🛡️ Tägliches Sicherheits-Lagebild
⚡ Zusammenfassung — Was heute zählt
- Microsoft Patch Tuesday: 79–83 Schwachstellen gepatcht, darunter 2 Zero-Days — sofort patchen
- FortiGate-Kampagne: Bedrohungsakteure nutzen FortiGate-NGFWs aus, um AD/LDAP-Anmeldedaten aus dem Gesundheits- und Regierungssektor zu stehlen
- KadNap-Botnetz: Über 14.000 ASUS-Router in ein Stealth-Proxy-Netzwerk mit benutzerdefiniertem Kademlia-DHT kompromittiert
- APT28 (Fancy Bear): Neue BEARDSHELL- und COVENANT-Implantate für langfristige Überwachung des ukrainischen Militärs
- Ivanti EPM aktiv ausgenutzt: CISA nimmt es zusammen mit SolarWinds- und Workspace-One-Schwachstellen in den KEV-Katalog auf
- Salesforce Experience Cloud: Massenscanning-Kampagne zielt auf fehlkonfigurierte Gastbenutzer-Berechtigungen ab
- Ericsson-Datenpanne: Tausende betroffen durch Kompromittierung eines Drittanbieters
🔴 Kritische Schwachstellen & Patch Tuesday
Microsoft März 2026 Patch Tuesday — 2 Zero-Days, 79 Schwachstellen
Microsoft hat Korrekturen für 79 Schwachstellen veröffentlicht, darunter 2 öffentlich bekannte Zero-Day-Schwachstellen. Das Update behebt außerdem ein Problem, das einige Geräte am Herunterfahren hinderte. Windows 10 Extended Security Update KB5078885 und Windows 11 KB5079473/KB5078883 kumulative Updates sind jetzt verfügbar.
Zero-Day Sofort patchen Windows 10/11Adobe patcht 80 Schwachstellen in 8 Produkten
Adobe hat Patches für 80 Schwachstellen in Commerce, Illustrator, Acrobat Reader, Premiere Pro und 4 weiteren Produkten bereitgestellt. Mehrere kritische Sicherheitslücken für Codeausführung sind enthalten.
Hoch Acrobat CommerceSAP patcht kritische FS-QUO- und NetWeaver-Schwachstellen
Ein Code-Injection-Fehler in FS-QUO und eine unsichere Deserialisierungslücke in NetWeaver könnten beliebige Codeausführung auf SAP-Unternehmenssystemen ermöglichen. Patch-Priorität: kritisch.
Kritisch RCE UnternehmenHPE kritische AOS-CX-Schwachstelle — Admin-Passwort-Zurücksetzung
Hewlett Packard Enterprise hat mehrere Schwachstellen im Aruba Networking AOS-CX-Betriebssystem gepatcht, darunter Authentifizierungsumgehungen, die Admin-Passwort-Zurücksetzungen ermöglichen, sowie Codeausführungsprobleme.
Kritisch Auth-Bypass NetzwerkinfrastrukturCISA stuft Ivanti EPM, SolarWinds & Workspace One als aktiv ausgenutzt ein
Drei Schwachstellen wurden in CISAs Katalog bekannter ausgenutzter Schwachstellen aufgenommen: Ivanti Endpoint Manager Authentifizierungsumgehung mit hohem Schweregrad, SolarWinds-Schwachstelle und CVE-2021-22054 (SSRF in VMware/Omnissa Workspace One UEM, CVSS 7.5). Alle bestätigt in freier Wildbahn ausgenutzt.
Aktiv ausgenutzt KEV Ivanti„LeakyLooker" — 9 mandantenübergreifende Schwachstellen in Google Looker Studio
Tenable hat 9 mandantenübergreifende Schwachstellen in Google Looker Studio offengelegt, die es Angreifern ermöglicht hätten, beliebige SQL-Abfragen auf den Datenbanken der Opfer auszuführen und sensible Daten innerhalb von Google-Cloud-Umgebungen zu exfiltrieren. Kein Nachweis einer Ausnutzung in freier Wildbahn.
Hoch Cloud Mandantenübergreifend🟠 Aktive Bedrohungen & Kampagnen
FortiGate-NGFW-Kampagne — Anmeldedatendiebstahl aus Gesundheitswesen & Regierung
Bedrohungsakteure nutzen FortiGate Next-Generation Firewalls als Einfallstor, um Netzwerke zu kompromittieren. Die Kampagne extrahiert Konfigurationsdateien mit AD/LDAP-Dienstkonten-Anmeldedaten und Netzwerktopologie. Ziele sind Gesundheitswesen, Regierung und Managed-Service-Provider. Die Ausnutzung nutzt aktuelle Schwachstellen und schwache Anmeldedaten.
