Tägliches Bedrohungsbriefing
Mittwoch, 18.–19. März 2026 · 14 Meldungen aus 4 Quellen
⚡ TL;DR — Die 5 wichtigsten Erkenntnisse
- „DarkSword" iOS-Exploit-Kit — Staatlich unterstützte Akteure nutzen eine 6-Schwachstellen-Kette zur vollständigen iPhone-Überwachung
- Cisco FMC Zero-Day (CVE-2026-20131, CVSS 10.0) — Interlock-Ransomware nutzt die Schwachstelle seit Januar aktiv aus
- GNU telnetd RCE (CVE-2026-32746, CVSS 9.8) — Ungepatchte, nicht authentifizierte Root-Code-Ausführung
- Ubuntu Root-Eskalation (CVE-2026-3888) — Standardinstallationen von 24.04+ über systemd-Timing-Bug angreifbar
- EU-Sanktionen gegen chinesische und iranische Firmen wegen staatlicher Hacking-Operationen gegen Mitgliedstaaten
🔓 Datenschutzverletzungen & Datenlecks
Aura bestätigt Datenleck — 900.000 Marketing-Kontakte betroffen
Das Identitätsschutz-Unternehmen Aura bestätigte unbefugten Zugriff auf fast 900.000 Kundendatensätze mit Namen und E-Mail-Adressen. Die Ironie, dass ein Identitätsschutz-Unternehmen selbst betroffen ist, unterstreicht, dass kein Unternehmen immun ist.
Marquis: Ransomware-Gruppe erbeutete Daten von 672.000 Personen
Der texanische Finanzdienstleister Marquis gab bekannt, dass eine Ransomware-Gruppe bei einem Angriff im August 2025 Daten von über 670.000 Personen gestohlen und den Betrieb von 74 Banken in den USA gestört hat.
UK Companies House legte Details von Millionen Unternehmen offen
Die britische Regierungsbehörde bestätigte eine Schwachstelle, die hätte ausgenutzt werden können, um Unternehmensdaten einzusehen und Einträge von Millionen registrierter Firmen zu ändern.
Iranische Hacker nutzten gestohlene Zugangsdaten bei Stryker-Angriff
Der Medizintechnik-Konzern Stryker stellt seine Systeme wieder her, nachdem die mit dem Iran verbundene Hacking-Gruppe Handala mittels durch Malware gestohlener Zugangsdaten in das Netzwerk eingedrungen war.
🛡️ Kritische Schwachstellen
Cisco FMC Zero-Day — CVE-2026-20131 (CVSS 10.0)
Unsichere Deserialisierung von Java-Byte-Streams im Cisco Secure Firewall Management Center ermöglicht nicht authentifizierten Angreifern Root-Zugriff aus der Ferne. Die Interlock-Ransomware-Gruppe nutzt dies seit Ende Januar 2026 als Zero-Day aus.
KENSAI Auswirkung: Jede Organisation, die Cisco FMC betreibt, sollte sofort patchen. Dies ist die höchstmögliche Schweregradwertung und wird aktiv als Waffe eingesetzt.
GNU Telnetd RCE — CVE-2026-32746 (CVSS 9.8)
Out-of-Bounds-Schreibzugriff in der LINEMODE-Set-Verarbeitung des GNU InetUtils Telnet-Daemons ermöglicht nicht authentifizierte Remote-Code-Ausführung mit erhöhten Rechten. Derzeit ungepatcht — telnetd deaktivieren, falls aktiv.
KENSAI Auswirkung: Ältere Infrastrukturen, die noch telnetd betreiben, sind vollständig exponiert. Sofortige Maßnahme: Dienst deaktivieren oder Port 23 per Firewall sperren.
Ubuntu Root-Eskalation — CVE-2026-3888 (CVSS 7.8)
Ein Timing-Exploit zwischen snap-confine und systemd-tmpfiles ermöglicht lokalen Angreifern ohne besondere Rechte die Eskalation zu vollem Root-Zugriff auf Ubuntu Desktop 24.04+. Erfordert ein 10–30-tägiges Timing-Fenster, führt aber zur vollständigen Kompromittierung des Hosts.
