Enginsight auf der PITS 2026 – Integrierte und automatisierte Cybersecurity für die öffentliche Verwaltung
Cybersecurity im Spannungsfeld geopolitischer Herausforderungen
Die Absicherung öffentlicher IT-Systeme ist heute nicht mehr nur eine technische Aufgabe, sondern zunehmend auch von strategischer Bedeutung. Staatliche und wirtschaftliche Abhängigkeiten sowie internationale Cyberbedrohungen erfordern neue Ansätze in der Sicherheitsarchitektur. Enginsight adressiert diesen Bedarf mit einer in Deutschland entwickelten Plattform, die darauf ausgelegt ist, kritische Infrastrukturen und Verwaltungs-IT zuverlässig und nachvollziehbar abzusichern. Dabei steht insbesondere die Frage im Mittelpunkt, wie öffentliche Einrichtungen ihre IT-Systeme effizient betreiben und gleichzeitig auf dynamische Bedrohungslagen reagieren können.
Digitale Souveränität als zentraler Baustein moderner Cybersecurity
Ein zentrales Thema ist die digitale Souveränität öffentlicher Einrichtungen. Vor dem Hintergrund geopolitischer Spannungen und wachsender Abhängigkeiten von internationalen IT-Anbietern gewinnt die Fähigkeit, kritische Systeme eigenständig und verlässlich betreiben zu können, weiter an Bedeutung.
Enginsight entwickelt und betreibt seine Plattform in Deutschland und unterstützt öffentliche Auftraggeber dabei, Anforderungen an Datenschutz, Compliance und unabhängige IT-Infrastrukturen zu erfüllen. Ziel ist es, Transparenz zu schaffen, Risiken besser kontrollierbar zu machen und gleichzeitig die Abhängigkeit von externen Systemen zu reduzieren.
„Wir dürfen Cybersecurity nicht länger als rein technisches Thema behandeln. Es geht um Resilienz staatlicher Strukturen und um die Fähigkeit, im Krisenfall handlungsfähig zu bleiben. Digitale Souveränität bedeutet in diesem Kontext, Abhängigkeiten zu reduzieren und gleichzeitig die operative Kontrolle über die eigene Sicherheitsarchitektur zurückzugewinnen.“ Max Tarantik, Gründer und COO, Enginsight
Cybersecurity muss für Verwaltungen beherrschbar sein
Die zunehmende Digitalisierung der Verwaltung trifft auf knappe Ressourcen: IT-Teams stehen vor der Herausforderung, komplexe IT-Landschaften mit begrenztem Personal und Budget abzusichern. Enginsight verfolgt dabei einen klaren Ansatz: Cybersecurity soll nicht komplexer, sondern einfacher und effizienter werden.
Die Plattform bündelt zentrale Sicherheitsfunktionen wie IT-Monitoring, Asset-Transparenz, Schwachstellenmanagement und Angriffserkennung in einer integrierten Lösung. Automatisierte Analysen und vordefinierte Workflows ermöglichen es, Risiken frühzeitig zu erkennen und angemessen darauf zu reagieren, ohne umfangreiche manuelle Prozesse.
Enginsight bietet eine umfassende Cybersecurity-Lösung für den Mittelstand. 2017 in Jena gegründet, ist die vollständig inhouse entwickelte Software heute bei zahlreichen KMU im Einsatz. Die Enginsight-Plattform vereint Schwachstellenmanagement, Asset Monitoring, Angriffserkennung, Compliance-Analysen und automatisierte Abwehrmaßnahmen in einer einzigen Lösung. Unter dem Leitmotiv „Unsichtbares sichtbar machen“ und „Unsicheres sicher machen“ kombiniert Enginsight Transparenz, Automatisierung und eine praxisnahe Sicherheitsarchitektur, um den Mittelstand effizient und nachhaltig zu schützen – Cybersecurity 100 % Made in Germany.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Enginsight auf der ALSO Channel Trends+Visions 2026 – MDR und digitale Souveränität als zentrale Themen für den IT Channel
Enginsight, Anbieter einer in Deutschland entwickelten Cybersecurity‑Plattform für mittelständische Unternehmen, ist im Rahmen der Partnerschaft mit ALSO auf der CTV vertreten. Managed Detection and Response (MDR) sowie digitale Souveränität zählen dabei zu den derzeit zentralen Themen von Enginsight. Beide adressieren aktuelle Herausforderungen, mit denen sich Unternehmen und IT‑Dienstleister gleichermaßen konfrontiert sehen.
MDR: Relevanz für KMU
Die Bedrohungslage im Cyberraum verschärft sich kontinuierlich. Gleichzeitig fehlt vielen kleinen und mittleren Unternehmen die Möglichkeit, Sicherheitsvorfälle rund um die Uhr eigenständig zu erkennen und darauf zu reagieren. MDR‑Services setzen genau an dieser Stelle an, indem sie technische Erkennung mit menschlicher Analyse und strukturierter Reaktion verbinden.
Enginsight bietet seit 2024 MDR‑Leistungen auf Basis der Enginsight‑Security‑Plattform, inklusive SIEM, an. Ein dediziertes SOC-Team überwacht Bedrohungen, bewertet diese, und reagiert auf Wunsch auch direkt. Für Systemhäuser und Managed Service Provider eröffnet sich damit die Möglichkeit, ihr Portfolio um skalierbare Sicherheitsservices zu erweitern, ohne ein eigenes Security Operations Center aufbauen zu müssen. MDR wird so zu einem Ansatz, mit dem sich wiederkehrende Erlöse erzielen und Kundenbeziehungen langfristig festigen lassen.
Digitale Souveränität ALS wachsendes Entscheidungskriterium
Neben operativen Sicherheitsfragen gewinnt digitale Souveränität zunehmend an Bedeutung. Unternehmen hinterfragen stärker, wo Sicherheitslösungen entwickelt werden, wer Zugriff auf Daten hat und wie transparent Sicherheitsprozesse gestaltet sind – nicht zuletzt vor dem Hintergrund regulatorischer Anforderungen und geopolitischer Entwicklungen.
