Logs aus wie tägliche Wartungs-Routine. Ein Login um 03:42 Uhr nachts? Vielleicht der Patch-Job, vielleicht der Angreifer. Wenn das Tool nicht aktiv überwacht wird, fällt nichts auf.
Schweizer KMU sind durchgängig betroffen. Nicht nur die direkten ScreenConnect-Nutzer, sondern alle, die einen IT-Partner mit ScreenConnect haben. Die meisten KMU wissen nicht einmal, welches RMM-Tool ihr Dienstleister verwendet.
Wie der Angriff aktuell aussieht
CISA dokumentiert das Pattern in der aktuellen Welle:
- Angreifer nutzen bekannte und teils noch nicht gepatchte Schwachstellen in ConnectWise ScreenConnect, um eigene Sessions auf der Plattform zu starten.
- Über die etablierte Session werden Skripte auf alle verbundenen Endpoints ausgerollt – meistens PowerShell oder Batch.
- Die Skripte deaktivieren Defender und andere EDR-Lösungen, sammeln Zugangsdaten, identifizieren Backup-Systeme.
- Nach 24 bis 72 Stunden Reconnaissance startet die Verschlüsselung. Backups werden parallel gelöscht oder verschlüsselt.
- Lösegeldforderung folgt. Wegen Double Extortion oft auch Drohung mit Veröffentlichung gestohlener Daten.
Was den Angriff so gefährlich macht: er braucht keine Phishing-Mail, keinen Mitarbeitenden, der etwas falsch macht. Die Schwachstelle liegt in einer Software, die per Definition mit Admin-Rechten läuft.
Was Du heute prüfen solltest
1. Frag Deinen IT-Dienstleister direkt. Welches RMM-Tool nutzt ihr? Auf welcher Version ist es? Sind die aktuellen ConnectWise-Patches eingespielt? Falls die Antworten unsicher kommen oder gar nicht kommen, ist das selbst schon ein Warnsignal.
2. Prüfe, ob Du das Tool auf Deinen Systemen brauchst. Wenn Dein Dienstleister einmal pro Woche zur Wartung kommt, muss das Tool nicht 24/7 mit Admin-Rechten laufen. Konditionierter Zugriff, Just-in-Time-Aktivierung oder VPN-gestützte Sessions sind Alternativen, die viel weniger Angriffsfläche bieten.
3. Application Allowlisting im Firmennetz. Mit Microsoft Defender Application Control, AppLocker oder gleichwertigen Lösungen wird festgelegt, welche RMM-Tools überhaupt laufen dürfen. Wer ScreenConnect, AnyDesk und TeamViewer nicht braucht, sperrt sie pauschal aus. Selbst wenn sich jemand Zugang verschafft, kann er die typischen Tools nicht ausführen.
4. Logging und Monitoring auf RMM-Aktivität. Anmeldungen ausserhalb der vereinbarten Wartungsfenster, Massen-Scripts auf vielen Endpoints, Defender-Deaktivierungen – das sind die Frühindikatoren. Ein einfaches SIEM oder eine zentralisierte Auswertung der Windows Event Logs reicht meistens, um das zu sehen.
5. Backups prüfen, jetzt. Wenn die Backups vom selben RMM-Tool gemanaged werden, das angreifbar ist, sind sie keine Backups mehr, sondern bequem erreichbare Ziele. Mindestens eine Offline-Kopie (3-2-1-1, siehe unseren früheren Beitrag dazu) ausserhalb der RMM-Reichweite ist Pflicht.
Drei Sätze zum Mitnehmen
RMM-Tools sind das aktuelle Premium-Ziel, weil sie mit Admin-Rechten laufen und ein einziger Angriff Dutzende Kundensysteme öffnet.
Wer mit einem IT-Dienstleister arbeitet, ist betroffen – auch wenn er das ConnectWise-Logo noch nie gesehen hat.
Fünf konkrete Schritte – Patches prüfen, Tool-Notwendigkeit hinterfragen, Application Allowlisting, Monitoring, Offline-Backups – machen aus dem Einfallstor ein deutlich kleineres Risiko.
Brauchst Du Beratung dazu?
Wir betreiben IT-Infrastruktur für Schweizer KMU und Konzerne und kennen die RMM-Frage aus beiden Seiten – als Dienstleister, der Tools nutzt, und als Sicherheitsverantwortliche, die wissen, was sie absichern müssen. Wenn Du unsicher bist, wie Eure Wartungs-Tools konfiguriert sind: Schreib uns kurz. Erstgespräch ist kostenlos.
Quellen: CISA Cybersecurity Advisories vom 29. April 2026 zur aktiven Ausnutzung von ConnectWise ScreenConnect; Heise Security – Berichterstattung 29. April 2026.