Gleich mehrere kritische Sicherheitslücken in Netzwerkinfrastrukturen und Bildungsplattformen werden derzeit aktiv ausgenutzt. Besonders brisant: Eine hochriskante Zero-Day-Lücke in Palo-Alto-Firewalls und ein massiver Datenraub bei der Lernplattform Canvas setzen Unternehmen und Hochschulen massiv unter Druck.
Die Zeit zwischen der Entdeckung einer Sicherheitslücke und ihrer aktiven Ausnutzung ist auf nur noch 24 bis 48 Stunden geschrumpft. Das zeigt der aktuelle „Global Threat Landscape Report“ von Fortinet, der am 9. Mai veröffentlicht wurde. Im vergangenen Jahr lag dieser Wert noch bei durchschnittlich 4,76 Tagen. Die Folge: Eine Rekordzahl von 7.831 Ransomware-Opfern – ein Anstieg von 389 Prozent im Vergleich zum Vorjahr.
Angesichts der schrumpfenden Reaktionszeiten und der steigenden Zahl professioneller Angriffe stehen besonders mittelständische Unternehmen unter enormem Handlungsdruck. Dieser kostenlose Ratgeber zeigt, welche Bedrohungen aktuell auf Firmen zukommen und wie Sie Ihre IT-Sicherheit ohne hohes Budget nachhaltig stärken. Cyber-Security-Ratgeber jetzt kostenlos herunterladen
Palo Alto und Ivanti im Visier von Angreifern
Seit dem 9. April wird eine kritische Sicherheitslücke in Palo Alto Networks‘ PAN-OS-Software von staatlich gesteuerten Gruppen ausgenutzt. Die Schwachstelle CVE-2026-0300 mit einem CVSS-Score von 9,3 ermöglicht Angreifern die Ausführung von Schadcode mit Root-Rechten auf PA-Series- und VM-Series-Firewalls. Mehr als 5.400 VM-Series-Firewalls sind weiterhin ungeschützt im Netz erreichbar.
Die US-Behörde CISA hat die Lücke in ihren Katalog bekannter Schwachstellen aufgenommen. Ein offizielles Update wird jedoch erst für den 13. Mai erwartet. Bis dahin empfehlen Sicherheitsexperten, den Zugriff auf das Authentifizierungsportal auf vertrauenswürdige Zonen zu beschränken oder die Funktion ganz zu deaktivieren.
Parallel dazu kämpft Ivanti mit fünf neuen Sicherheitslücken in seiner Endpoint-Manager-Mobile-Plattform (EPMM). Eine davon – CVE-2026-6973 – wird bereits aktiv ausgenutzt, um administrative Rechte zu erlangen. Betroffene Organisationen sollten umgehend auf die Versionen 12.6.1.1 oder höher aktualisieren und sämtliche Administrationszugänge zurücksetzen.
Die Bedrohungslage wandelt sich rasant
Der Fertigungssektor steht derzeit im Fokus der Angreifer, gefolgt von Unternehmensdienstleistungen und dem Einzelhandel. Geografisch bleiben die USA das Hauptziel, gefolgt von Kanada und Deutschland. Besonders besorgniserregend: Die Dominanz von „Stealer-Logs“ im Darknet. Allein der Schadcode RedLine ist für mehr als die Hälfte aller registrierten Infektionen verantwortlich.
Der singapurische Koordinationsminister für nationale Sicherheit, K. Shanmugam, warnte am 9. Mai vor der wachsenden Gefahr durch fortschrittliche KI-Modelle. Diese seien in der Lage, Zero-Day-Schwachstellen zu identifizieren und beschleunigten die Häufigkeit und Komplexität von Cyberangriffen. Besonders der Telekommunikationssektor sei zum bevorzugten Ziel von Advanced Persistent Threat (APT)-Gruppen wie UNC3886 geworden.
Microsoft, Linux und cPanel unter Druck
Auch Microsoft musste handeln: Drei kritische Sicherheitslücken in M365 Copilot und Copilot Chat (CVE-2026-26129, CVE-2026-26164, CVE-2026-33111) hätten die Preisgabe sensibler Daten ermöglicht – ohne jegliche Benutzerinteraktion. Microsoft hat die Probleme zwar serverseitig behoben, doch Unternehmen werden aufgefordert, ihre Zugriffsrechte und Richtlinien zur Datenverlustprävention zu überprüfen.