Enginsight entwickelt und betreibt seine Plattform vollständig in Deutschland und richtet sie konsequent an europäischen Datenschutz‑ und Compliance‑Anforderungen aus. Für Partner im IT‑Channel entsteht daraus ein Beratungsthema, das über reine Technik hinausgeht. Digitale Souveränität wird damit zu einem Differenzierungsmerkmal, um Kunden strategisch zu begleiten, Vertrauen aufzubauen und Geschäftsbeziehungen auszubauen.
„Cybersecurity ist für viele mittelständische Unternehmen heute weniger eine technische als eine organisatorische Herausforderung. MDR hilft, Risiken verlässlich zu managen, ohne eigene Strukturen aufbauen zu müssen. Für den IT‑Channel ist das eine echte Chance, Verantwortung zu übernehmen, Vertrauen zu stärken und Kunden langfristig strategisch zu begleiten – auch vor dem Hintergrund wachsender Anforderungen an digitale Souveränität.“
Max Tarantik, Mitgründer und COO, Enginsight
Enginsight bietet eine umfassende Cybersecurity-Lösung für den Mittelstand. 2017 in Jena gegründet, ist die vollständig inhouse entwickelte Software heute bei zahlreichen KMU im Einsatz. Die Enginsight-Plattform vereint Schwachstellenmanagement, Asset Monitoring, Angriffserkennung, Compliance-Analysen und automatisierte Abwehrmaßnahmen in einer einzigen Lösung. Unter dem Leitmotiv „Unsichtbares sichtbar machen“ und „Unsicheres sicher machen“ kombiniert Enginsight Transparenz, Automatisierung und eine praxisnahe Sicherheitsarchitektur, um den Mittelstand effizient und nachhaltig zu schützen – Cybersecurity 100 % Made in Germany.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Enginsight veröffentlicht NIS2 Readiness Check
Sieben Kategorien – klare Standortbestimmung
Der NIS2 Readiness Check bewertet den aktuellen Stand der IT-Sicherheitsmaßnahmen anhand von sieben zentralen Kategorien, die direkt aus den Anforderungen der NIS2‑Richtlinie abgeleitet sind, darunter:
- Governance & Management‑Reporting
- Angriffserkennung
- Backup & Disaster Recovery
- Risikoanalyse
- Incident Response‑Vorbereitung
- Schulungen & Awareness
- Technische Schutzmaßnahmen
Jede Kategorie wird anhand klarer, praxisnaher Fragen bewertet, beispielsweise zu dokumentierten Risikoanalysen, etablierten Meldewegen, regelmäßigen Restore Tests oder dem Stand von Schulungsmaßnahmen.
Konkrete Ergebnisse statt abstrakter Theorie
Auf Basis der Antworten erhalten Unternehmen einen verständlich aufbereiteten Ergebnisbericht, der Folgendes umfasst:
1. Reifegrad Benchmarking
Das Tool ordnet die eigenen Ergebnisse in Relation zu anderen Unternehmen der Branche ein, und ermöglicht damit eine realistische Einschätzung des Sicherheitsniveaus.
2. Top drei Sofortmaßnahmen mit Zeitplan
Für jede Organisation werden drei priorisierte Handlungsempfehlungen inklusive eines groben zeitlichen Rahmens vorgeschlagen, etwa zur Einführung regelmäßiger Audits, zur Professionalisierung des Notfallmanagements oder zur Festlegung von Reporting Strukturen.
3. RoSI Berechnung & Strafenpotenzial
Der Bericht schätzt potenzielle Kosten und wirtschaftliche Auswirkungen ab, darunter:
- Return on Security Investment (RoSI)
- Break Even‑Betrachtungen
- Risiko und Schadenpotenziale im Nicht‑Compliance Fall
Diese betriebswirtschaftliche Perspektive hilft Entscheidern, Maßnahmen zu priorisieren und zu budgetieren.
Praxisnahe Quick Tipps für jede Frage
Ein besonderes Highlight sind die begleitenden Quick Tipps, die für jede Bewertungsfrage praxisnahe Hinweise geben, etwa zur Gestaltung eines effizienten 1‑Seiten Management Reportings, sinnvollen Kennzahlen (z. B. Patchquote, MFA‑Abdeckung), der Bedeutung von Restore‑Tests oder zur Ausgestaltung von Incident‑Response-Plänen.
Fokus auf Umsetzbarkeit statt Papier Compliance
Die Enginsight Reifeprüfung setzt bewusst auf klare Handlungsempfehlungen, um Organisationen den Einstieg in eine nachhaltige NIS2-Umsetzung zu erleichtern. Sie bildet zudem die Grundlage für weiterführende technische Maßnahmen innerhalb der Enginsight Plattform, darunter Asset Discovery, Schwachstellenerkennung, automatisierte Penetrationstests und SIEM-gestützte Angriffserkennung.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
BlueHammer – Windows did it again!
Bisher gibt es von Microsoft keinen Patch dazu.
Wie funktioniert der Angriff?
Quelle: https://github.com/Nightmare-Eclipse/BlueHammer
1. RPC-Verbindung zum Windows Defender Dienst
Der Angriff nutzt eine Schwäche im Update-Mechanismus von Windows Defender aus. Windows Defender selbst läuft als hochprivilegierter Dienst und nutzt für Updates eine sogenannte RPC-Schnittstelle (hier c503f532-443a-4c69-8300-ccd1fbdb3839 – weitere Infos unter https://gist.github.com/enigma0x3/2e549345e7f0ac88fad130e2444bb702). Diese Schnittstelle ermöglicht es Programmen, Funktionen in anderen Adressräumen aufzurufen. Der Exploit ruft diese direkt an (ab Z.269) und täuscht dem Defender ein Update vor (RPC_STATUS stat = Proc42_ServerMpUpdateEngineSignature(bindhandle, NULL, args->dirpath, &errstat);(Z.285)). Hierfür werden sogar echte Microsoft Update Dateien aus dem Internet heruntergeladen.
