Fox Tempest: Wenn signierte Software kein Vertrauensbeweis mehr ist

Die kurze Antwort zuerst

Fox Tempest ist eine kriminelle Gruppe, die Microsoft am 19. Mai 2026 öffentlich exponiert hat. Ihr Geschäftsmodell: Malware-Signierung als Dienstleistung. Andere Ransomware-Banden kaufen digital signierte Zertifikate, um Sicherheitslösungen zu umgehen. Microsoft hat über 1.000 Zertifikate widerrufen und die Infrastruktur abgeschaltet. Die konkrete Gefahr durch diese Gruppe ist vorerst gebannt. Das zugrundeliegende Problem ist es nicht.

Was in der Ransomware-Szene seit Mitte 2025 passiert

Microsoft hat am 19. Mai 2026 öffentlich gemacht, was in der Ransomware-Szene seit mindestens September 2025 lief: Code-Signing als kommerzieller Service. Eine Gruppe namens Fox Tempest verkaufte Microsoft-vertrauenswürdige Signaturen, andere Banden kauften ein.

Fox Tempest betrieb seit mindestens September 2025 die Plattform signspace.cloud. Über diese Infrastruktur stellte die Gruppe Code-Signing-Zertifikate an Ransomware-Akteure aus. Käufer waren namentlich bestätigte Gruppen: Storm-0501, Storm-2561, Storm-0249, Vanilla Tempest, Qilin und Akira. Das sind keine unbekannten Namen in der Threat-Intelligence-Welt.

Das Besondere an diesen Zertifikaten: Sie waren bewusst nur 72 Stunden gültig. Das ist kein technisches Versehen. Es ist ein Evasion-Mechanismus. Zertifikat-Sperrlisten brauchen typischerweise länger als 72 Stunden, um auf allen Endgeräten zu landen. Das Fenster zwischen Ausstellung und Widerruf ist damit lang genug, um Schadsoftware ungehindert auszuführen, die auf Signatur-Validierung setzende Sicherheitslösungen passiert.

Am 19. Mai 2026 unterbrachen Microsoft DCU (Digital Crimes Unit) und der Sicherheitsdienstleister Resecurity gemeinsam die Infrastruktur. Alle identifizierten Zertifikate wurden widerrufen. signspace.cloud ist abgeschaltet. Laut Microsoft Security Blog generierte Fox Tempest dabei Umsätze im mehrstelligen Millionen-Bereich (US-Quelle, kein offizieller EUR-Tarif angegeben).

Warum das KMU-Endpunktschutz direkt betrifft

Stellen Sie sich vor: Ein klassisches Antivirus-Produkt, so wie es in vielen kleinen Unternehmen noch läuft, prüft eine ausführbare Datei. Sie ist digital signiert. Das Zertifikat ist gültig. Der Aussteller ist vertrauenswürdig. Entwarnung.

Was diese Lösung nicht erkennt: Das Zertifikat wurde von Fox Tempest für eine Ransomware-Gruppe ausgestellt. Die Signatur ist echt. Die Datei ist Schadsoftware.

Das ist kein theoretisches Szenario. Das ist das Geschäftsmodell, das Fox Tempest seit September 2025 erfolgreich vermarktet hat. Und es funktioniert, weil viele Endpunktschutz-Produkte primär auf Signatur-Validierung setzen, nicht auf Verhaltensanalyse.

Die entscheidende Frage lautet: Erkennt die eigene Sicherheitslösung, was eine Datei tut, oder prüft sie nur, wer sie signiert hat?

Was verhaltensbasierter Endpunktschutz bedeutet und wo er steht

Klassisches Antivirus arbeitet mit Signaturen. Es vergleicht Dateien mit bekannten Schadcode-Mustern. Ist die Datei bekannt und als gut oder schlecht klassifiziert, reagiert die Lösung entsprechend. Neue, unbekannte oder bewusst manipulierte Dateien passieren diese Prüfung.

Verhaltensbasierte Erkennung funktioniert anders. Sie beobachtet, was ein Prozess tatsächlich macht: öffnet er Netzwerkverbindungen zu unbekannten Zielen, schreibt er in Systemverzeichnisse, legt er verschlüsselte Kopien von Dateien an? Dieses Verhalten ist verdächtig, unabhängig davon, ob die auslösende Datei signiert ist oder nicht.

Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) bauen auf diesem Ansatz auf. Beide Kategorien sind in den letzten Jahren auch für KMU zugänglich geworden, sowohl in der Lizenzierung als auch im Betrieb über Managed Services.

Das bedeutet nicht, dass Signatur-basierter Schutz wertlos ist. Es bedeutet, dass er als alleinige Maßnahme nicht mehr ausreicht.