Die Linux-Community beschäftigt derweil die „Dirty Frag“-Angriffskette. Diese kombiniert zwei Schwachstellen (CVE-2026-43284 und CVE-2026-43500), um unprivilegierten Nutzern Root-Zugriff zu verschaffen. Da für die meisten Distributionen noch kein Patch verfügbar ist, empfehlen Sicherheitsforscher, bestimmte Kernel-Module wie esp4 und rxrpc vorübergehend zu blockieren.
Im Webhosting-Sektor veröffentlichten cPanel und WHM am 9. Mai Notfall-Updates für drei Schwachstellen. Zwei davon mit einem CVSS-Score von 8,8 ermöglichen die Ausführung von Schadcode und Rechteausweitung. Die Updates gelten als kritisch, da frühere Lücken in diesen Plattformen bereits von Ransomware-Gruppen als Zero-Days genutzt wurden.
Canvas-Datenleck: 275 Millionen Nutzer betroffen
Der Bildungssektor erlebt derzeit einen der größten Datendiebstähle der Geschichte. Die Hackergruppe ShinyHunters hat die Lernplattform Canvas angegriffen und nach eigenen Angaben 3,5 bis 3,65 Terabyte an Daten erbeutet. Betroffen sind rund 9.000 Bildungseinrichtungen weltweit.
Die gestohlenen Daten umfassen Namen, E-Mail-Adressen, Studentenausweise und private Nachrichten von bis zu 275 Millionen Personen. Zu den betroffenen Institutionen zählen die University of Toronto, die University of British Columbia sowie mehrere US-Eliteuniversitäten wie Harvard und Princeton. Auch die National University of Singapore und die Singapore University of Social Sciences prüfen die Auswirkungen.
ShinyHunters hat ein Lösegeld gefordert und droht, die vollständigen Daten am 12. Mai zu veröffentlichen, falls die Zahlung ausbleibt. Die Muttergesellschaft Instructure erklärte den Vorfall zwar für eingedämmt und stellte die meisten Dienste bis zum 9. Mai wieder her. Dennoch berichten Studenten und Mitarbeiter vieler Universitäten von Lösegeldforderungen auf ihren Anmeldebildschirmen. Passwörter und Finanzdaten scheinen nach Behördenangaben nicht kompromittiert worden zu sein.
Was Unternehmen jetzt tun müssen
Die aktuellen Ereignisse markieren eine neue Phase der Cyberkriegsführung. Sowohl staatliche Akteure als auch kriminelle Syndikate nutzen dieselben Hochgeschwindigkeits-Exploitationstechniken. Erkenntnisse des niederländischen Militärgeheimdienstes deuten darauf hin, dass Länder wie China bei offensiven Cyberfähigkeiten mit den USA gleichgezogen haben.
Die zunehmende Komplexität durch neue KI-Gesetze und fortschrittliche Cyberrisiken stellt Unternehmen vor rechtliche und technische Hürden. Dieser kostenlose Report klärt auf, welche proaktiven Schutzmaßnahmen Unternehmer jetzt kennen müssen, um IT-Sicherheitslücken zu schließen. Gratis Cyber-Security-Checkliste anfordern
Für Unternehmen bedeutet das: Cybersicherheit ist keine reine IT-Aufgabe mehr. Sie ist zur grundlegenden Verantwortung der Unternehmensführung geworden. In der kommenden Woche sollten Administratoren die für den 13. Mai angekündigten Palo-Alto-Updates priorisieren und verdächtige Aktivitäten auf Bildungs- und Identitätsmanagementplattformen überwachen.
Angesichts der „Dirty Frag“-Exploit-Kette und modularer Schadsoftware wie dem dateilosen „QLNX“, das gezielt Entwickler und DevOps-Umgebungen angreift, bleibt nur eines: eine mehrschichtige Verteidigungsstrategie und der schnelle Austausch sensibler Zugangsdaten.