2. TOCTOU-Manipulation – Erstellen eines NT Symbolic Link
Während der Defender Dienst prüft, welche Datei er einlesen soll, entsteht eine zeitliche Lücke bis zum eigentlichen Einlesen. In dieser Zeit tauscht der Exploit das Ziel aus, mittels eines Symbolic Links. Der privilegierte Defender-Prozess liest dann nicht mehr die harmlose Update-Datei, sondern ein vom Angreifer kontrolliertes Ziel. Der Code lädt dabei NtCreateSymbolicLinkObject direkt aus der ntdll.dll zur Laufzeit, anstatt auf normale Windows-APIs zurückzugreifen. Dadurch kann er eine interne, nicht dokumentierte NT-Systemfunktion nutzen, um im Object Manager Namespace symbolische Links auf niedriger Ebene zu erzeugen und so den Pfad gezielt zwischen Prüfung und Nutzung umzubiegen.
Dieses Verfahren nennt man auch Time-of-Check, Time-of-Use (TOCTOU)-Prinzip und bedeutet so viel wie: geprüft wird Objekt A, verwendet wird aber Objekt B. Weitere Infos dazu unter: https://www.heise.de/hintergrund/Secure-Coding-CWE-377-TOCTOU-Race-Conditions-in-den-Griff-bekommen-10081613.html
3. SAM-Zugriff via Offline Registry
Nach dem Austausch des Objektes, wird dieses mit den Defender Rechten (SYSTEM) geöffnet. Darüber gelangt er an die SAM-Datenbank, welche die Benutzerverwaltung von Windows ist. Der Exploit nutzt eine Offline Registry-Bibliothekt (offreg.h), die zum Bearbeiten von Registry-Hives im Offline-Modus (also ohne die laufenden Sicherheitsprüfungen des Systems) genutzt werden kann.
In Kombination mit ntsecapi.h (NT Security API) wird damit direkt in die SAM-Datenbank geschrieben, um Passwörter und Gruppenrechte zu ändern.
Dazu wird DWORD err = OROpenHive(sampath, &hSAMhive);(Z. 2492) verwendet, wobei sampathder Pfad zur Datei SAM-Datei (C:WindowsSystem32configSAM) ist und OROpenHivedie Datei als offline Registry Hive lädt.
4. Zugriff auf die Account Struktur und Passwort Änderung
Nachdem die SAM geladen wurde, navigiert der Code innerhalb der Registry-Struktur. Zuerst wird der Account-Bereich geöffnet (Z.2510) err = OROpenKey(hSAMhive, L"SAM\Domains\Account", &hkey);
Kurz darauf folgt der entscheidende Schritt, bei dem der Zugriff auf alle Benutzer erfolgt (Z.2533) err = OROpenKey(hSAMhive, L"SAM\Domains\Account\Users", &hkey);.
Dieser Pfad ist wichtig, denn hier liegen alle lokalen Benutzerkonten. Jeder Subkey innerhalb dieses Schlüssels entspricht einem Benutzer, identifiziert durch seine RID.
Um alle Nutzer zu verarbeiten, wird im nächten Schritt, die Anzahl der Subkeys ermittelt, mittels (Z. 2541)
DWORD subkeys = NULL; err = ORQueryInfoKey(hkey, NULL, NULL, &subkeys, NULL, NULL, NULL, NULL, NULL, NULL, NULL);
Die eigentliche Suche nach den Accounts erfolgt über eine Schleife, die jeden Subkey durchläuft (Z. 2552)
for (int i = 0; i < subkeys; i++) { DWORD keynamesz = 0x100; wchar_t keyname[0x100] = { 0 }; err = OREnumKey(hkey, i, keyname, &keynamesz, NULL, NULL, NULL);
Dabei liefert OREnumKeyjeweils den Namen eines Subkeys. Für jeden gefundenen Eintrag wird anschließend der jeweilige User Key geöffnet (Z. 2564)
ORHKEY hkey2 = NULL; err = OROpenKey(hkey, keyname, &hkey2);
Dadurch ist es möglich, den sogenannten V-Wert auzulesen und an Usernamen, LM-Hash, NTLM-Hash und weitere Metadaten zu gelangen (Z. 2571).
DWORD valuesz = 0; err = ORGetValue(hkey2, NULL, L"V", NULL, NULL, &valuesz);
Der NTLM Hash (realNTLMHash) wird entschlüsselt und es folgt die Passwortänderung durch die Funktion ChangeUserPasswort. Dabei wird der aktuelle Hash durch den neuen Hash (newNTLM) ersetzt.
5. Spawnen der Shell
Nach erfolgreicher Passwortänderung spawnt der Exploit im nächsten Schritt eine Shell im Kontext des manipulierten Users und nutzt dafür das temporär gesetzte Passwort:
if (!CreateProcessWithLogonW( username, NULL, newpassword_unistr, LOGON_WITH_PROFILE, L"C:\Windows\System32\conhost.exe", NULL, CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT, NULL, NULL, &si, &pi)) { printf(" Shell : Error %dn", GetLastError()); } else { printf(" Shell : OK.n"); }
Mit dem erfolgreichen Spawn der Shell ist die Ausführungskette des Exploits abgeschlossen. Durch die temporäre Manipulation der NTLM-Hashes und die anschließende Anmeldung im Kontext privilegierter Accounts erhält der Angreifer unmittelbaren Zugriff auf eine interaktive Session mit erweiterten Rechte.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
CVE-Datenqualität neu gedacht: Enginsight setzt auf CNA- und ADP-Enrichment
CNA- und ADP-Enrichment stärkt die Enginsight CVE-Datenbank mit mehr Kontext und besserer Datenqualität.
