← Zurück zum Blog
Security Briefing4 Min. Lesezeit2026-04-17

Sicherheitsbriefing, 17. April 2026: Cisco-Webex-Handlungsbedarf, PowMix-Botnet und ZionSiphon-OT-Sabotage

Das heutige Sicherheitsbriefing bündelt drei konkrete Signale: Ciscos Webex-SSO-Fix, der weiter Kundenarbeit erfordert, Talos’ PowMix-Botnet mit unauffälligem C2-Verhalten gegen Beschäftigte in Tschechien und ZionSiphons Sabotagelogik gegen Chlor- und Drucksteuerungen im Wassersektor.


Top line: Das Muster heute Morgen ist Vertrauensmissbrauch auf drei Ebenen zugleich: Identitäts-Infrastruktur, Workforce-Lieferketten und industrielle Steuerlogik. Verteidiger sollten das nicht als getrennte Queues behandeln.


1. Cisco hat Webex gefixt, aber Kunden haben noch Arbeit

Cisco patchte CVE-2026-20184 in Webex Services, eine fehlerhafte Zertifikatsvalidierung in der SSO-Integration mit Control Hub, über die ein nicht authentifizierter Angreifer Nutzer imitieren könnte. Der Service-Fix allein reicht nicht: Organisationen mit SSO müssen zusätzlich ein neues SAML-Zertifikat für ihren Identity Provider hochladen, um Störungen zu vermeiden und die Lücke sauber zu schließen.


2. PowMix zeigt, wie Phishing-Crews immer besser im Tarnen werden

Cisco Talos veröffentlichte PowMix, ein bisher undokumentiertes Botnet, das seit mindestens Dezember 2025 aktiv ist und die tschechische Arbeitswelt angreift. Die Malware nutzt randomisierte Beacon-Intervalle, versteckt verschlüsselte Heartbeats in URL-Pfaden, die wie REST-API-Traffic aussehen, und kann ihre C2-Domain dynamisch aktualisieren. Talos sah zudem taktische Überschneidungen mit der älteren ZipLine-Aktivität und Heroku-basierter Infrastruktur.


3. ZionSiphon ist ein Warnschuss für Wasser- und Entsalzungsbetreiber

Forscher sagen, dass die aktuelle ZionSiphon-Probe durch einen Validierungsfehler gebrochen ist, aber die Absicht ist klar und hässlich. Die Malware prüft auf israelische IP-Bereiche und Wasseraufbereitungssoftware und versucht dann, Chlordosis, Ventilstatus, Pumpenzustand und Umkehrosmose-Druck zu verändern. Sie enthält außerdem USB-Verbreitung, was wichtig ist, weil viele industrielle Umgebungen weiterhin auf Wechselmedien in halb isolierten Systemen setzen.


Was Security-Teams heute tun sollten

  1. Cisco-Webex-SSO-Zertifikatswechsel abschließen und verifizieren, nicht nur den Vendor-Patch abhaken.
  2. E-Mail-, Identity- und Endpoint-Teams gemeinsam auf PowMix-Lures und PowerShell-Ausführung briefen.
  3. OT-Betreiber sollten testen, ob unautorisierte Änderungen an Chlor oder Druck schnell genug erkannt würden.
  4. Der Führung ein klares Update geben, das Kollaborationsvertrauen, Workforce-Phishing und Industriesabotage in einem Risikobild verbindet.

Bottom line: Die stärkste Lehre heute ist simpel: Angreifer interessiert nicht, ob eine Schwäche in Identität, Nutzerworkflow oder physischer Prozesssteuerung steckt. Wenn dort Vertrauen sitzt, ist es ein Ziel.

Schließe Vertrauenslücken, bevor sie zu Incident-Brücken werden

KENSAI hilft Teams, exponierte Identity-Pfade, phishinggetriebene Angriffsketten und reales operatives Risiko zu verifizieren, bevor Vertrauen zur Kompromittierung wird.

Kostenlosen Scan starten →

Bleib scharf.

🗡️ KENSAI Security Team