Eine schwere Sicherheitslücke in den Zugangsprodukten von BeyondTrust wird weltweit aktiv für Ransomware-Angriffe genutzt. Die US-Cybersicherheitsbehörde CISA bestätigte die Eskalation – ungepatchte Systeme sind akut gefährdet.
Die Schwachstelle mit der Kennung CVE-2026-1731 hat einen kritischen Schweregrad von 9,9 von 10 möglichen Punkten. Sie betrifft selbstgehostete Versionen der Lösungen Remote Support und Privileged Remote Access. Diese Tools werden in Unternehmen genutzt, um den sicheren Fernzugriff auf kritische IT-Systeme zu verwalten. Die Lücke ermöglicht es Angreifern, ohne Anmeldedaten Betriebssystembefehle auszuführen und so die vollständige Kontrolle über ein Netzwerk zu erlangen. Während Cloud-Kunden automatisch geschützt wurden, müssen On-Premises-Instanzen manuell aktualisiert werden.
Von der Lücke zur Ransomware: Die Eskalation
Die größte Neuigkeit der letzten Tage ist die offizielle Bestätigung: Aus der Sicherheitslücke ist eine konkrete Ransomware-Bedrohung geworden. Die US-Behörde CISA nahm die Schwachstelle am 19. Februar in ihren Katalog aktiv ausgenutzter Lücken auf und verband sie explizit mit Erpressungssoftware. Für betroffene Organisationen bedeutet das eine sofortige Reaktionspflicht.
Forscher von Palo Alto Networks beobachteten einen starken Anstieg der Angriffe. Die Cyberkriminellen gehen nach dem Eindringen systematisch vor: Sie erkunden das Netzwerk, installieren Hintertüren wie VShell oder SparkRAT, bewegen sich lateral fort und stehlen Daten. Betroffen sind bereits Unternehmen aus Finanzwesen, Gesundheitssektor und Bildung in den USA, Kanada, Australien, Frankreich und Deutschland.
So funktioniert der Angriff
Die Schwachstelle ist eine Pre-Authentication Command Injection. Angreifer können sie ausnutzen, indem sie speziell präparierte Anfragen an einen verwundbaren Server senden. Dies geschieht über eine WebSocket-Schnittstelle. Nach erfolgreicher Infiltration erstellen die Hacker oft neue Domänen-Accounts mit Administratorrechten, um ihre Kontrolle zu zementieren.
Zur Tarnung nutzen sie legitime Fernwartungstools wie AnyDesk, die sich in den normalen Administrationsverkehr einfügen. Diese Kombination aus Privilegienausweitung und Tarnung deutet klar auf die Vorbereitung eines Ransomware-Angriffs hin. Das Ziel ist die vollständige Kontrolle über die IT-Infrastruktur.
Das Wettrennen um die Patches
BeyondTrust wurde am 31. Januar auf eine Anomalie aufmerksam. Am 2. Februar veröffentlichte das Unternehmen Patches und benachrichtigte Kunden. Die Lage eskalierte, als am 10. Februar ein Proof-of-Concept-Exploit öffentlich wurde. Innerhalb von 24 Stunden begannen weltweite Scan- und Angriffsversuche.
CISA forderte US-Behörden zunächst auf, bis zum 16. Februar zu patchen. Die spätere Warnung vor Ransomware unterstreicht die Dringlichkeit. Sicherheitsexperten schätzen, dass noch Tausende ungeschützte Instanzen direkt aus dem Internet erreichbar sind – eine enorme Angriffsfläche.
Warum dieser Angriff so gefährlich ist
Die BeyondTrust-Produkte sind Teil des Privileged Access Management (PAM). Sie verwalten privilegierte Zugänge, die oft als „Schlüssel zum Königreich“ gelten. Wird ein solches System kompromittiert, erhalten Angreifer dieselben tiefgreifenden Rechte wie legitime Administratoren. Viele herkömmliche Sicherheitskontrollen sind dann wirkungslos.
Dieser Vorfall passt in einen besorgniserregenden Trend: Immer häufiger werden Identitäts- und Zugangsverwaltungssysteme angegriffen. Die schnelle „Waffenisierung“ der Exploits zeigt, wie kurz das Zeitfenster zwischen der Bekanntgabe einer Schwachstelle und ihrem massenhaften Missbrauch geworden ist.
Was betroffene Unternehmen jetzt tun müssen
Die oberste Priorität für alle Nutzer selbstgehosteter BeyondTrust-Lösungen ist das sofortige Einspielen der Sicherheitsupdates. BeyondTrust rät Kunden mit ungepatchten, internet-exponierten Systemen nicht nur zum Update, sondern auch zur Öffnung eines Hochprioritäts-Support-Tickets, um einen möglichen Kompromittierung zu prüfen.
Diese Lücke zeigt, wie schnell aus einer Schwachstelle ein existenzielles Risiko wird. Ein kostenloses E‑Book erklärt praxisnah, welche Sofortmaßnahmen IT-Teams jetzt priorisieren sollten, wie Sie Ihr Netzwerk ohne große Budgets härten und welche Kontrollen bei Ransomware-Vorfällen am wichtigsten sind. Jetzt kostenloses Cyber-Security-E‑Book herunterladen
Falls ein sofortiges Patchen nicht möglich ist, sollten die betroffenen Systeme vom Netz genommen oder der Zugriff auf vertrauenswürdige interne IP-Adressen beschränkt werden. Sicherheitsteams müssen aktiv nach Kompromittierungsanzeichen suchen: Unautorisierte Admin-Accounts, unerwartete Fernwartungssoftware oder verdächtiger Datenverkehr vom BeyondTrust-System. Der Zusammenhang mit Ransomware bedeutet, dass aus einem Datendiebstahl schnell ein lähmender Verschlüsselungsangriff werden kann.