Common Vulnerabilies and Exposures (CVE) sind ein zentraler Dreh- und Angelpunkt für die Analyse von Schwachstellen. Sie verbinden Herstellerhinweise, Scanner, Tickets und Reporting über eine eindeutige Referenz. In der Praxis wird dafür zumeist auf die National Vulnerability Database (NVD) zurückgegriffen. Sie gilt als Standardquelle für CVE-Metadaten. Gleichzeitig bleibt die Frage, ob eine einzelne Quelle für ein so kritisches Thema ausreicht und ob man sich im Zweifel von deren Vollständigkeit und Aktualität abhängig machen möchte.
70 Tage Vorsprung: Wie Enginsight CVEs schneller und zuverlässiger erkennt
Enginsight setzt daher seit jeher auf eine breite Datenbasis und nutzt neben der NVD auch herstellerspezifische CVE-Datenbanken, etwa von Microsoft, verschiedenen Linux-Distributionen und weiteren Anbietern. Neu ist, dass die CVE-Daten aus der NIST-Datenbank nun zusätzlich durch CNA-Quellen und ADP-Enrichment angereichert werden. Dadurch lassen sich über 8 % mehr CVEs zuverlässig auswerten, während relevante Zusatzinformationen im Durchschnitt rund 70 Tage früher zur Verfügung stehen als in der reinen NVD.
Definition zentraler Begriffe
Common Vulnerabilies and Exposures (CVE) – Ein standardisiertes System zur eindeutigen Benennung und Beschreibung öffentlich bekannter Schwachstellen.
Common Vulnerability Exposure Scoring System (CVSS) – Ein Bewertungssystem, das die technische Schwere einer Schwachstelle als Score abbildet und häufig als Metadatum zu einer CVE geführt wird.
National Institute of Standards and Technology (NIST) – Eine US-Behörde, die die National Vulnerability Database (NVD) betreibt und bereitstellt.
National Vulnerability Database (NVD) – Eine von der NIST betriebene Datenbank, die CVE-Einträge sammelt und um standardisierte Metadaten wie CVSS, Referenzen und Produktzuordnungen ergänzt.
CVE Numbering Authorities (CNA) – Eine autorisierte Stelle im CVE-Programm, die CVE-IDs vergeben und CVE-Records für ihren Zuständigkeitsbereich veröffentlichen, pflegen und bspw. um weitere Metadaten oder Kontext anreichern darf.
Authorized Data Publisher (ADP) – Eine autorisierte Stelle im CVE-Programm, die bestehende CVE-Records zusätzlich anreichern darf, bspw. um weitere Metadaten oder Kontext.
Warum NVD allein nicht mehr reicht
Die NVD ist eine von NIST betriebene Datenbank für öffentlich bekannte Schwachstellen. Sie orientiert sich am CVE-Standard, registriert Schwachstellen als CVEs und ergänzt die Einträge um weitere Metadaten, wie zum Beispiel Scoring, Referenzen und Produktzuordnungen. Damit stellt sie einen zentralen Mehrwert für automatisierte CVE-Erkennung und Patchmanagement dar.
In der Praxis zeigt sich jedoch ein wiederkehrendes Problem. Viele Einträge bleiben zunächst unvollständig, weil die entscheidenden Detailinformationen oft fehlen oder erst verzögert ergänzt werden.
Eine CVE ist aber nur dann für automatisierte Analysen wirklich nutzbar, wenn ausreichend Details vorliegen. Fehlen diese Informationen oder werden sie verspätet nachgezogen, bieten NVD-Einträge nur begrenzten Mehrwert.
Das Resultat sind direkte Auswirkungen auf Erkennung und Priorisierung von CVEs. So werden CVEs nicht zuverlässig auf Systemen erkannt, nicht entsprechend gematcht oder lassen sich nicht verlässlich bewerten. Ein typischer Effekt ist die Häufung von False Positives, bspw. durch zu grobe Produktzuordnung, oder noch kritischer: False Negatives durch die unsaubere Erkennung betroffener Versionen.
Doch wie kann man diese Hürden überwinden?
Die Lösung: Zusätzliches CNA- und ADP-Matching
Während die NVD auf externe Quellen angewiesen ist, haben die Hersteller betroffener Software und Anwendungen die fehlenden Informationen häufig früher und in höherer Detailtiefe parat. Genau an dieser Stelle setzen CNA-Quellen an. CNAs sind zumeist Hersteller oder Maintainer, welche CVEs für Ihren Zuständigkeitsbereich vergeben und zugehörige Datensätze pflegen.
ADP-Enrichment ergänzt diese Herstellerperspektive zusätzlich. ADPs reichern CVE-Datensätze mit zusätzlichen Informationen an. Besonders hilfreich ist das vor allem dann, wenn Datensätze der NVD noch unvollständig sind oder zusätzlicher Kontext für eine reelle Priorisierung fehlt.
Durch die Kombination aus NVD, CNA und ADP ergeben sich ganz konkrete Vorteile:
- Besser verwertbare CVE-Datensätze
Datenbankeinträge in der NVD ohne konkrete Zusatzinformationen werden schneller nutzbar. So können Lücken in Analysen geschlossen und eine höhere Abdeckung geschaffen werden.
- Optimiertes Produkt- und Versionsmatching
Hersteller liefern oftmals präzisere Angaben zu betroffenen sowie nicht betroffenen Versionen und konkreten Fix-Versionen. Durch genauere Versionierung und klare Fix-Zielstände können False Positives effektiv reduziert werden. Gleichermaßen sinkt die False-Negatives-Rate durch ungenaue oder unvollständige NVD-Zuordnungen.
- Mehr Kontext für Priorisierung
Der CVSS genügt in der Realität selten aus. Die Anreicherung durch CNA- und ADP-Daten bietet zusätzlichen Kontext für eine Priorisierung. Somit wird aus einem einfachen Score eine realistische Bewertung für die eigenen Systeme.