Kritisch Gesundheitswesen Regierung AnmeldedatendiebstahlRusslands APT28 setzt BEARDSHELL + COVENANT gegen ukrainisches Militär ein
Die GRU-affiliierte APT28-Gruppe wurde bei der Nutzung neuer Implantate BEARDSHELL und COVENANT für die langfristige Überwachung ukrainischen Militärpersonals seit April 2024 beobachtet. Außerdem wird SLIMAGENT (Keylogger, Screenshot-Aufnahme, Zwischenablage-Diebstahl) eingesetzt. Die Kampagne zeigt die fortlaufende Eskalation russischer Cyberspionage-Operationen.
Nationalstaat Spionage RusslandKadNap-Botnetz — Über 14.000 ASUS-Router kompromittiert
Die neue Malware KadNap zielt auf ASUS-Router und Edge-Geräte ab und baut ein Botnetz mit über 14.000 Knoten zum Proxying bösartigen Datenverkehrs auf. Sie verwendet ein benutzerdefiniertes Kademlia-DHT-Protokoll zur Verschleierung der C2-Infrastruktur. Über 60 % der Opfer befinden sich in den USA, mit globaler Verbreitung in Taiwan, Hongkong, Großbritannien, Australien, Brasilien, Frankreich, Italien und Spanien. Aktiv seit August 2025.
Hoch Botnetz IoT 14K GeräteSalesforce Experience Cloud Massenscanning-Kampagne
Bedrohungsakteure scannen massenhaft Salesforce Experience Cloud-Websites mit einem modifizierten AuraInspector-Tool. Übermäßig freizügige Gastkonfigurationen werden ausgenutzt, um auf sensible Daten zuzugreifen. Hunderte Kunden sollen betroffen sein.
Hoch SaaS FehlkonfigurationNordkoreanische Akteure kompromittieren Kryptofirma über trojanisierte AirDrop-Datei
UNC4899 (Jade Sleet / TraderTraitor) kompromittierte eine Kryptowährungsorganisation durch Social Engineering + trojanisierte AirDrop-Dateiübertragung. Pivot in die Cloud mittels Living-off-the-Cloud (LOTC)-Techniken, Missbrauch von DevOps-Workflows zum Abgreifen von Anmeldedaten, Ausbruch aus Containern und Manipulation von Cloud-SQL-Datenbanken für Kryptodiebstahl.
APT Krypto Lieferkette🟡 Neue Malware & Umgehungstechniken
„BlackSanta" EDR-Killer zielt auf Personalabteilungen
Ein russischsprachiger Bedrohungsakteur zielt seit über einem Jahr auf Personalabteilungen mit Malware ab, die BlackSanta liefert, einen neuen EDR-Killer (Endpoint Detection & Response). Die Kampagne nutzt auf HR-Workflows zugeschnittenes Social Engineering.
Hoch EDR-Umgehung HR-Targeting„BeatBanker" Android-Malware tarnt sich als Starlink-App
Die neue Android-Malware BeatBanker tarnt sich als Starlink-App auf gefälschten Google Play Store-Websites. Bei Installation ist eine vollständige Geräteübernahme möglich.
Mittel Android Banking-Trojaner„Zombie ZIP" — Neue Technik umgeht Sicherheitsscanner
Eine neue Umgehungstechnik namens „Zombie ZIP" verbirgt bösartige Payloads in speziell präparierten komprimierten Dateien, die Antivirus- und EDR-Erkennung umgehen sollen. Nutzt Inkonsistenzen in der ZIP-Archiv-Verarbeitung von Sicherheitstools aus.
Umgehung Neue TechnikGeometriebasierte Sandbox-Umgehung — „Der neue Turing-Test"
Der Picus Red Report 2026 zeigt, dass sich 80 % der führenden Angreifertechniken auf Umgehung und Persistenz konzentrieren. Malware verwendet zunehmend geometriebasierte Cursorbewegungstests und CPU-Timing-Prüfungen, um Sandbox-Umgebungen zu erkennen und vor der Payload-Ausführung „Menschlichkeit" zu beweisen.
Forschung Sandbox-UmgehungBösartiges npm-Paket „GhostClaw" zielt auf macOS-Entwickler
Ein bösartiges npm-Paket (@openclaw-ai/openclawai) verbreitet einen RAT, der Anmeldedaten, Browserdaten, Krypto-Wallets, SSH-Schlüssel, Apple Keychain und iMessage-Verlauf stiehlt. Inklusive persistentem C2, SOCKS5-Proxy und Live-Browser-Session-Kloning. 178 Downloads seit dem 3. März.
