Ein koordinierter Schlag gegen die digitale Unterwelt: Internationale Ermittler haben am Donnerstag einen zentralen Dienst der Ransomware-Szene lahmgelegt. First VPN, ein speziell für Kriminelle betriebenes virtuelles privates Netzwerk, wurde vom Netz genommen. Parallel dazu zerstörte Microsoft ein Netzwerk für gefälschte Codesignaturen. Die Aktionen zeigen: Der Kampf gegen Cyberkriminalität verlagert sich zunehmend auf die Dienstleister, die Erpressung und Spionage überhaupt erst möglich machen.
Angesichts der Professionalisierung der Cyberkriminalität ist ein präventiver Schutz für Unternehmen wichtiger denn je. Wie Sie aktuelle Bedrohungen frühzeitig erkennen und Ihre IT-Sicherheit ohne massiven Kostenaufwand stärken, erfahren Sie in diesem kostenlosen E-Book. IT-Sicherheits-Guide für Unternehmen jetzt gratis anfordern
First VPN: Der Schatten-Dienst für 25 Erpresserbanden
Der Dienst war kein gewöhnlicher VPN-Anbieter. First VPN bewarb sich auf Untergrund-Foren explizit als „no-logs“-Service – eine Zusicherung, keine Verbindungsdaten zu speichern. Genau das machte ihn für mindestens 25 verschiedene Ransomware-Gruppen attraktiv. Sie nutzten das Netzwerk, um ihre Herkunft bei Einbrüchen in Firmennetzwerke zu verschleiern.
Die Operation, an der Europol und das FBI beteiligt waren, führte zur Beschlagnahmung von Servern in 27 Ländern. Auch der Administrator des Dienstes wurde festgenommen. Die Ermittler erhoffen sich nun neue Erkenntnisse über die konkreten Täter, die auf First VPN angewiesen waren.
Fox Tempest: Wenn Schadsoftware plötzlich vertrauenswürdig aussieht
Am selben Tag gelang Microsoft ein weiterer Coup. Das Unternehmen zerschlug das Netzwerk „Fox Tempest“, das seit Mai 2025 gefälschte Codesignatur-Zertifikate ausstellte. Diese Zertifikate sind der digitale Ausweis einer Software – sie signalisieren dem Betriebssystem: „Dieses Programm ist sicher.“ Genau diese Täuschung nutzten Erpresserbanden wie „Vanilla Tempest“, um ihre Schadsoftware an Sicherheitslösungen vorbeizuschleusen.
Microsoft beschlagnahmte die Domain signspace[.]cloud und schaltete hunderte virtuelle Maschinen ab, die für den betrügerischen Signaturdienst genutzt wurden. Besonders betroffen von solchen Angriffen sind Branchen wie das Gesundheitswesen, Bildungseinrichtungen und der Finanzsektor.
Operation Masquerade: 18.000 Router als Spionagewerkzeug
Die aktuellen Erfolge sind nicht die ersten in diesem Frühjahr. Bereits am 7. April 2026 hatte das FBI mit internationalen Partnern im Rahmen der „Operation Masquerade“ ein Botnetz der russischen Gruppe APT28 zerschlagen. Die Hacker, die dem russischen Militärgeheimdienst GRU zugerechnet werden, hatten seit August 2025 über 18.000 Router der Marken TP-Link und MikroTik in 120 Ländern gekapert.
Die Methode: DNS-Hijacking. Die Angreifer lenkten den Datenverkehr um und stahlen so Outlook-Zugangsdaten von mehr als 200 Organisationen in 23 US-Bundesstaaten. Die Bedrohung war so massiv, dass die US-Kommunikationsbehörde FCC bereits am 23. März 2026 ein Importverbot für bestimmte ausländische Router verhängte.
Exploit statt Phishing: Angreifer werden technischer
Warum der Fokus auf die Infrastruktur? Weil sich die Methoden der Angreifer radikal wandeln. Ein aktueller Bedrohungsreport für das erste Quartal 2026 zeigt: Die Ausnutzung von Sicherheitslücken (Exploits) hat Social Engineering als häufigste Angriffsmethode überholt. Exploits sind nun für 38 Prozent aller Vorfälle verantwortlich, während Phishing und Co. auf 24 Prozent zurückfielen. Die Zahl der ausgenutzten schwerwiegenden Sicherheitslücken stieg im Jahresvergleich um 105 Prozent.
