Securam Consulting Logo
Kontakt

SECURAM IT-Security-Glossar

Definition:

Backdoor – Definition und Bedeutung

Eine Backdoor ist ein versteckter Zugang in Software, Systemen oder Netzwerken, der Sicherheitskontrollen umgeht und unbefugten Fernzugriff erlaubt. Sie dient Angreifern dazu, Authentifizierung oder Autorisierung auszuhebeln, Persistenz aufzubauen und weitere Schadaktivitäten vorzubereiten. Backdoors entstehen durch Malware, absichtliche Wartungszugänge oder Manipulationen in der Software-Lieferkette (Supply-Chain-Manipulation). [Q1][Q2]

Hintergrund und Entstehung

In der IT-Sicherheit bezeichnet der Begriff Backdoor einen Mechanismus, der reguläre Prüfungen auslässt und dennoch Zugriff gewährt. Autoritative Glossare definieren sie als bösartige Programme oder Funktionen, die auf Befehle lauschen und einen alternativen Einstieg in ein System schaffen, häufig über TCP/UDP-basierte Kommunikationskanäle. [Q2]

Backdoors entstehen absichtlich (z. B. versteckte Wartungszugänge) oder böswillig durch Trojaner, kompromittierte Updates oder fehlerhafte Standardkonfigurationen. Europäische Lagebilder beschreiben Backdoors als wiederkehrende Technik im Malware-Ökosystem und verorten sie im Kontext von Erpressung, Spionage und Sabotage. [Q1][Q3]

Prominent ist **CVE-2024-3094 („XZ-Backdoor“) **: Manipulierter Code in xz/liblzma 5.6.0 und 5.6.1 ermöglichte das Umgehen der SSH-Authentifizierung in bestimmten Linux-Umgebungen. Behörden empfahlen Downgrades, die Prüfung von Artefakten, die Jagd nach Indikatoren und den Neuaufbau betroffener Systeme. [Q4]

Merkmale und Funktionsweise einer Backdoor

Persistenter Fernzugriff: Backdoors etablieren dauerhafte oder wiederkehrende Zugriffspfade, häufig mit Command-and-Control-(C2)-Kommunikation über Netzwerkports. [Q2]

Umgehung von Kontrollen: Ziel ist das Umgehen von Authentifizierung, Autorisierung und Integritätsprüfungen. Privilegieneskalation ist ein häufiges Begleitphänomen. [Q1]

Einbringungswege: Erstinfektionen erfolgen oft über Trojaner, kompromittierte Software-Lieferketten, den Missbrauch schwacher Standards wie Default-Passwörter oder bewusst belassene Wartungszugänge. [Q1][Q4]

Tarnung und Persistenz: Angreifer nutzen legitime Admin-Tools, Rootkit-Techniken und signierte Binärdateien. Dadurch bleiben Backdoors häufig lange unentdeckt. [Q3]

Folgen: Mögliche Folgen sind Datendiebstahl, das Nachladen weiterer Malware, laterale Bewegung im Netzwerk und das Staging von Ransomware. Behörden beschreiben Backdoor-Funktionen regelmäßig in Warnungen und Steckbriefen. [Q1]

Bedeutung für Unternehmen und Praxisrelevanz

Für Unternehmen im DACH-Raum zählen Backdoors zu den kritischsten Angriffsvektoren. Sie ermöglichen unauffällige laterale Bewegungen, hebeln Monitoring aus und führen zu Datenabflüssen. Offizielle Leitfäden und Warnungen empfehlen strukturierte Incident-Response-Prozesse, forensische Sicherung und bei Verdacht den Neuaufbau kompromittierter Systeme. [Q1][Q4]

Wirksame Gegenmaßnahmen kombinieren Prävention mit Detection und Response: Härtung und Patch-Management, Multi-Faktor-Authentifizierung (MFA), Least-Privilege-Prinzip, Netzwerksegmentierung, EDR und Threat Hunting, Code-Signaturen, Software Bill of Materials (SBOM) sowie Due Diligence in der Lieferkette. Lageberichte betonen die Korrelation von Threat Intelligence und Vorfallmeldungen, um Supply-Chain-Backdoors schnell einzugrenzen. [Q3][Q4]

Abgrenzung zu verwandten Begriffen

Backdoor vs. Trojaner: Der Trojaner ist das Einfallsvehikel, die Backdoor der dadurch geschaffene Zugang für wiederholten Zugriff. Ein Trojaner kann eine Backdoor installieren. Die Backdoor wirkt auch nach dem Entfernen der Erstinfektion fort. [Q5]

Backdoor vs. RAT (Remote Administration Tool): Ein Remote Administration Tool (RAT) ist ein Fernwartungswerkzeug. Legitimer Einsatz ist organisatorisch geregelt. Wird ein RAT ohne Freigabe genutzt oder missbraucht, entspricht es funktional einer Backdoor.

