Moderne IT-Sicherheit konzentriert sich auf Firewalls, Virenscanner und EDR-Systeme – doch ein entscheidender Schwachpunkt bleibt oft unbemerkt: die Firmware. Diese unsichtbare Schaltzentrale in Hardware-Komponenten eröffnet Hackern gefährliche Angriffsflächen.
Die Firmware als Angriffsvektor: So können Unternehmen sich vor Manipulationen in der Lieferkette und verstecktem Schadcode schützen.
(Bild: Edelweiss - stock.adobe.com)
Moderne Arbeitsgeräte sind Hochleistungsmaschinen, die es Arbeitnehmern ermöglichen, praktisch immer online zu sein und operative sowie planerische Tätigkeiten durchzuführen – egal an welchem Ort. Neben berufsspezifischen Anwendungen gehört auch Sicherheitssoftware zur Standardausstattung: Virenscanner, VPN-Verbindung ins Unternehmensnetzwerk und viele weitere Lösungen überwachen diskret im Hintergrund alle Daten, mit denen der Anwender konfrontiert wird.
Doch nicht alle Daten werden überwacht. Einige fließen, von der CPU gesteuert, von externen Quellen und Massenspeichern in den Hauptspeicher und zurück. Moderne Lösungen sind auch in der Lage, Netzwerke und Daten aus der Cloud zu analysieren. Keine dieser Lösungen jedoch betrachtet die Firmware der Komponenten auf der Hauptplatine. Jedes Subsystem hat dabei eine eigene Firmware, die im Hintergrund aktiv ist, was zu Lücken führt, die sich Hacker zunutze machen, um Schadcode auf Endgeräten zu platzieren.
Bekannte Schwachstellen nach Kategorie
(Bild: Eclypsium)
In einer Studie von November 2021 der US Cybersecurity and Infrastructure Security Agency (CISA), einer Bundesbehörde der Vereinigten Staaten, die sich mit der Sicherheit von Informationstechnologie und kritischer Infrastruktur befasst, wurden alle sogenannten Known Exploited Vulnerabilities (KEV) in einem Katalog zusammengefasst. Mit 184 Einträgen führt die Firmware diese Liste noch vor Server-Software (168) und dem Betriebssystem (161) bei dokumentierten, erfolgreichen Angriffen an.
Die Unsicherheit globaler Lieferketten
Der Angriff auf eine solche Komponente, zum Beispiel den Netzwerk-Controller, kann schon vor der eigentlichen Auslieferung und Inbetriebnahme der Geräte geschehen. Globale Lieferketten sind komplex und werden aus Kostengründen oftmals nicht lückenlos überwacht. Dies birgt erhebliche Risiken für die Sicherheit von IT-Hardware, da die Firmware von Komponenten entweder manipuliert oder die Komponenten sogar ganz ausgetauscht werden können.
Ein Lösungsansatz dafür ist die technische Prüfung der Integrität aller verbauten Komponenten. Dazu wird die bestellte Hardware, beziehungsweise alle Bauteile und deren Firmware, einer Analyse unterzogen, die bestätigen soll, dass genau die Teile enthalten sind, die bestellt wurden. Ist dies nicht der Fall, kann das Gerät noch vor Inbetriebnahme aussortiert und Ersatz beschafft werden. Außerdem wird überprüft, ob die Firmware frei von Schadcode ist und welche Versionsnummer vorliegt.
Es kann auch sein, dass festgestellt wird, dass sich nicht die aktuelle Firmware auf dem Gerät befindet. Dies ist mit Blick auf globale Lieferketten leicht zu erklären, denn zwischen der Produktion im Werk und der Auslieferung an die Nutzer vergehen in globalen Lieferketten mitunter größere Zeiträume. Das liegt nicht nur am Transport an sich, sondern beispielsweise auch an einer verzögerten Ausgabe im Unternehmen. Vergleichbar ist das vielleicht am besten mit dem Betriebssystem bei modernen Smartphones: Auch hier liegen Produktion und Kaufzeitpunkt meist soweit auseinander, dass das installierte Betriebssystem bei Einrichtung nicht mehr aktuell ist.
Wenn sich also das neue Gerät sowieso noch in der Vorbereitung auf den Betrieb befindet, könnte dann gleich die neue Firmware eingespielt werden. Damit bekommen die Mitarbeiter Geräte, welche die neueste Hardware, Firmware und Software beinhalten.
Erst nach der Überprüfung und ggf. Aktualisierung der Firmware wird das neue Gerät also an den Mitarbeiter herausgegeben. Damit ist eine mögliche Gefahr in der Lieferkette abgeschaltet worden und die neuen Geräte können aus Hardware- und Firmware-Sicht bedenkenlos in das Unternehmensnetzwerk integriert werden.
Im Rahmen der NIS (Network and Infrastructure Security) Direktive ist dies auch ein wichtiger Punkt: Die relevanten Unternehmen haben nämlich die Pflicht für eine Absicherung der Lieferketten zu sorgen. Durch die Prüfung aller Komponenten vor Inbetriebnahme kann dies gewährleistet und entsprechend dokumentiert werden.
Der Firmware-Scan als zusätzliche Schutzmaßnahme
Leider ist das Thema Firmware-Sicherheit damit noch nicht abgeschlossen. Die meisten EDR (= Endpoint Detection Response)-Lösungen können mit Viren, Ransomware und anderen Angriffsvektoren recht gut umgehen. Leider besteht auch hier immer die fortwährende Gefahr, dass ein völlig neuer Angriff den Schutz der Geräte aushebelt und Schadcode implementieren kann. Der Fokus der EDR-Lösungen liegt allerdings auf der CPU, dem Hauptspeicher und den Massenspeichern. Je nach Umfang der Lösung kann auch das Netzwerk oder sogar die Peripherie – vor allem USB-Geräte – überwacht werden.
