Microsofts Digital Crimes Unit gelang ein entscheidender Schlag gegen einen Dienstleister für Erpresserbanden, während gleichzeitig massenhafte Angriffe auf Entwicklerplattformen die Verwundbarkeit der Lieferketten offenlegen.
Operation OpFauxSign: 1.000 gefälschte Zertifikate gekappt
Am 22. Mai 2026 gab Microsoft die erfolgreiche Zerschlagung der Hackergruppe Fox Tempest bekannt. Die Gruppe betrieb eine Plattform, die Ransomware-Banden wie Rhysida, Akira und Qilin mit gefälschten digitalen Signaturen versorgte. Der Preis pro Auftrag lag zwischen 5.000 und 9.500 Euro.
Angesichts immer professionellerer Cyberangriffe stehen gerade mittelständische Unternehmen im Visier von Kriminellen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungen abwenden und Ihre Firma ohne großes Budget proaktiv absichern. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Die Täter nutzten über 580 gefälschte Konten auf Microsofts eigener Artifact-Signing-Plattform. Diese Konten wurden mit gestohlenen Identitäten aus den USA und Kanada erstellt. Die ausgestellten Zertifikate blieben 72 Stunden gültig – genug Zeit für verheerende Angriffe mit scheinbar vertrauenswürdiger Software.
Im Rahmen der Operation OpFauxSign beschlagnahmten die Behörden die Domain signspace[.]cloud und widerriefen rund 1.000 betrügerische Zertifikate. Die Infrastruktur lief über virtuelle Maschinen bei Cloudzy. Der Schlag trifft unter anderem die Ransomware-Varianten Oyster und Lumma Stealer, die nun schwerer zu entdecken sind.
Angriffswelle auf Entwickler: 5.561 GitHub-Repositories kompromittiert
Nur wenige Tage zuvor, am 18. Mai 2026, erschütterte die „Megalodon“-Kampagne die Entwickler-Community. Innerhalb von sechs Stunden drangen Angreifer mit automatisierten Bot-Identitäten in 5.561 GitHub-Repositories ein und führten 5.718 schädliche Commits aus.
Die Malware-Varianten SysDiag und Optimize-Build stahlen SSH-Schlüssel und Cloud-Zugangsdaten von AWS, GCP und Azure. Besonders betroffen: Das Tiledesk-Projekt, das unwissentlich sieben infizierte npm-Pakete veröffentlichte.
Ein weiterer Vorfall traf die Laravel-Community: Zwischen dem 22. und 23. Mai wurden über 700 Versionen der Laravel-Lang-Pakete mit einer Hintertür versehen. Die Schadsoftware aktivierte sich automatisch über den Composer-Paketmanager und sammelte sensible Daten wie Cloud-Zugangsdaten und CI/CD-Geheimnisse.
Der Bedrohungsakteur „deadcode09284814“ veröffentlichte zudem mehrere bösartige npm-Pakete, darunter Fälschungen beliebter Tools wie axios. Diese wurden über 2.600 Mal heruntergeladen und verfügten neben Datendiebstahl auch über DDoS-Funktionen.
Kritische Lücken: Windows Defender und Exchange betroffen
Microsoft hat am 22. Mai 2026 Patches für zwei ausgenutzte Zero-Day-Lücken in Windows Defender veröffentlicht:
- CVE-2026-41091: Ermöglicht SYSTEM-Zugriff
- CVE-2026-45498: Blockiert den Empfang wichtiger Signatur-Updates
Die US-Behörde CISA verlangt die Installation bis zum 3. Juni 2026. Parallel entdeckten Forscher den „GhostTree“-Exploit, der Windows Defender mit NTFS-Junction-Schleifen in eine Endlosschleife zwingt.
Weitere kritische Schwachstellen:
- CVE-2026-23346: Remote-Code-Ausführung im Microsoft Loading Service (Windows 10, Server 2022/2025)
- CVE-2026-42897: Aktive Spoofing-Lücke in Microsoft Exchange (Patch noch ausstehend)
- CVE-2026-45585 („YellowKey“): Umgehung der BitLocker-Verschlüsselung im TPM-Modus
Das Ende der SMS: Microsoft schafft MFA-Codes ab
Am 22. und 23. Mai 2026 kündigte Microsoft an, SMS-basierte Codes für die Zwei-Faktor-Authentifizierung (MFA) und die Kontowiederherstellung für Privatnutzer schrittweise abzuschaffen. Grund: SMS gilt als Hauptquelle für Betrug durch SIM-Swapping und Phishing.
Die Zukunft gehört Passkeys – biometrischen Daten oder PINs, die gerätespezifisch sind und plattformübergreifend synchronisiert werden können. Für IT-Administratoren bedeutet dies neue Herausforderungen bei der Verwaltung und sicheren Wiederherstellung.
Da herkömmliche Passwörter und SMS-Codes zunehmend zum Sicherheitsrisiko werden, bietet die passwortlose Anmeldung via Passkey den modernsten Schutz. Dieser kostenlose Report zeigt Ihnen, wie Sie die Technologie bei Amazon, Microsoft und Co. sofort einrichten. Kostenlosen Passkey-Ratgeber herunterladen
DFB-Datenleck: Mitarbeiter-Zugangsdaten im Darknet
Am 22. Mai 2026 tauchten E-Mail-Adressen und Passwörter von DFB-Mitarbeitern und Partnern in einem Cybercrime-Forum auf. Ein Lösegeld wurde nicht gefordert. Der Vorfall erhöht das Risiko von Credential-Stuffing-Angriffen auf den Verband. Branchenanalysten zufolge sind gestohlene Zugangsdaten an rund 80 Prozent aller Webanwendungs-Einbrüche beteiligt.
NIS2: Nur jedes dritte Unternehmen in Deutschland compliant
Die Umsetzung der NIS2-Richtlinie bereitet weiterhin Probleme. Obwohl die Registrierungsfrist am 6. März 2026 ablief, haben bis Mai nur etwa 11.000 von rund 29.500 betroffenen Unternehmen in Deutschland den Prozess abgeschlossen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die aktive Durchsetzungsphase eingeleitet. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des globalen Umsatzes – sowie persönliche Haftung für Vorstände.
In spezialisierten Bereichen werden die Anforderungen noch strenger: Das BSI genehmigte den Wire-Bund-Messenger für Verschlusssachen bis zur Stufe „VS-NUR FÜR DEN DIENSTGEBRAUCH“ – allerdings nur bis Ende 2028, unter anderem wegen des wachsenden Bedarfs an Post-Quanten-Kryptografie.
Ausblick: Vom reaktiven Patchen zum proaktiven Schutz
Die Zerschlagung von Fox Tempest zeigt einen aggressiveren Kurs der Technologiekonzerne gegen die Kommerzialisierung von Cyberkriminalität. Doch die Angriffswelle auf GitHub und npm belegt: Die Einfallstore verlagern sich immer weiter „upstream“ in den Softwareentwicklungsprozess.
Die Abkehr von der SMS-Authentifizierung markiert den Beginn einer breiten Branchenbewegung hin zu passwortlosen Umgebungen. Für Unternehmen in der EU bleibt die NIS2-Compliance die drängendste Aufgabe – das BSI signalisiert den Übergang von Beratung zu aktiver Aufsicht und möglichen Sanktionen.