- Schnellere Handlungsfähigkeit
Wenn Informationen über betroffene Versionen, Fix-Versionen oder Mitigationsmöglichkeiten der betroffenen Schwachstelle direkt im Datensatz vorliegen, können Workflows automatisiert greifen. So werden Erkennung, Einordnung und Priorisierung von CVEs optimiert sowie die Patch-Planung vereinfacht.
- Nachvollziehbarkeit durch transparente Quellen
Wenn Daten aus mehreren Quellen stammen, sind Informationen über den Ursprung der Quellen relevant, was durch die klare Zuordnung zu CNA oder ADP sichtbar wird. Dies erleichtert die Prüfung durch Analysten, macht Entscheidungen bei widersprüchlichen Aussagen nachvollziehbar und liefert im Audit oder gegenüber Kunden einen belastbaren Nachweis, warum eine CVE so bewertet und priorisiert wurde.
Messbare Vorteile in der Enginsight CVE-Datenbank
Neben den genannten Vorteilen ist die Anreicherung der Enginsight CVE-Datenbank um CNA- und ADP-Quellen auch direkt messbar. Vor der Einführung der Erweiterung fehlten für 32.717 Einträge aus der NVD verwertbare Zusatzinformationen. Durch die Einbindung von CNA-Quellen konnten bereits 1.793 dieser zuvor „leeren“ Einträge in einen nutzbaren Zustand überführt werden. Durch ADP-Enrichment kommen weitere 1.049 ergänzte CVEs hinzu.
Damit steigt die Abdeckung um 8,69 % in Bezug auf Einträge, die zuvor nicht zuverlässig analysierbar waren und nun verwertbar sind. Zusätzlich ergibt sich ein klarer zeitlicher Vorteil. In unserer CVE-Datenbank liegen die entscheidenden Zusatzinformationen im Schnitt 70 Tage früher als in der NVD vor.
Durch den weiteren Ausbau der Versionserkennung für CNA- und ADP-Daten können Sie sich künftig auf eine weitere Erhöhung der Abdeckung freuen.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Axios NPM Supply Chain Kompromittierung
Enginsight nutzt das Paket ebenfalls, hatte die spezifische, kompromittierte Version (1.14.1) aber nicht installiert und ist somit nicht betroffen!
Betroffene Versionen und Sicherheitskennungen
Zwei manipulierte axios-Versionen wurden über den kompromittierten Account veröffentlicht, beide mit einer neuen bösartigen Abhängigkeit plain-crypto-js:
Sichere Versionen: axios@1.14.0 (letztes legitimes 1.x-Release) und axios@0.30.3 (letztes legitimes 0.x-Release). Weitere betroffene Pakete im Ökosystem: @shadanai/openclaw (mehrere Versionen) und @qqbrowser/openclaw-qbot@0.0.130, die den manipulierten axios transitiv auslieferten.
Ablauf des Angriffs
Die Angriffskette begann mit der Vorbereitung einer bösartigen Abhängigkeit. Der Angreifer veröffentlichte zunächst das Paket plain-crypto-js als nahezu identischen Klon von crypto-js, um Vertrauen aufzubauen und eine unauffällige Historie in der npm-Registry zu erzeugen. Wenige Stunden später folgte eine neue Version, die ein manipuliertes postinstall-Skript enthielt.
Anschließend wurden zwei scheinbar legitime axios-Versionen veröffentlicht. Der einzige Unterschied bestand darin, dass sie die präparierte Abhängigkeit plain-crypto-js einbanden. Der eigentliche Schadcode befand sich somit nicht direkt in axios, sondern versteckt in dieser transitiven Abhängigkeit.
Beim Ausführen von npm install wurde automatisch das bösartige postinstall-Skript gestartet. Dieses war stark verschleiert, entschlüsselte sich zur Laufzeit und lud benötigte Systemfunktionen dynamisch nach. Danach identifizierte es das Betriebssystem und nahm Kontakt zu einem Command-&-Control-Server auf.
Im nächsten Schritt wurde je nach Plattform ein passender Remote-Access-Trojaner nachgeladen und ausgeführt. Dabei nutzte der Angreifer Tarntechniken, etwa unauffällige Domainnamen, um die Kommunikation weniger verdächtig erscheinen zu lassen.
Abschließend führte die Malware Anti-Forensik-Maßnahmen durch. Dabei löschte das Installationsskript sich selbst und manipulierte Dateien so, dass die Installation wie eine harmlose Version wirkte. Sicherheitsprüfungen wie npm audit schlugen daher nicht an. Der einzige verbleibende Hinweis auf eine Kompromittierung war das Vorhandensein des verdächtigen Pakets im node_modules-Verzeichnis.
Indicators of Compromise
Malicious npm Packages
- axios@1.14.1 · shasum: 2553649f2322049666871cea80a5d0d6adc700ca
- axios@0.30.4 · shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
- plain-crypto-js@4.2.1 · shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766
Network Indicators
- C2 domain · sfrclak.com
- C2 IP · 142.11.206.73
- C2 URL · http://sfrclak.com:8000/6202033
- C2 POST body (macOS) · packages.npm.org/product0
- C2 POST body (Windows) · packages.npm.org/product1
- C2 POST body (Linux) · packages.npm.org/product2
File System Indicators
- macOS · /Library/Caches/com.apple.act.mond
- Windows (persistent) · %PROGRAMDATA%wt.exe
- Windows (temp, self-deletes) · %TEMP%6202033.vbs
- Windows (temp, self-deletes) · %TEMP%6202033.ps1
- Linux · /tmp/ld.py
Attacker-Controlled Accounts
- jasonsaayman · compromised legitimate axios maintainer, email changed to ifstap@proton.me
- nrwise · attacker-created account, nrwise@proton.me, published plain-crypto-js
Erkennung durch Enginsight SIEM
Die Streams wurden anhand der unten aufgeführten Quellen erarbeitet. Da das Paket nicht mehr zur Verfügung steht, konnten bisher keine Tests durchgeführt werden.