Backdoor vs. Schwachstelle: Eine Schwachstelle ist ein Fehler oder eine Fehlkonfiguration. Eine Backdoor ist ein Mechanismus für Zugriff. Sie kann Schwachstellen ausnutzen, ist aber nicht auf sie angewiesen.

Beispiele aus der Praxis

Beispiel 1: XZ-Backdoor (2024)

In xz/liblzma 5.6.0 und 5.6.1 wurde ein Backdoor-Mechanismus platziert, der SSH-Authentifizierung aushebeln konnte. Empfohlen wurden Downgrades, die Prüfung von Paketen und Artefakten, die Suche nach Indikatoren sowie gegebenenfalls das Neuaufsetzen betroffener Systeme. [Q4]

Beispiel 2: SUNBURST (SolarWinds, 2020)

Ein Lieferkettenangriff platzierte eine signierte Backdoor in Orion-Updates. Die Folge waren weltweit zahlreiche Kompromittierungen. Analysen zeigen eine starke Tarnung des C2-Verkehrs und eine schrittweise Aktivierung der Backdoor, um Monitoring zu umgehen. [Q3]

Häufig gestellte Fragen

Was ist eine Backdoor?

Eine Backdoor ist ein verborgener Zugang, der Kontrollen umgeht und Fernzugriff erlaubt. Sie kann absichtlich als Wartungszugang vorhanden sein oder durch Malware eingeschleust werden. Offizielle Glossare und nationale Leitfäden beschreiben sie als Mechanismus zur Zugriffsgewährung trotz bestehender Schutzmaßnahmen. [Q1][Q2]

Wie funktioniert ein Backdoor-Angriff?

Angreifer schaffen einen alternativen Einstiegspunkt in ein System und verbinden sich über C2-Kanäle, oft per TCP oder UDP. Häufig wird die Backdoor über einen Trojaner installiert oder über ein kompromittiertes Update eingebracht. Persistenzmechanismen, Privilegieneskalation und Tarnung sichern den langfristigen Zugriff. [Q2][Q5]

Woran erkenne ich eine Backdoor?

Typische Indikatoren sind unerklärliche Netzwerkverbindungen, neue Dienste oder Benutzerkonten, veränderte Autostart-Einträge, manipulierte Logdateien und Binärdateien mit abweichenden Signaturen. Behörden empfehlen forensische Sicherung, Integritätsprüfungen und im Zweifel einen Neuaufbau des Systems. [Q1][Q4]

Wie entferne ich eine Backdoor?

Betroffene Systeme sollten isoliert, Beweise gesichert und Persistenzmechanismen entfernt werden. Anschließend werden saubere Images eingespielt und Zugangsdaten flächendeckend rotiert. Danach gilt es, Schwachstellen zu schließen, Segmentierung und Monitoring-Regeln zu überprüfen und die Erkennung von Backdoors zu verbessern. Offizielle Warnungen bieten hierfür praxisnahe Schrittfolgen. [Q4]

Verwandte Glossarbegriffe

  • Trojaner – Tarnende Erstinfektion, die häufig Backdoors nachlädt.
  • Malware – Überbegriff für Schadprogramme.
  • Rootkit – Tarntechniken zur Verdeckung von Malware und Backdoors.
  • Command-and-Control (C2) – Steuerkanal kompromittierter Systeme.
  • Exploit – Ausnutzung einer Schwachstelle.
  • Schwachstelle – Fehler oder Fehlkonfiguration mit Risiko.
  • SBOM – Software-Stückliste für Transparenz in der Lieferkette.
  • Zero Trust – Sicherheitsmodell mit kontinuierlicher Verifikation.

Quellen

[Q1] Bundesamt für Sicherheit in der Informationstechnik (BSI): Schadprogramme – Backdoor-Funktion und Schutz, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/schadprogramme_node.html, Abrufdatum: 10.11.2025.

[Q2] NIST Computer Security Resource Center (CSRC): Glossary – Backdoor, https://csrc.nist.gov/glossary/term/backdoor, Abrufdatum: 10.11.2025.

[Q3] European Union Agency for Cybersecurity (ENISA): ENISA Threat Landscape 2025, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025, Abrufdatum: 10.11.2025.

[Q4] Bundesamt für Sicherheit in der Informationstechnik (BSI) / Cybersecurity and Infrastructure Security Agency (CISA): Kritische Backdoor in XZ (CVE-2024-3094) – Warnung & Maßnahmen, https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf?__blob=publicationFile&v=4 und https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094, Abrufdatum: 10.11.2025.

[Q5] Wallarm: Was ist ein Backdoor-Angriff? Beispiele und Prävention, https://lab.wallarm.com/what/backdoor-angriff/?lang=de, Abrufdatum: 10.11.2025.

zum Glossar