April 2026 tausende Systeme weltweit kompromittiert. Sicherheitsforscher von Kaspersky entdeckten eine Hintertür in den Versionen 12.5.0.2421 bis 12.5.0.2434. Dahinter steckt ein chinesischsprachiger Angreifer, der den Installer der Software manipulierte, um Schadcode einzuschleusen.
Betroffen sind über 100 Länder – mit auffälligen Schwerpunkten in Russland, Belarus und Thailand. Besonders stark getroffen: der Einzelhandel, die Fertigungsindustrie, Forschungseinrichtungen und Regierungsbehörden. Die manipulierten Installer tragen eine gültige digitale Signatur, was herkömmliche Sicherheitslösungen täuscht. Nach der Installation kontaktiert die Hintertür einen Kommando-Server und lädt weitere Schadsoftware nach – darunter Datendiebe und eine minimalistische Hintertür für dauerhaften Zugriff. Disc Soft, der Entwickler von DAEMON Tools, hat eine Untersuchung eingeleitet.
Sicherheitslücken im Kern: Linux und Unternehmenssoftware
Kritische Infrastrukturen und Fertigungsanlagen, die auf Linux setzen, stehen vor einer akuten Bedrohung. Die Kernel-Schwachstelle „CopyFail“ (CVE-2026-31431) betrifft Linux-Kernel bis ins Jahr 2017 zurück. Angreifer können damit uneingeschränkte Root-Rechte auf ungepatchten Systemen erlangen. Ein funktionsfähiger Exploit wurde bereits veröffentlicht, Microsofts Sicherheitsteams beobachten erste Testaktivitäten von Angreifern.
Da Linux-Systeme zunehmend ins Visier komplexer Cyberangriffe geraten, ist ein fundiertes Verständnis der stabilen Open-Source-Umgebung für die IT-Sicherheit unerlässlich. Das kostenlose Linux-Startpaket zeigt Ihnen Schritt für Schritt, wie Sie Ubuntu risikofrei parallel zu Windows testen und die Vorteile eines sicheren Systems nutzen. Gratis-Startpaket inkl. Ubuntu Vollversion jetzt sichern
Die US-Behörde CISA hat reagiert und setzt Bundesbehörden eine Frist bis zum 15. Mai 2026, um die notwendigen Patches einzuspielen. Betroffen sind gängige Distributionen wie Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 und SUSE 16.
Parallel dazu werden Unternehmens-Desktops über ein legitimes Produktivitätstool angegriffen. Eine seit Januar 2026 aktive Malware-Kampagne nutzt Microsoft Phone Link, um SMS-basierte Einmalpasswörter abzufangen. Der „CloudZ“-Trojaner und sein „Pheno“-Plugin greifen nicht das Mobiltelefon an, sondern die SQLite-Datenbank der Phone-Link-App auf dem verbundenen Windows-PC. So umgehen Angreifer die Mehrfaktor-Authentifizierung (MFA), indem sie die Codes direkt aus dem Speicher des Rechners auslesen.
Verschärfend kommt eine Entdeckung zu Microsoft Edge hinzu: Der Browser speichert alle gespeicherten Passwörter beim Start im Klartext im Arbeitsspeicher. Microsoft betrachtet dieses Verhalten offenbar als gewollt – ein hohes Risiko in Mehrbenutzer-Umgebungen oder Remote-Desktop-Szenarien, wo ein Angreifer mit lokalem Zugriff die Zugangsdaten einfach abgreifen kann.
Prominente Angriffe auf Wohnungsbau und Infrastruktur
Auch der Fertigungs- und Immobiliensektor wurde in den letzten Wochen direkt von Ransomware und Erpressungsgruppen getroffen. Champion Homes, ein australisches Wohnungsbauunternehmen, bestätigte einen Cybervorfall mit der DragonForce-Erpressungsgruppe. Die Angreifer veröffentlichten am 21. April 2026 einen 44 Gigabyte großen Datensatz mit sensiblen Mitarbeiter- und Kundendaten – darunter Gehaltsabrechnungen und Projektkalkulationen. Das Unternehmen betont, der Betrieb laufe wieder normal, doch der Vorfall zeigt die anhaltende Bedrohung für die Fertigungs-Lieferkette.
