Im Juni 2025 wurde bekannt, dass eine kritische Schwachstelle im Windows-Installer von Docker Desktop entdeckt wurde. Diese ermöglicht es Angreifern, Schadcode auszuführen – ein klarer Verstoß gegen jede Sicherheitsgrundlage in modernen IT-Infrastrukturen. Inzwischen liegt ein Update vor, doch die Art der Lücke legt einmal mehr offen, wie gefährlich selbst grundlegende Installationsprozesse im Kontext von Software-Supply-Chains sein können.
Dieser Beitrag analysiert die Dimensionen dieser Verwundbarkeit, beleuchtet die strukturellen Versäumnisse in Unternehmen, ordnet die Bedrohungslage für strategische Entscheider wie CIOs, CISOs, CSOs und CEOs ein – und zeigt, welchen Anteil wir als ProSec dabei leisten können, um Unternehmen nicht nur reaktiv, sondern proaktiv gegenüber solchen Risiken aufzustellen.
Die technische Ursache: Bei der Installation sucht Docker Desktop unter Windows benötigte DLL-Dateien zunächst im Download-Ordner des Nutzers – also dem Ort, von dem üblicherweise auch externe Dateien heruntergeladen werden. Erst danach prüft der Installer die geschützten Systemverzeichnisse. Dieser Angriffsvektor, bekannt als DLL Hijacking, ist nicht neu – aber in seiner Wirkung fatal. Denn ein Angreifer muss lediglich eine manipulierte DLL in diesen Ordner platzieren – ein niedrigschwelliges Szenario im Kontext von Phishing oder Drive-by-Downloads – und er erhält in der Folge die Möglichkeit, fremden Code auf dem System auszuführen.
Diese Lücke ist unter der Kennung CVE-2025-9164 gelistet, wird mit einem CVSS-Wert von 8.8 als „hoch“ eingestuft und betrifft potenziell eine erhebliche Zahl produktiver Installationen, insbesondere in Entwicklungs- und Containerumgebungen, wo Docker Desktop häufig zum Einsatz kommt.
Für C-Level-Entscheider ist die technische Beschreibung nur die Spitze des Eisbergs. Wesentlich gravierender ist die strategische Aussage hinter dieser Lücke: Die meisten Unternehmen haben ihre Update-Strategien, Rechte-Konzepte und Sicherheitsstrukturen nicht mit der heutigen Angriffskomplexität synchronisiert.
Noch immer betrachten viele Unternehmen Tools wie Docker Desktop als Spielwiese für Entwickler – nicht als relevante Komponente der geschäftskritischen Infrastruktur. Doch genau dieser Trugschluss ist gefährlich. Docker Desktop ist oftmals der erste Berührungspunkt mit produktionsnahen Images. Fehler, die hier passieren, wirken sich verheerend auf nachgelagerte Stufen der IT-Lieferkette aus – bis zur Cloud-Produktivumgebung.
CISOs und CIOs unterschätzen häufig, dass die Sicherheit „am Großen gearbeitet“ wird, während potenzielle Angriffsflächen „im Kleinen“ entstehen. In der Realität ist es oft ein nachlässig konfiguriertes Dev-System, das durch einen gezielten DLL-Angriff für initialen Zugang genutzt wird – und von dort der Brückenkopf für weitere, umfassendere Angriffe in produktive Systeme.
In der Sprache der Sicherheit bedeutet dies: Wer Docker verwendet, verwaltet faktisch auch ein Stück seiner digitalen Supply Chain. Und je näher ein Angreifer an diese Kette kommt – sei es durch einen simplen Installer –, desto teurer wird der Verstoß gegen die Leitlinien von „Zero Trust“ und „Least Privilege“.
In Reaktion auf Sicherheitsvorfälle wie diesen besteht die übliche Reaktion in Unternehmen häufig aus einem einfachen „Update durchführen“. Doch wer Sicherheit auf Patchen reduziert, hat den Kern des Problems nicht verstanden. Dieses Denken ist symptomatisch für eine veraltete Auffassung von IT als reine Supportfunktion.
Moderne Angreifer nutzen fragmentierte Zuständigkeiten für sich aus: Entwickler nutzen lokale Umgebungen ohne Monitoring durch die IT, Download-Ordner werden nicht kontrolliert, Nutzerrechte sind zu großzügig vergeben, und die Update-Disziplin liegt – im schlechtesten Fall – in der Eigenverantwortung einzelner Mitarbeiter.
Was daraus entsteht, sind „unsichtbare Angriffsflächen“, die in keiner klassischen Risikoanalyse auftauchen – weil sie weder in Asset-Verzeichnissen noch in Prozess-Handbüchern dokumentiert sind. Gerade hier zeigt sich ein struktureller Blind Spot, den Unternehmen adressieren müssen – nicht mit weiteren Tools, sondern mit einem strategischen Sicherheitsfokus über alle Abteilungen hinweg.
Denken Sie wie ein Angreifer. Kein versierter Angreifer hackt sich mühsam durch Sicherheitsbarrieren, wenn er File-Landing-Zonen wie wahlweise den „Downloads“-Ordner per Social Engineering bestücken kann. Kein Schadcode muss ausgetüftelt werden, wenn er sich mit simplen DLL-Dateien in den falschen Suchpfad einklinken darf.
Diese Lücke offenbart eine bequeme Wahrheit über moderne Cyberangriffe: Je mehr Verantwortung auf die Endnutzer ausgelagert wird, desto leichter fällt es böswilligen Akteuren, diese Verantwortung gezielt auszunutzen.
Und an genau dieser Stelle sind C-Level-Verantwortliche gefragt, umzudenken. Sicherheit darf nicht als reaktive Maßnahme eingeführt werden, wenn der Angreifer bereits im System ist. Die Herausforderung besteht darin, Strukturen und Prozesse zu etablieren, die solche Szenarien antizipieren – bevor sie Realität werden.
Wir bei ProSec plädieren seit Jahren für einen Paradigmenwechsel in der Sicherheitsarchitektur – weg von punktuellen Lösungen, hin zu einem risikobasierten Verständnis auf Strukturebene.
In der konkreten Analyse dieses Falls heißt das:
Als ProSec begleiten wir Unternehmen bei genau diesen Herausforderungen. Unsere Erfahrung zeigt: Es sind selten nur technische Lücken – es sind fast immer strukturelle Schwächen auf Leadership-Ebene.
Was Ihnen ein Update von Docker nicht liefert, ist die Antwort auf die Frage: Was wäre passiert, wenn dieser Angriffsvektor – beispielsweise durch ein geplantes Penetration Testing – unentdeckt in Ihrer Umgebung geblieben wäre? Wer hätte es gemerkt? Welche internen Prozesse hätten versagt?
Wir helfen Ihnen nicht nur dabei, Schwachstellen zu erkennen – sondern auch, Organisationen sicherheitsstrategisch so auszurichten, dass solche Schwachstellen gar nicht erst unentdeckt bleiben:
Die Schwachstelle in Docker Desktop ist kein Einzelfall, sondern nur ein Beispiel für eine tieferliegende Herausforderung: Unternehmen betreiben Digitalisierung auf Basis unsicherer Strukturen. Wer heute über Digitale Transformation spricht, muss im selben Atemzug über Sicherheitsarchitektur sprechen – oder verzichtet faktisch auf Nachhaltigkeit. Docker hat die Lücke geschlossen – aber wer schließt die Lücke in Ihren Prozessen?