🔵 Datenpannen
Ericsson-Datenpanne — Tausende betroffen
Der Telekommunikationsriese Ericsson bestätigte eine Datenpanne, die Tausende von Personen betrifft. Das Unternehmen machte eine Kompromittierung eines Drittanbieters verantwortlich. Der Umfang der offengelegten Daten ist noch nicht vollständig bekannt.
Telekommunikation Drittanbieter-Risiko🟢 Sicherheitstool-Releases & Branchenfinanzierung
Kevin Mandias Armadin startet mit 190 Mio. $ Finanzierung
Der ehemalige Mandiant-CEO Kevin Mandia startet Armadin, eine KI-gestützte Red-Teaming-Plattform, die autonom Schwachstellen findet und ausnutzt. Unterstützt durch 190 Mio. $ Finanzierung. Wichtiger neuer Wettbewerber im Bereich automatisierte offensive Sicherheit.
Startup 190 Mio. $ Red TeamingKai — 125 Mio. $ für KI-Plattform zur Überbrückung von IT- und OT-Sicherheit
Gegründet von einem Claroty-Mitgründer, tritt Kai mit 125 Mio. $ Finanzierung von Evolution Equity Partners und N47 aus dem Stealth-Modus. Fokus: KI-gestützte Konvergenz von IT- und OT-Sicherheit (Operational Technology).
Startup 125 Mio. $ IT/OTJazz — 61 Mio. $ für KI-gestützten Datenverlustschutz
Jazz tritt mit 61 Mio. $ Finanzierung für KI-gestützten DLP (Data Loss Prevention) aus dem Stealth-Modus. Verspricht Transparenz über Absicht, Kontext und Risiko über traditionelle DLP-Tools hinaus.
Startup 61 Mio. $ DLPEscape sammelt 18 Mio. $ zur Automatisierung von Pentesting
Escape sichert sich 18 Mio. $ zur Vertiefung von KI-Agenten-Fähigkeiten für automatisiertes Penetration Testing und zur Skalierung von Engineering- und Go-to-Market-Teams.
Startup 18 Mio. $ PentestingOpenAI führt Codex Security Schwachstellenscanner ein
OpenAI startet Codex Security (ehemals Aardvark), einen KI-gestützten Schwachstellenscanner, der im vergangenen Monat Hunderte kritischer Schwachstellen in getesteter Software gefunden hat.
KI-Sicherheit SchwachstellenscannerMicrosoft Entra Passkeys — Phishing-resistente Windows-Anmeldung
Microsoft rollt Passkey-Unterstützung für Entra unter Windows aus und ermöglicht phishing-resistente passwortlose Authentifizierung über Windows Hello. Wichtiger Schritt zur Eliminierung passwortbasierter Angriffe.
Identität Passkeys Phishing-Abwehr📊 Aufkommende Bedrohungsmuster
Beobachtete Schlüsseltrends in diesem Zyklus
Die Analyse der letzten 24 Stunden zeigt mehrere konvergierende Muster:
1. Edge-Device-Exploitation im großen Maßstab — KadNap (14K Router), FortiGate-Kampagne und Ivanti-EPM-Ausnutzung zielen alle auf Netzwerk-Edge-Infrastruktur ab. Angreifer bevorzugen zunehmend die Kompromittierung der Geräte, die Netzwerke schützen sollen.
2. Wettrüsten bei EDR/Sandbox-Umgehung — BlackSanta EDR-Killer, Zombie-ZIP-Archivumgehung und geometriebasierte Sandbox-Erkennung zeigen massive Investitionen der Angreifer in die Umgehung von Endpunktsicherheit.
3. Fortgesetzte Supply-Chain-Vergiftung — Bösartige npm-Pakete (GhostClaw), trojanisierte AirDrop-Dateien (UNC4899) und modifizierte Open-Source-Tools (AuraInspector) demonstrieren anhaltende Supply-Chain-Angriffsvektoren.
4. Massiver Hersteller-Patch-Zyklus — Microsoft (79), Adobe (80), SAP (kritisch), HPE (kritisch) = 162+ Schwachstellen an einem einzigen Tag. Patch-Management bleibt die größte operative Belastung für Sicherheitsteams.
5. Investitionsschub bei KI-Sicherheit — 376 Mio. $ an neuer Finanzierung für 4 Startups (Armadin, Kai, Jazz, Escape) plus OpenAIs Einstieg in das Schwachstellenscanning. Der KI-Sicherheitsmarkt beschleunigt rasant.