Im Immobiliensektor bestätigte Cushman & Wakefield einen Datendiebstahl durch einen raffinierten Voice-Phishing-Angriff. Zwei Gruppen – ShinyHunters und Qilin – haben die Verantwortung übernommen. ShinyHunters behauptet, über 500.000 Salesforce-Datensätze mit personenbezogenen Informationen gestohlen zu haben. Die Gruppe setzte dem Unternehmen eine Frist bis zum 6. Mai 2026, um Kontakt aufzunehmen.
In Europa erschütterte Ende April ein schwerer Angriff auf Sistemi Informativi, eine IBM-Tochter, die kritische IT-Infrastruktur für die italienische Regierung und verschiedene Industrien betreibt. Geheimdienstkreise vermuten die Gruppe Salt Typhoon dahinter – ein chinesisch verbundener APT-Akteur, bekannt für den Einsatz von Zero-Day-Exploits. IBM meldete, der Vorfall sei eingedämmt und die Dienste liefen. Dennoch schrillen die Alarmglocken: Die Sicherheit von Drittanbietern, die in nationale kritische Systeme integriert sind, steht auf dem Prüfstand.
Die Kluft zwischen Vertrauen und Realität
Trotz der zunehmenden Häufigkeit und Raffinesse der Angriffe zeigt eine aktuelle Studie eine beunruhigende Diskrepanz. Eine Umfrage unter 3.500 Führungskräften vom Januar 2026 ergab: 80 Prozent der Manager glauben, ihr Unternehmen sei gut auf Cyberbedrohungen vorbereitet. 75 Prozent sind überzeugt, nach einem erfolgreichen Angriff finanziell vollständig genesen zu können.
Doch die rasante Entwicklung der Bedrohungen – insbesondere durch Künstliche Intelligenz – bleibt das größte Risiko für die Minderheit der Führungskräfte, die Cybersicherheit als ihre größte Sorge nennen. Rund 28 Prozent der Manager planen, ihre Investitionen in den kommenden Monaten zu erhöhen.
Die Zahlen aus der Sicherheitsbranche spiegeln diese wachsende Nachfrage wider. Die deutsche secunet Security Networks AG meldete einen starken Jahresstart: Der Umsatz stieg im ersten Quartal 2026 um 4,4 Prozent auf 81,8 Millionen Euro. Noch bemerkenswerter: Der Auftragseingang verdoppelte sich nahezu auf 143 Millionen Euro bis zum 31. März 2026. Getrieben wird dieses Wachstum fast ausschließlich vom öffentlichen Sektor – die Erlöse aus der Wirtschaft brachen im gleichen Zeitraum um fast 50 Prozent ein.
Regulierung in der Schwebe
Die regulatorische Landschaft für Cybersicherheit befindet sich im Umbruch. Ende April 2026 scheiterten die Trilog-Verhandlungen zum „Digital Omnibus on AI“ in Deutschland. Streitpunkt: die Konformitätsbewertung für KI in regulierten Produkten. Die Umsetzung der Hochrisiko-KI-Pflichten wurde verschoben – neue Fristen: Dezember 2027 und August 2028. Ohne das Omnibus-Abkommen wären die ursprünglichen Hochrisiko-Anforderungen des AI Act bereits im August 2026 in Kraft getreten.
Während die regulatorische Umsetzung für künstliche Intelligenz derzeit stagniert, müssen Unternehmen die Anforderungen des EU AI Acts bereits aktiv einplanen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über Risikoklassen und Fristen, damit Ihre Compliance-Abteilung rechtlich auf der sicheren Seite bleibt. Kostenloses E-Book zum EU AI Act herunterladen
Während diese Debatten weitergehen, raten Sicherheitsexperten zur Priorisierung bekannter Schwachstellen. Dazu gehört „Bleeding Llama“ (CVE-2026-7482) – ein kritischer Fehler in Ollama-Installationen, der API-Schlüssel und Prompts von rund 300.000 öffentlich erreichbaren Instanzen offenlegen könnte.
Die anhaltenden Aktivitäten von Gruppen wie SHADOW-EARTH-053, die weiterhin ungepatchte Exchange-Server-Schwachstellen ausnutzen, um ShadowPad-Malware zu verbreiten, unterstreichen: Basissicherheit ist kein Luxus, sondern Überlebensnotwendigkeit. Solange kritische Patches für Schwachstellen wie „CopyFail“ und Exchange-Lücken nicht eingespielt werden, bleiben Fertigung und Einzelhandel lohnende Ziele – sowohl für staatlich gesteuerte Spionage als auch für finanziell motivierte Erpressungsbanden.
