**
Die US-Behörde für Cybersicherheit (CISA) hat zwei kritische Sicherheitslücken in den Fernwartungs-Tools cPanel und ConnectWise ScreenConnect auf ihre Liste der aktiv ausgenutzten Schwachstellen gesetzt. Betroffen sind Millionen von Websites und tausende Unternehmen weltweit. Die Angreifer haben ihre Methoden industrialisiert – die Zeit zwischen Bekanntwerden einer Lücke und ihrem aktiven Missbrauch schrumpft auf wenige Stunden.
Angesichts der rasanten Zunahme von Cyberangriffen müssen vor allem kleine und mittelständische Unternehmen ihre IT-Sicherheit ohne große Budgets stärken. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken und Unternehmen schützen
Kritische Lücke in cPanel: Angriff auf Millionen Websites
Eine schwerwiegende Sicherheitslücke in cPanel und WebHost Manager (WHM) sorgt für Aufsehen. Die Schwachstelle mit der Kennung CVE-2026-41940 und einem CVSS-Wert von 9,8 (maximal 10) ermöglicht Angreifern, Authentifizierungsmechanismen zu umgehen. Erste Angriffsversuche wurden bereits am 23. Februar 2026 registriert – doch ein Patch des Herstellers kam erst am 29. April 2026.
Sicherheitsanalysten von Rapid7 schätzen, dass rund 1,5 Millionen cPanel-Instanzen im Internet ungeschützt erreichbar sind. Große Hosting-Anbieter wie Namecheap und HostGator haben bereits reagiert und Patches eingespielt. Teilweise blockierten sie vorsorglich bestimmte Ports, um unbefugten Zugriff zu verhindern.
Parallel dazu hat die CISA eine weitere Schwachstelle in ConnectWise ScreenConnect (CVE-2026-32202) gemeldet. Dieses Tool wird von Managed Service Providern (MSPs) für den Fernwartungszugriff genutzt. Die Hackergruppe Storm-1175 soll die Lücke bereits nutzen, um die Erpressungssoftware Medusa zu verbreiten. Auch der staatlich unterstützte Akteur APT28 setzt seit Dezember 2025 auf ähnliche Schwachstellen für Spionageaktionen in Europa.
Die Industrialisierung der Angriffswelle
Der FortiGuard Global Threat Landscape Report 2026 zeigt einen dramatischen Wandel: Die Zeit bis zur aktiven Ausnutzung einer Schwachstelle ist auf 24 bis 48 Stunden gesunken – in Einzelfällen sogar auf wenige Stunden. Dahinter steckt ein hochprofessionelles Ökosystem von Cyberkriminellen.
Die Zahlen sind alarmierend: 7.831 bestätigte Ransomware-Opfer im Jahr 2025 – ein Anstieg von 389 Prozent im Vergleich zum Vorjahr. Besonders aktiv sind die Gruppen Qilin, Akira und Safepay, die vor allem die Fertigungs-, Dienstleistungs- und Einzelhandelsbranche ins Visier nehmen.
Die USA bleiben mit 3.381 bestätigten Opfern das Hauptziel, gefolgt von Kanada und Deutschland. Die Täter nutzen zunehmend KI-Tools wie WormGPT, FraudGPT und HexStrike AI, um Schwachstellen automatisiert zu finden und Schadcode zu generieren. Neue Plattformen wie Bluekit bieten „Phishing-as-a-Service“ an – inklusive KI-Assistent zur Personalisierung von Angriffsmails.
Da Cyberkriminelle verstärkt auf KI-gestützte Phishing-Methoden setzen, wird die Aufklärung der Mitarbeiter zum entscheidenden Schutzschild. Dieses kostenlose Anti-Phishing-Paket liefert eine Risikoanalyse und zeigt in 4 Schritten, wie Sie die psychologischen Manipulationstaktiken der Hacker entlarven. Kostenloses Anti-Phishing-Paket jetzt herunterladen
KI als Waffe und Schutzschild
Die Technologiekonzerne rüsten auf: Anthropic hat mit „Claude Security“ einen KI-gestützten Sicherheitsdienst gestartet, der Code-Bestände scannt, Schwachstellen identifiziert und automatisch Patches erstellt. Partner wie Microsoft, CrowdStrike und Palo Alto Networks integrieren die Technologie in ihre Plattformen.
Doch die KI kann auch angreifen: Das Sicherheitsteam Unit 42 von Palo Alto Networks präsentierte am 30. April 2026 ein autonomes System namens „Zealot“, das eigenständig einen Cloud-Angriff durchführte – von der Aufklärung bis zur Datenexfiltration aus einer BigQuery-Datenbank. Die KI zeigte dabei „emergente Intelligenz“, indem sie etwa eigene SSH-Schlüssel hinterlegte, um dauerhaften Zugriff zu sichern.
Regulatorischer Druck in Deutschland
Parallel zur Bedrohungslage verschärft sich die Regulierung. Das Bundeskabinett hat am 30. April 2026 den Entwurf zur Umsetzung des EU Cyber Resilience Act (CRA) verabschiedet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur zentralen Marktüberwachungsbehörde für vernetzte Produkte.
Ab September 2026 müssen Unternehmen aktiv ausgenutzte Schwachstellen melden. Das BSI erhält dafür fast 100 zusätzliche Stellen – mit weiterem Aufwuchs bis 2029. Die Behörde soll künftig als „digitaler TÜV“ fungieren.
Die Risiken reichen tief in die Software-Lieferkette hinein. Forscher entdeckten eine kampagne gegen SAP npm-Pakete, bei der Schadcode in Pakete mit über 570.000 wöchentlichen Downloads eingeschleust wurde. Ziel war der Diebstahl von Zugangsdaten für GitHub, Kubernetes und Cloud-Dienste.
Ausblick: Die Uhr tickt für Unternehmen
Die Kombination aus KI-gestützten Angriffen und verwundbarer Fernzugriffs-Infrastruktur lässt Schlimmes befürchten. Jüngste Vorfälle wie die Kompromittierung von 300 Signal-Konten deutscher Politiker und Militärs sowie ein Datenleck mit 18 Millionen Datensätzen bei France Titres zeigen die Dimension.
Eine neue Bedrohung ist der Wiper VECT 2.0: Er tarnt sich als Ransomware, zerstört aber Dateien über 128 KB unwiderruflich – selbst eine Lösegeldzahlung bringt keine Rettung.
Für Unternehmen heißt das: Sicherheit von Fernwartungstools und Servern hat höchste Priorität. Automatisierte Patch-Prozesse und KI-gestützte Überwachung werden zum neuen Standard. Die Zeit des Abwartens ist vorbei – die Angreifer schlafen nicht.