Kill Chain Windows:
- Der Entwickler hat auf axios@1.14.1 aktualisiert, wodurch automatisch der postinstall- Hook, über das Paket plain-crypto-js ausgeführt wird. Dadurch erzeugt node eine cmd.exe oder cscript.exe als Kindprozess
sysmon.EventID:"1" AND sysmon.ParentImage_str:"node" AND (sysmon.Image_str:"cmd.exe" OR sysmon.Image_str:"cscript.exe") - Es wird eine Verbindung zum C2 Server aufgebaut (siehe Indicators of Compromise) sysmon.EventID:"3" AND gen.dest.ip_str: "142.11.206.73" AND (gen.dest.port:"8000" OR gen.dest.port:"3000")
- Es wird eine unbenannte Powershell-Kopie wt.exe und eine versteckte Batch Datei system.bat (als Fallback Loader) in %PROGRAMDATA% abgelegt. %PROGRAMDATA% erfordert keine Admin-Rechte und wird von vielen AV-Lösungen weniger restriktiv behandelt.
sysmon.EventID:"11" AND sysmon.TargetFilename_str:in("C:ProgramDatawt.exe", "C:ProgramDatasystem.bat") - Als letzten Schritt schreibt der Dropper den Registry-Eintrag HKCUSoftwareMicrosoftWindowsCurrentVersionRunMicrosoftUpdate mit dem Wert %PROGRAMDATA%system.bat Damit wird sichergestellt, dass system.bat bei jedem Login des aktuellen Benutzers automatisch ausgeführt wird
sysmon.EventID:"13" AND sysmon.TargetObject_str: "CurrentVersionRunMicrosoftUpdate"
Quellen:
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Enginsight zeigt auf dem ADN Transformation Day 2026 souveräne IT Security Architekturen für den Channel
Der ADN Transformation Day findet 2026 unter dem Motto „Channel your Energy“ statt und richtet sich an Systemhäuser, Managed Service Provider (MSPs), Reseller und IT‑Dienstleister im DACH‑Raum. Im Mittelpunkt stehen Cloud‑, KI‑ und Security‑Strategien sowie deren wirtschaftliche Umsetzung im Channel. Enginsight ist neben weiteren Technologiepartnern als Aussteller auf der Partner‑Expo vertreten.
On‑Premises‑Security als strategischer Baustein
Ein zentraler Programmpunkt ist der 40‑minütige Fachvortrag von Bernhard Oertel und Jürgen Münstermann unter dem Titel:
„Enginsight – On‑Premises‑Architektur für Ihre Security und Datensouveränität.
Vorstellung des innovativen IT‑Security‑Herstellers aus Deutschland“.
Der Vortrag zeigt, wie Unternehmen und IT‑Dienstleister Sicherheitsarchitekturen aufbauen können, die volle Kontrollierbarkeit, europäische Compliance und technologische Tiefe verbinden, und dabei bewusst Alternativen zu rein Cloud‑zentrierten Modellen bieten. Damit adressiert Enginsight eine wachsende Nachfrage im Channel nach souveränen, revisionssicheren Sicherheitslösungen „Made in Germany“.
Der Channel als Fundament der Enginsight‑Strategie
Für Enginsight steht der Channel im Zentrum der eigenen Marktstrategie. Das Unternehmen verfolgte bereits früh nach seiner Gründung einen konsequenten Partner‑ und Distributionsansatz.
„Der Channel ist für Enginsight nicht nur ein Vertriebsweg, sondern der entscheidende Hebel, um Cybersecurity in der Breite wirksam und wirtschaftlich umzusetzen. Unsere Plattform ist bewusst so entwickelt, dass Systemhäuser und MSPs daraus eigene, skalierbare Services aufbauen können, und damit echten Mehrwert für ihre Kunden schaffen“, sagt Max Tarantik, Mitgründer und COO von Enginsight.
Enginsight arbeitet heute mit mehreren hundert Partnern zusammen und baut sein Netzwerk kontinuierlich über Distributoren und regionale Channel‑Partner aus.
Enginsights Angebot für Systemhäuser und MSPs
Die Enginsight‑Plattform vereint Funktionen wie IT‑Inventarisierung, Schwachstellenmanagement, automatisierte Penetrationstests, Angriffserkennung, SIEM‑Funktionen und Compliance‑Unterstützung in einer zentralen Lösung. Für den Channel bedeutet das:
- Reduzierte Komplexität durch den Wegfall vieler Einzeltools
- Schnellere Implementierung und geringerer Betriebsaufwand
- Planbare Kostenmodelle für Managed‑Security‑Services
- On‑Premises‑ und hybride Betriebsmodelle für maximale Datensouveränität
Besonders im Kontext von NIS2 und steigender Haftungs‑ und Nachweispflichten bietet Enginsight Systemhäusern die Möglichkeit, Security als skalierbares Geschäftsmodell zu etablieren.
Über Enginsight
Enginsight bietet eine umfassende Cybersecurity‑Lösung für den Mittelstand. 2017 in Jena gegründet, ist die vollständig inhouse entwickelte Software heute bei zahlreichen KMU im Einsatz. Die Plattform vereint Schwachstellenmanagement, Asset Monitoring, Angriffserkennung, Compliance‑Analysen und automatisierte Abwehrmaßnahmen in einer einzigen Lösung. Unter dem Leitmotiv „Unsichtbares sichtbar machen“ und „Unsicheres sicher machen“ kombiniert Enginsight Transparenz, Automatisierung und eine praxisnahe Sicherheitsarchitektur, um den Mittelstand effizient und nachhaltig zu schützen – Cybersecurity 100 % Made in Germany.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Enginsight stärkt digitale Resilienz und Souveränität im öffentlichen Sektor
Plattform für sichere Verwaltungsdigitalisierung in Brandenburg
Der von der Fachzeitschrift Behörden Spiegel veranstaltete Kongress „Digitale Zukunft Brandenburg“ bringt am 21. April 2026 in Potsdam Vertreterinnen und Vertreter aus Verwaltung und Kommunen, politische Entscheidungsträger, Wissenschaft sowie Lösungsanbieter zusammen. Im Mittelpunkt stehen der aktuelle Stand sowie die Perspektiven der digitalen Transformation im Land Brandenburg.
