Trellix steht damit nicht allein: Die Cybersecurity-Branche erlebt derzeit eine Serie von Sicherheitsvorfällen. Erst in der Vorwoche bestätigte das Unternehmen Checkmarx, dass die Hacker-Gruppe LAPSUS$ Daten aus einem privaten GitHub-Repository geleakt hatte. Im März offenbarte zudem Cisco, dass sein interner Development-Environment kompromittiert wurde – die Angreifer erbeuteten Quellcode mittels gestohlener Zugangsdaten aus dem Trivy-Supply-Chain-Angriff. Auch die Bug-Bounty-Plattform HackerOne meldete, dass persönliche Daten von Hunderten Mitarbeitern gestohlen wurden, nachdem eine Sicherheitsfirma gehackt worden war.
Das Trellix-Leck unterstreicht ein zunehmendes Phänomen: Angreifer fokussieren gezielt auf Sicherheitsunternehmen selbst – ein Angriffsvektor mit besonderem Potenzial. Wenn Quellcode von Sicherheitslösungen kompromittiert wird, könnten theoretisch Schwachstellen in den Produkten selbst gefunden werden, die wiederum Millionen von geschützten Systemen gefährden.
Trellix äußerte sich bislang nur vage zu Details: Wann genau der Zugriff entdeckt wurde, ob neben dem Quellcode auch Kundendata oder sensitive Unternehmensinformationen entwendet wurden, und ob eine Lösegeld-Forderung eingetroffen ist – all dies bleibt unklar. Das Unternehmen kündigte an, “weitere Details angemessen zu teilen”, sobald die Untersuchung abgeschlossen sei.
Für deutsche Organisationen, die Trellix-Produkte einsetzen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhöhte Wachsamkeit. Sollten Kundendaten betroffen sein, greifen DSGVO-Meldepflichten: Betroffene müssen innerhalb von 72 Stunden benachrichtigt werden, der Behördenfunk ist obligatorisch. Potenzielle Geldstrafen können bis zu vier Prozent des Jahresumsatzes erreichen.
Trellix kündigte an, weiterhin mit Strafverfolgungsbehörden zusammenzuarbeiten. Die Sicherheitscommunity beobachtet den Fall aufmerksam – nicht zuletzt, weil die Trellix-Fusion ein strategisch wichtiges Zusammengehen von Enterprise-Security-Akteuren darstellte.