Certificate Revocation: Was sie leistet und wo sie versagt

Nachdem Microsoft die Fox-Tempest-Zertifikate widerrufen hat, schützt die CRL-Prüfung (Certificate Revocation List) vor den bekannten Zertifikaten dieser Operation. Systeme, die regelmäßig gegen aktuelle Sperrlisten prüfen, waren nach dem Widerruf geschützt.

Systeme, die keine CRL-Prüfung durchführen oder die Prüfung im Offline-Betrieb aussetzen, blieben gefährdet. Das ist eine bekannte Lücke, die Fox Tempest mit der 72-Stunden-Gültigkeit gezielt ausgenutzt hat.

Was die Ransomware-Zeitlinien sagen

Unabhängig von Fox Tempest lohnt ein Blick auf die Zeitlinien moderner Ransomware-Angriffe. Laut Sophos Active Adversary Report aus dem ersten Halbjahr 2023, der in Folgejahren weiterhin zitiert wird, liegt die mittlere Dwell Time zwischen erstem Zugriff und Verschlüsselung bei 5 Tagen. Von Initial Access bis zur Privilege Escalation auf dem Active Directory vergehen dabei durchschnittlich 16 Stunden.

Was das in der Praxis bedeutet: Angreifer bewegen sich nach dem ersten Zugriff über Tage im Netzwerk, bevor die eigentliche Verschlüsselung beginnt. Der schnelle Extremfall, Initial Access bis Verschlüsselung in unter 24 Stunden, existiert, ist aber nicht der Median.

Für KMU bedeutet das: Die Frage ist nicht allein, ob ein Angriff überhaupt erkannt wird. Die Frage ist, ob die Erkennungszeit kürzer ist als die Zeit, die Angreifer bis zur Verschlüsselung brauchen. Bei einem 5-Tage-Median ist das theoretisch machbar. Bei einem 16-Stunden-Fenster bis zur AD-Eskalation wird es eng.

Fünf Maßnahmen gegen Code-Signing-Missbrauch im KMU

1. 1Verhaltensbasierte Erkennung prüfen: Bietet die eingesetzte Endpoint-Protection-Lösung EDR oder zumindest Verhaltens-Heuristiken? Falls nicht, ist das eine konkrete Lücke.
2. 2CRL-Prüfung sicherstellen: Windows-Systeme prüfen CRLs standardmäßig, aber nicht immer zuverlässig im Offline-Betrieb. Das sollte in der Endpoint-Konfiguration explizit geprüft sein.
3. 3Software-Ausführung einschränken: Application Allowlisting oder zumindest blockierte Ausführung aus User-Verzeichnissen und temporären Ordnern reduziert den Angriffspfad erheblich, unabhängig von Signaturen.
4. 4Logging und Monitoring aktivieren: Ohne Logs ist kein Angriff rekonstruierbar. Zentrale Log-Sammlung, auch für Endgeräte, ist Voraussetzung für jede sinnvolle Incident-Response.
5. 5Backup-Isolation nicht vergessen: Erreichbare Backup-Ziele sind bei Ransomware-Angriffen oft das erste, was mitverschlüsselt wird. Offline- oder unveränderliche Backups sind keine optionale Ergänzung.

Mein Fazit

Fox Tempest ist abgeschaltet. Das Geschäftsmodell ist es nicht. Code-Signing als Angriffspfad war vor dieser Gruppe bekannt und wird nach ihr weiter existieren.

Für KMU mit klassischem Antivirus ohne verhaltensbasierte Komponente ist Fox Tempest kein abstrakter Bedrohungsbericht. Es ist ein konkretes Argument für ein überfälliges Gespräch über den eigenen Endpunktschutz.

Eine digital signierte Datei ist kein Vertrauensbeweis mehr. Das ist keine schlechte Nachricht. Es ist ein Befund.

Wer seinen Endpunktschutz zuletzt vor zwei oder drei Jahren evaluiert hat, hat vermutlich nie gefragt, wie die Lösung mit signierten, aber verhaltensauffälligen Dateien umgeht. Das ist die richtige Frage für das nächste Sicherheitsgespräch. Mehr dazu, wie verhaltensbasierter Endpunktschutz und Backup-Strategie zusammengehören, im Artikel KMU-Backup-Strategie im Ernstfall.

Lassen Sie uns sprechen

Wenn Sie nach diesem Artikel nicht sicher sind, ob Ihr Endpunktschutz verhaltensbasierte Erkennung mitbringt oder ausschließlich auf Signaturprüfung setzt, ist das die häufigste Ausgangslage, der ich bei kleinen und mittelständischen Unternehmen begegne. Ich schaue mir das konkret an. Ein kurzes Erstgespräch reicht, um einzuschätzen, wo die größten Lücken sind und welcher nächste Schritt Sinn macht. Kein Vortrag über Trends. Nur Ihre Infrastruktur und konkrete Schritte. Direkt von mir, kein Verkaufsgespräch.

Sicherheits-Audit anfragen: 15 Min Erstgespräch ohne Verpflichtung