Die Dringlichkeit zeigt sich auch bei Microsoft. Am 21. Mai 2026 veröffentlichte der Konzern Notfall-Patches für zwei Zero-Day-Lücken in der eigenen Sicherheitsplattform Defender. Die Schwachstellen CVE-2026-41091 und CVE-2026-45498 ermöglichen Angreifern, ihre Rechte im System auszuweiten oder Denial-of-Service-Angriffe durchzuführen. Die Lücken wurden mit den Exploit-Kits „RedSun“ und „UnDefend“ in Verbindung gebracht, die Sicherheitsforscher von Huntress bereits Mitte April 2026 bei echten Angriffen entdeckt hatten.
Die US-Behörde CISA hat die Defender-Lücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden müssen die Updates bis zum 3. Juni 2026 installieren. Branchenkenner warnen: Das Zeitfenster zwischen Patch-Veröffentlichung und aktivem Exploit schrumpft dramatisch – in manchen Fällen von Wochen auf wenige Stunden.
Der Markt für Cyberkriminalität: Spezialisierte Dienstleister im Visier
Die Strategie der Ermittler ist klar: Nicht nur die Täter selbst jagen, sondern die Dienstleister, die ihre Arbeit erst ermöglichen. Ransomware-Gruppen operieren heute wie Unternehmen – sie kaufen VPNs, Codesignaturen und sogar den ersten Zugang zu Netzwerken auf dem Schwarzmarkt ein. Indem die Behörden diese Nadelöhre angreifen, erhöhen sie die Kosten und Risiken für eine Vielzahl von Kriminellen gleichzeitig.
Der Trend zur technischen Automatisierung beschleunigt sich. SQL-Injection bleibt die am häufigsten ausgenutzte Schwachstelle, doch die Angreifer werden raffinierter. So beobachteten Sicherheitsexperten kürzlich, wie Hacker die Multi-Faktor-Authentifizierung (MFA) auf bestimmten VPN-Plattformen in weniger als 30 Minuten umgingen – obwohl die Hersteller die zugrundeliegenden Probleme eigentlich bereits behoben hatten.
Auch der mobile Sektor ist betroffen. Im Mai 2026 warnten Sicherheitsfirmen vor einer „hochkritischen“ Android-Spyware, die als politische Plattform getarnt ist. Die Schadsoftware kann Einmalpasswörter (OTPs) abfangen und Bankdaten über WhatsApp und Telegram stehlen. Parallel dazu läuft seit März 2025 eine großangelegte Betrugskampagne mit Carrier-Billing, bei der hunderte schadhafte Apps Nutzer in Südostasien und Europa heimlich für Premiumdienste anmelden.
Da Kriminelle verstärkt Android-Nutzer ins Visier nehmen, um sensible Bankdaten und Passwörter abzugreifen, ist ein aktuelles System die wichtigste Verteidigungslinie. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone durch richtige Updates und Sicherheitsmaßnahmen effektiv vor Hackern schützen. Kostenlosen Android-Sicherheits-Report herunterladen
Ausblick: Strengere Regeln und KI als Waffe
Die Abwehr rüstet auf. Microsoft hat ein großes Update für Windows Secure Boot angekündigt, da ältere Sicherheitszertifikate zwischen dem 27. Juni und Oktober 2026 auslaufen. Der Wechsel erfordert eine enge Abstimmung mit Hardware-Herstellern und könnte den Austausch älterer Systeme nötig machen.
Auf der regulatorischen Seite gehen europäische Verbraucherschutzorganisationen in die Offensive. Am heutigen Freitag reichten sie formelle Beschwerden gegen Google, Meta und TikTok ein. Der Vorwurf: Die Plattformen schützen ihre Nutzer nicht ausreichend vor Finanzbetrug. Zwischen Dezember 2025 und März 2026 wurden nur 27 Prozent der gemeldeten betrügerischen Anzeigen entfernt. Nach dem Digital Services Act (DSA) drohen den Unternehmen Strafen von bis zu sechs Prozent ihres globalen Jahresumsatzes.
Und die Künstliche Intelligenz? IBM kündigte am 21. Mai 2026 eine Ausweitung seiner KI-Sicherheitsinitiativen an. Das Unternehmen beteiligt sich an einem Gemeinschaftsprojekt, das fortschrittliche Modelle in die automatisierte Schwachstellenanalyse integrieren soll. Denn während Angreifer KI nutzen, um die Zeit von Patch zu Exploit zu verkürzen, müssen die Verteidiger mit automatisierten Systemen nachziehen – bevor die nächste kritische Infrastruktur getroffen wird.