Auch hier besteht allerdings die Lücke, dass Komponenten mit eigener Firmware nicht überwacht werden. Im schlimmsten Fall kann ein Virus in der Firmware eines Bauteils einen Angriff starten, dem die übrigen Komponenten nicht standhalten können. Und selbst wenn das EDR-Tool den Angriff bemerkt, kann es zu spät sein, falls der Schadcode bereits in das Bauteil implementiert wurde, denn die Schutzmechanismen können hier nicht im Bauteil selbst prüfen, ob ein Angriff erfolgreich war oder nicht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hier kommt also die zweite Facette des Firmware-Schutzes zum Tragen: Das kontinuierliche Abtasten aller Firmware-Komponenten auf Schadcode. So eine Prüfung muss spätestens nach jedem neuen Start der Maschine erfolgen, weil sich ein Virus nur dann manifestieren kann, wenn die Maschine neu gestartet wurde. Also ist eine regelmäßige Prüfung für die Sicherheit der Komponente und damit der ganzen Maschine unabdingbar.
Die EDR-Tools müssen daher die Prüfung und den Schutz der Maschine praktisch während der gesamten Nutzungszeit durchführen. Deshalb achten IT-Abteilungen darauf, dass der EDR-Agent nicht zu ressourcenhungrig ist. Die Firmware-Überprüfung dagegen muss nur nach dem Neustart der Maschine durchgeführt werden.
Ergibt sich bei dieser Prüfung eine Bedrohung, so muss ähnlich wie bei einem Virus oder einer sonstigen Malware, sofort der Schadcode in Quarantäne gestellt und entfernt werden. Dazu ist der Firmware-Schutz in der Lage, eine adäquate Firmware des Herstellers zu laden und die Komponente mit diesem Code auszustatten.
Zu diesem Zweck lässt sich der Firmware-Schutz mit gängigen Tools integrieren, um automatisch ein Sicherheits-Ticket zu erzeugen. Security-Analysten aus der IT haben so eine Quelle, die über sicherheitsrelevante Ereignisse informiert. Je nach Vorfall können sie mit dem EDR-Tool, dem Firmware-Schutzprogramm und anderen Tools arbeiten, um die Gefahr einzudämmen und die notwendigen Entscheidungen zu treffen. Diese Entscheidungen müssen dann dokumentiert werden, um zukünftig keinen Fehlalarm auszulösen.
Üblicherweise wird nach der erfolgreichen Abwehr dann eine Untersuchung mit forensischen Tools durchgeführt. Auf diese Weise kann die Herkunft der schadhaften Firmware ermittelt werden, um beim nächsten Angriff noch besser vorbereitet zu sein.
Zusammengefasst lässt sich also folgendes ableiten:
Transportwege lassen sich ohne hohen finanziellen Aufwand nicht lückenlos überwachen
Durch eine Prüfung beim Empfänger können Hardware- oder Firmware-Angriffe abgewehrt werden
Besser ist die kontinuierliche Prüfung aller Firmware-Komponenten, ähnlich wie bei einem Antivirus-Tool
Über den Autor: Sascha M. Köhler arbeitet seit 2022 als Software Solution Architect bei Lenovo Deutschland. Er identifiziert Anforderungen von Kunden und Geschäftspartnern aus dem europäischem Raum und kreiert dafür Lösungen aus dem ThinkShield Security-Portfolio.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/cb/24/cb242bd94c1c922b7acd32be2c91c9d9/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der Künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/e5/ade5de9fdf2919d873cd1384e173feec/0129269175v2.jpeg "Die T Cloud Public soll dem europäischen Bedürfnis nach Cloud-Souveränität gerecht werden und sich auf Augenhöhe mit den Hyperscalern begeben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/fa/6bfa3799ec2833886c5932834bb01668/0128802998v1.jpeg "Die Leistungsfähigkeit moderner Infrastrukturen ist heute selten das Problem. Trotzdem geraten viele IT-Organisationen unter Druck. (Bild: Gettyimages 1222958278 / Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/5b/77/5b77fccd92dcdc0beb9297aab7ebef7a/0129255749v2.jpeg "Das Assessment-Paper der Timetoact Group vergleicht die großen Cloud-Anbieter – europäische Lösungen müssen sich nicht verstecken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/aa/55aa1085fca6b8cbeb7326cead80be35/0129191109v2.jpeg "Pure Storage und Rubrik integrieren die automatische Erkennung von Anomalien in den Cyber Resilience Stack. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/c1/07c10f0ef99b1aaa8ec4e689bab584d6/0129245033v2.jpeg "Der Microsoft Copilot Readiness Service, der auf der Technologie von AvePoint basiert, reagiert auf die zunehmenden Anforderungen an Sicherheit, Compliance und ROI-Optimierung. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0e/bb/0ebbc766c825a0e8c4aadad7532851e8/0126553832v2.jpeg "Ransomware stellt das Damoklesschwert über den Unternehmen dar. Gelenkt von den Hackern, war Ransomware schon immer ein fatales Mittel, um Unternehmen stillzulegen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/11/1811f664f9b6b9494e57e328e6f1072b/0128383010v4.jpeg "In der Regel wird Sichtbarkeit ohne Handlungsfähigkeit zum Ballast. Sicherheit entsteht durch identitätszentrierte Prävention, sinnvolle Automatisierung und gezieltes Threat Hunting. (Bild: Canva / KI-generiert)")