Aktuelle Analysen aus dem ersten Halbjahr 2026 zeigen einen besorgniserregenden Trend: Hacker setzen zunehmend auf komplexe, mehrstufige Angriffsketten, die gezielt Unternehmenssoftware und Netzwerkinfrastruktur ins Visier nehmen. Besonders betroffen sind Kommunikationsplattformen, KI-Assistenten und Netzwerkmanagement-Tools.
Zoom unter Beschuss: Kritische Lücke in der Workplace-App
Eine der schwerwiegendsten Entdeckungen betrifft die weit verbreitete Zoom Workplace-Anwendung. Die als CVE-2025-30663 registrierte Schwachstelle erreicht einen CVSS-Wert von 8,8 – die Skala reicht bis 10. Auslöser ist ein sogenannter Race Condition-Fehler, der Angreifern eine lokale Rechteausweitung ermöglicht.
Anzeige: Die SearchLeak-Lücke in Microsoft Copilot (CVE-2026-42824) ermöglicht Angreifern den Zugriff auf E-Mails und MFA-Codes – ein einziger Klick genügt. Dieser Report zeigt Ihnen, wie Sie Ihre KI-Assistenten absichern, SSRF-Angriffe erkennen und einen Notfallplan für kompromittierte Codes umsetzen. Jetzt kostenlosen Sicherheits-Report anfordern
Betroffen sind sämtliche Versionen vor 6.4.0 auf Android, iOS, Linux, macOS und Windows. Auch der Workplace VDI Client in Version 6.3.10 gilt als verwundbar. Zoom hat zwar bereits Sicherheitsupdates veröffentlicht, doch Unternehmen müssen nun sicherstellen, dass alle Endgeräte auf den aktuellen Stand gebracht wurden. Das Risiko: Angreifer könnten durch zeitlich gesteuerte Angriffe Systemrechte erlangen.
Microsoft 365 Copilot: Wenn der KI-Assistent zum Spion wird
Noch tückischer ist eine Schwachstelle in Microsofts KI-gestütztem Assistenten Copilot. Die als SearchLeak (CVE-2026-42824) bekannte Sicherheitslücke wurde von Varonis Threat Labs entdeckt. Sie ermöglicht den unbefugten Zugriff auf sensible Daten – darunter E-Mails, Multi-Faktor-Authentifizierungscodes und Unternehmensdateien.
Der Angriff läuft in drei Stufen ab: Zunächst injizieren Hacker Parameter in die Eingabeaufforderung. Dann nutzen sie einen Race Condition-Fehler während der HTML-Darstellung aus. Die dritte Stufe umgeht die Serversicherheit über eine SSRF-Lücke (Server-Side Request Forgery) durch Bing. Für das Opfer genügt ein einziger Klick auf einen legitim aussehenden Microsoft-Link – schon fließen die Daten ab. Microsoft hat serverseitige Patches eingespielt, um diese Sicherheitslücke zu schließen.
Cisco SD-WAN: Achte Sicherheitslücke im Jahr 2026
Besonders aktiv sind Angreifer im Bereich der Netzwerkinfrastruktur. Cisco bestätigte die aktive Ausnutzung einer Zero-Day-Lücke im Catalyst SD-WAN Manager. Die Schwachstelle CVE-2026-20262 (CVSS-Wert 6,5) erlaubt Angreifern mit gültigen Anmeldedaten das Überschreiben beliebiger Dateien – bis hin zur Root-Kontrolle des Systems.
Es handelt sich bereits um die achte identifizierte Sicherheitslücke in Ciscos SD-WAN-Produkten in diesem Jahr. Die US-amerikanische Cybersicherheitsbehörde CISA hat den Fehler in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Patches sind für die Versionen 20.9.9.2, 20.12.7.2 und 26.1.1.2 verfügbar. Workarounds gibt es nicht.
Remote-Management und Shared Hosting im Visier
Auch spezialisierte Server-Tools stehen im Fadenkreuz der Angreifer:
Anzeige: Während Microsoft serverseitige Patches für SearchLeak eingespielt hat, bleibt die Gefahr durch komplexe Angriffsketten auf KI-Tools bestehen. Unternehmen, die ihre Copilot-Integration nicht aktiv überwachen, riskieren Datenabfluss. Der Report liefert eine konkrete Checkliste zur Absicherung und einen Notfallplan für den Ernstfall. Copilot-Sicherheits-Checkliste jetzt sichern
SimpleHelp Remote Management: Ein kritischer Bug (CVE-2026-48558) in Version 5.5.15 und älter ermöglichte Angreifern ohne Authentifizierung, gefälschte Techniker-Konten mit erweiterten Rechten zu erstellen. Rund 14.000 Server waren mutmaßlich exponiert, bevor der Hersteller mit Version 5.5.16 und der am 9. Juni veröffentlichten Version 6.0RC2 Abhilfe schuf.
LiteSpeed cPanel Plugin: CISA warnt vor einer weiteren Schwachstelle (CVE-2026-54420, CVSS 8.5). Sie betrifft Shared-Hosting-Umgebungen mit CloudLinux oder CageFS. Angreifer mit bestehendem FTP- oder Web-Shell-Zugriff können ihre Rechte auf Root-Ebene ausweiten. US-Behörden müssen bis zum 18. Juni 2026 Patches für Versionen vor 2.4.8 eingespielt haben.
Für Unternehmen in Deutschland und Europa bedeutet dies: Die Sicherheitsupdates der Hersteller müssen zeitnah eingespielt werden. Angesichts der zunehmenden Komplexität der Angriffsketten reichen traditionelle Perimeter-Verteidigungen nicht mehr aus.
