Die US-Behörde für Cybersicherheit (CISA) hat ihren Katalog bekannter ausgenutzter Schwachstellen erweitert und setzt Bundesbehörden eine strikte Frist bis zum 3. Juni 2026.
Zwei der neu aufgenommenen Lücken betreffen Microsoft Defender – und wurden bereits aktiv von Angreifern ausgenutzt. Die Sicherheitslücken mit den Kennungen CVE-2026-41091 und CVE-2026-45498, von Forschern intern „RedSun“ und „UnDefend“ genannt, zeigen: Selbst Sicherheitssoftware ist nicht immun gegen Angriffe.
Da veraltete Windows-Systeme oft als Sicherheitsrisiko gelten, zögern viele Nutzer vor einem Upgrade auf neuere Hardware. Ein legaler Experten-Trick ermöglicht die Installation von Windows 11 jedoch auch auf offiziell inkompatiblen Rechnern ohne Datenverlust. Upgrade-Plan für inkompatible PCs kostenlos sichern
Zwei Zero-Days in Microsoft Defender
Die schwerwiegendere der beiden Lücken, CVE-2026-41091, ermöglicht eine lokale Rechteausweitung. Angreifer können damit SYSTEM-Rechte auf einem kompromittierten Rechner erlangen. Der CVSS-Score von 7,8 unterstreicht die Gefährlichkeit. Microsoft hat bereits ein Update veröffentlicht – die Malware Protection Engine sollte mindestens in Version 1.1.26040.8 vorliegen.
Die zweite Schwachstelle, CVE-2026-45498, ist eine Denial-of-Service-Lücke im Defender Antimalware Platform. Mit einem CVSS-Wert von 4,0 gilt sie als weniger kritisch, doch ihr Effekt ist gefährlich: Angreifer können Sicherheitsfunktionen deaktivieren und so den Weg für weitere Angriffe ebnen. Die empfohlene Version: Antimalware Platform 4.18.26040.7.
Fünf alte Lücken – immer noch gefährlich
Neben den aktuellen Zero-Days hat CISA überraschend fünf Schwachstellen aus den Jahren 2008 bis 2010 aufgenommen. Sie betreffen Windows, Internet Explorer und Adobe Acrobat. Die Botschaft ist klar: Veraltete Systeme bleiben ein Einfallstor, selbst wenn die Lücken fast zwei Jahrzehnte alt sind.
Die Aufnahme zeigt ein grundlegendes Problem im Sicherheitsmanagement: Viele Organisationen vernachlässigen ihre Altsysteme. Dabei nutzen Angreifer genau diese Lücken weiterhin erfolgreich aus. Für Bundesbehörden gelten auch hier die Fristen bis zum 3. Juni.
Neues Meldeportal für Sicherheitsforscher
CISA hat am 22. Mai ein neues Online-Formular gestartet. Damit können Sicherheitsforscher, Softwarehersteller und internationale Partner Schwachstellen direkt melden – zur Aufnahme in den KEV-Katalog. Voraussetzung: eine gültige CVE-Kennung, Nachweis aktiver Ausnutzung und klare Anleitungen zur Behebung.
Das Ziel ist ambitioniert: Die Zeit zwischen Entdeckung eines Exploits und Veröffentlichung von Gegenmaßnahmen soll drastisch verkürzt werden. Interne Daten der Behörde zeigen, dass im KEV-Katalog gelistete Schwachstellen etwa 3,5-mal schneller behoben werden als andere.
Weitere Sicherheitsentwicklungen der Woche
Die KEV-Erweiterung ist nicht die einzige Sicherheitsnachricht dieser Woche. Cisco hat kritische Patches für seine Secure Workload Plattform veröffentlicht. Die Schwachstelle CVE-2026-20223 erhielt die maximale CVSS-Bewertung von 10,0 – Angreifer konnten ohne Authentifizierung Administratorrechte erlangen.
Ermittlungsbehörden gelang zudem ein Schlag gegen die Cyberkriminalität: Der Dienst First VPN wurde abgeschaltet. Mindestens 25 Ransomware-Gruppen nutzten ihn in 27 Ländern zur Verschleierung ihrer Aktivitäten. Die Operation lief seit Ende 2021.
Angesichts von Millionen Angriffen durch Scareware und Phishing-Kampagnen wird der Schutz der Mitarbeiter zur zentralen Sicherheitsaufgabe. Dieser kostenlose Leitfaden zeigt in vier Schritten, wie Sie Phishing-Angriffe stoppen und psychologische Manipulationstaktiken der Hacker entlarven. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen
Barracuda Research berichtet über die Scareware-Kampagne „CypherLoc“: Seit Jahresbeginn gab es schätzungsweise 2,8 Millionen Angriffe. Die Täter nutzen gefälschte Sicherheitswarnungen, um Nutzer in betrügerische Support-Zentren zu locken.
Ausblick: Vom Reagieren zum Vorhersagen
Die aktuellen Maßnahmen von CISA deuten auf einen Strategiewechsel hin. Statt nur auf Angriffe zu reagieren, will die Behörde proaktiver werden – durch strengere Vorgaben, öffentliche Meldewege und die konsequente Beseitigung alter Schwachstellen.
Für IT-Abteilungen bedeutet das: Der Druck steigt. Sicherheit beschränkt sich nicht mehr auf die Verteidigung der Netzgrenzen. Gefordert ist ein dokumentierter Update-Zyklus für jede Ebene – von 15 Jahre alten Windows-Komponenten bis zu den neuesten KI-gestützten Sicherheitsplattformen. Wer die Fristen verschläft, riskiert nicht nur Compliance-Verstöße, sondern vor allem den Verlust der Kontrolle über eigene Systeme.