Mit der Gründung des Ministeriums der Justiz und für Digitalisierung im Jahr 2025 hat das Land die strategische Bündelung zentraler Digitalvorhaben – darunter E‑Government, Onlinezugangsgesetz und Registermodernisierung – vorangetrieben. Gleichzeitig stellen föderale Strukturen, große Entfernungen und heterogene IT‑Landschaften erhebliche Anforderungen an IT‑Sicherheit, Steuerbarkeit und digitale Resilienz.
Vor diesem Hintergrund gewinnt auch die Frage der digitalen Souveränität an Gewicht: Verwaltungen sind gefordert, ihre digitalen Kernprozesse unabhängig, nachvollziehbar und rechtssicher betreiben zu können, insbesondere bei sicherheitskritischen Funktionen.
Enginsight adressiert diesen Bedarf durch die Absicherung verteilter Verwaltungs‑IT, eine kontinuierliche Erfassung und Bewertung von IT‑Assets sowie die Unterstützung bei der Umsetzung regulatorischer Sicherheitsanforderungen. Die Lösung wird in Deutschland entwickelt und betrieben und trägt damit dem zunehmenden Wunsch nach vertrauenswürdigen, national verorteten Sicherheitslösungen Rechnung.
Cyberresilienz für das Gesundheitswesen auf der DMEA 2026
Parallel ist Enginsight vom 21. bis 23. April 2026 auf der DMEA – Connecting Digital Health – in Berlin vertreten, der führenden Messe und dem zentralen Kongress für die digitale Gesundheitswirtschaft in Europa. Mit rund 900 Ausstellern und mehr als 20.500 Fachbesuchern gilt die DMEA als zentrale Plattform für den Austausch zwischen Gesundheitswesen, IT, Wissenschaft und Politik.
Die Programmschwerpunkte der DMEA 2026 umfassen unter anderem resiliente IT‑Infrastrukturen, Datensicherheit, Interoperabilität sowie den Schutz sensibler Gesundheitsdaten. Enginsight präsentiert sich auf dem Thüringer Gemeinschaftsstand (Berlin, Messegelände, Halle 3.2, Stand E‑108) und adressiert insbesondere Krankenhäuser, Klinikverbünde und öffentliche Gesundheitseinrichtungen, die als Teil der Kritischen Infrastruktur besonderen Anforderungen an Sicherheit, Verfügbarkeit und regulatorische Konformität unterliegen.
Enginsight: Sicherheit „Made in Germany“ als Grundlage staatlicher Handlungsfähigkeit
„Der öffentliche Sektor ist das Rückgrat unseres Gemeinwesens. Sein digitaler Schutz ist keine Option, sondern eine grundlegende Voraussetzung für staatliche Handlungsfähigkeit und das Vertrauen der Bürgerinnen und Bürger“, erklärt Max Tarantik, Mitgründer und COO von Enginsight. „Digitale Souveränität bedeutet für Behörden, jederzeit zu wissen, was im eigenen Netz passiert, und sicherheitskritische Entscheidungen unabhängig treffen zu können. Lösungen Made in Germany leisten hierzu einen wichtigen Beitrag, weil sie Transparenz, rechtliche Klarheit und technologische Kontrolle vereinen.“
Die Enginsight‑Plattform bietet eine ganzheitliche Sicht auf Sicherheitsrisiken, ermöglicht automatisierte Schwachstellenanalysen und unterstützt Organisationen des öffentlichen Sektors praxisnah bei der Umsetzung von Sicherheits‑ und Compliance‑Anforderungen – mit einem klaren Fokus auf digitale Souveränität, Nachvollziehbarkeit und Betriebssicherheit.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Corporate Communication
E-Mail: Sabine.Kuch@enginsight.com
Enginsight auf dem ALSO Solution Day in Luzern
Cybercrime in der Schweiz auf Rekordniveau
Die Bedrohungslage steigt weiter:
• Im 2. Halbjahr 2025 wurden 29.006 freiwillige und 145 Pflichtmeldungen zu Cybervorfällen registriert.
• Ransomware, besonders durch die Gruppe Akira, nimmt deutlich zu und nutzt gezielt bekannte Schwachstellen.
• Insgesamt wurden 65.000 Cybervorfälle im Jahr 2025 erfasst – qualitativ gefährlicher als im Vorjahr.
• Phishing und Betrugsdelikte bleiben die häufigsten Angriffstypen
Schweizer Unternehmen – besonders KMUs – stehen einer immer professionelleren, automatisierten Angriffslandschaft gegenüber.
Regulatorischer Druck steigt: NIS2 & EU AI Act
Auch ohne EU-Mitgliedschaft betreffen europäische Regelwerke Schweizer Unternehmen unmittelbar:
NIS2 – relevant trotz Nicht-EU-Status
- Firmen mit Lieferketten- oder Kundenbezug zur EU müssen NIS2‑Pflichten erfüllen.
• Die Schweiz passt ihr eigenes ISG ab 2025 stärker an NIS2 an.
EU AI Act – extraterritoriale Wirkung
- Gilt nach dem Marktortprinzip auch für Schweizer Unternehmen, sofern KI‑Systeme in der EU genutzt werden.
• Besonders relevant für Firmen in kritischen oder stark regulierten Bereichen.
Schweizer Unternehmen benötigen zunehmend automatisierte, zentral steuerbare und compliance-fähige Cybersecurity-Lösungen – wie die Plattform von Enginsight.
Enginsight setzt auf starken Channel, strenge Compliance und die Power von ALSO
Mehrere Faktoren machen die Schweiz zu einem besonders relevanten Markt für Enginsight:
- Hohe Datenschutz- und Compliance-Anforderungen, ähnlich wie in Deutschland – ideal für eine Plattform „Made in Germany“ mit Fokus auf Datensouveränität.
- Starkes KMU-Segment, das zunehmend Ziel professioneller Cyberangriffe wird.
- Wachsender ICT‑Channel – insbesondere durch starke Distributoren wie ALSO.
- Enginsight hat durch die Partnerschaft mit ALSO einen direkten Zugang zu einem der stärksten Partnernetzwerke Europas.
Mit über 350 Partnern in Europa und einer klaren Channel‑Strategie setzt Enginsight darauf, den Schweizer Markt nachhaltig mit lokalen Resellern aufzubauen.
Präsenz auf dem ALSO Solution Day in Luzern
Enginsight ist am 14. April 2026 als Aussteller auf dem ALSO Solution Day im KKL Luzern vertreten – der Leitmesse für den Channel in der Schweiz. Die Besucher können sich am Enginsight‑Stand in direkten Gesprächen mit Philipp Jäschke (Territory Manager) und Christian Lang (Presales Consultant) über die Plattform informieren und Live‑Demos erleben.
„Die Schweiz ist für uns ein wichtiger Eckpfeiler unserer Europa-Expansion. Die Kombination aus hohen Datenschutzstandards, einer ausgeprägten Compliance-Kultur und einem sehr starken Channel macht die Schweiz ideal für unsere Partnerstrategie. Mit ALSO haben wir einen Distributor, der genau diesen Markt versteht und eng mit Resellern zusammenarbeitet. Unsere Mission ist es, Schweizer Unternehmen jeder Größe eine moderne, automatisierte und dennoch leicht handhabbare Cybersecurity-Lösung bereitzustellen – und diese Mission verfolgen wir konsequent über den Channel.“
Max Tarantik, Mitgründer & COO von Enginsight
Über Enginsight
Enginsight bietet eine umfassende Cybersecurity‑Lösung für den Mittelstand. 2017 in Jena gegründet, ist die vollständig inhouse entwickelte Software heute bei zahlreichen KMU im Einsatz. Die All‑in‑One‑Plattform vereint Schwachstellenmanagement, Asset Monitoring, Angriffserkennung, Compliance‑Analysen und automatisierte Abwehrmaßnahmen in einer einzigen Lösung. Unter dem Leitmotiv „Unsichtbares sichtbar machen“ und „Unsicheres sicher machen“ kombiniert Enginsight Transparenz, Automatisierung und eine praxisnahe Sicherheitsarchitektur, um den Mittelstand effizient und nachhaltig zu schützen – Cybersecurity 100 % Made in Germany.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
E-Mail: Sabine.Kuch@enginsight.com
Enginsight erweitert Präsenz in Mittelosteuropa
Enginsight forciert in CZ/SK nachhaltigen Marktaufbau
Die Region Tschechien/Slowakei zählt 2026 zu den wichtigsten Expansionsmärkten von Enginsight. Das Unternehmen verfolgt dort eine klare Channel Strategie und baut einen langfristigen lokalen Footprint auf – ein strategischer Ansatz, der zuletzt durch die Teilnahme an der SECURITY 2026 in Prag unterstrichen wurde. Die wachsende Nachfrage wird zusätzlich durch regulatorische Entwicklungen wie NIS2 befeuert: Viele Unternehmen stehen vor der Aufgabe, ihre Sicherheitsarchitekturen zu modernisieren, verfügen jedoch nicht über eigene Security Teams oder die Ressourcen für komplexe SIEM Projekte. Enginsight adressiert diese Anforderungen mit einer pragmatischen Plattform, die zentralisierte Sicherheit und Risikoanalysen auch für KMU sofort zugänglich macht.
Enginsight setzt in der Region bereits auf erfahrene Partner
Mit Annex NET arbeitet das Unternehmen in Tschechien und der Slowakei mit einem lokalen IT Sicherheitsberater und Distributor zusammen, der Kunden den direkten Zugang zur Enginsight Plattform eröffnet. Die Partnerschaft signalisiert den vorhandenen Marktzugang und legt die Basis für den weiteren Ausbau des Channels in CZ/SK.
Thomas Thölke, Head of International Sales bei Enginsight, betont die Bedeutung der neuen Rolle: „Die Märkte in Tschechien und der Slowakei sind für unsere europäische Expansion von zentraler Bedeutung. Viele Unternehmen suchen nach effizienten, leicht integrierbaren Sicherheitslösungen, die ohne große interne Teams auskommen. Mit der Erfahrung und dem starken Netzwerk von Ondřej Vlach, und unserer Partnerschaft mit Annex NET, schaffen wir die Grundlage für nachhaltiges Wachstum und stärken unsere Position in Europa weiter.“
Enginsight bietet eine umfassende Cybersecurity‑Lösung für den Mittelstand. 2017 in Jena gegründet, ist die vollständig inhouse entwickelte Software heute bei zahlreichen KMU im Einsatz. Die All‑in‑One‑Plattform vereint Schwachstellenmanagement, Asset Monitoring, Angriffserkennung, Compliance‑Analysen und automatisierte Abwehrmaßnahmen in einer einzigen Lösung. Unter dem Leitmotiv „Unsichtbares sichtbar machen“ und „Unsicheres sicher machen“ kombiniert Enginsight Transparenz, Automatisierung und eine praxisnahe Sicherheitsarchitektur, um den Mittelstand effizient und nachhaltig zu schützen – Cybersecurity 100 % Made in Germany.
Enginsight GmbH
Leutragraben 1
07743 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
E-Mail: Sabine.Kuch@enginsight.com