Apple WebKit Same-Origin-Bypass — CVE-2026-20643
Ein Cross-Origin-Problem in WebKits Navigation API umgeht die Same-Origin-Policy auf iOS, iPadOS und macOS. Apple hat es über den neuen Mechanismus „Background Security Improvements" behoben — das erste Mal, dass diese leichtgewichtige Patch-Auslieferung eingesetzt wurde.
Zimbra XSS-Schwachstelle — Aktiv ausgenutzt, CISA ordnet Patching an
CISA hat US-Bundesbehörden angewiesen, eine aktiv ausgenutzte XSS-Schwachstelle in der Zimbra Collaboration Suite zu patchen. Regierungs-E-Mail-Server mit ZCS sind gefährdet.
ConnectWise ScreenConnect — Schwachstelle bei Signaturverifizierung
ConnectWise warnte vor einer Schwachstelle bei der kryptographischen Signaturverifizierung in ScreenConnect, die zu unbefugtem Zugriff und Rechteeskalation führen könnte. Patch ist jetzt verfügbar.
9 kritische IP-KVM-Schwachstellen — Nicht authentifizierter Root-Zugriff
Neun Schwachstellen bei GL-iNet, Angeet/Yeeso, Sipeed NanoKVM und JetKVM-Geräten. Fehlende Firmware-Validierung, kein Brute-Force-Schutz, fehlerhafte Zugriffskontrollen und offene Debug-Schnittstellen ermöglichen vollständige Übernahme auf BIOS-Ebene.
WhatsApp View-Once-Bypass #4 — Meta wird nicht patchen
Ein Forscher veröffentlichte die vierte Methode, um WhatsApps „Einmal ansehen"-Funktion zu umgehen. Meta bestätigte, dass kein Fix erfolgen wird, da ein modifizierter Client erforderlich ist.
💀 Ransomware & aktive Angriffe
„DarkSword" iOS-Exploit-Kit — Staatlich unterstützte Überwachung
Ein neues Exploit-Kit, das sechs iOS-Schwachstellen ausnutzt, ermöglicht vollständige Gerätekompromittierung zu Überwachungszwecken. Eingesetzt von staatlich unterstützten Hackern und kommerziellen Spyware-Anbietern. Stiehlt Daten aus Kryptowährungs-Wallets und anderen Apps. Dies ist eine vollständige Exploit-Kette — nicht ein einzelner Bug.
KENSAI Auswirkung: Organisationen mit hochrangigen Zielpersonen (Führungskräfte, Regierungsbeamte) sollten sicherstellen, dass alle iOS-Geräte sofort auf die neueste Version aktualisiert werden.
DPRK-IT-Arbeiter-Netzwerk von OFAC sanktioniert
Das US-Finanzministerium hat sechs Personen und zwei Unternehmen sanktioniert, die an Nordkoreas Schema mit gefälschten Remote-Arbeitern beteiligt sind. DPRK-Agenten infiltrieren Unternehmen unter falschen Identitäten, um Einnahmen für Waffenprogramme zu generieren.
EU sanktioniert chinesische und iranische Firmen für Hacking-Operationen
Die EU hat zwei chinesische Personen, zwei chinesische Unternehmen und ein iranisches Unternehmen für die Unterstützung von Hacking-Operationen gegen EU-Mitgliedstaaten sanktioniert. Bedeutsam für den NIS2-Compliance-Kontext.
KENSAI Auswirkung: EU-Organisationen unter NIS2 sollten ihre Bedrohungsintelligenz-Feeds aktualisieren. Diese Sanktionen bestätigen das Bedrohungsmodell staatlicher Akteure, für das NIS2 konzipiert wurde.
Nordstrom-E-Mail-System für Krypto-Betrug missbraucht
Angreifer missbrauchten Nordstroms legitime E-Mail-Infrastruktur, um Krypto-Betrugsnachrichten an Kunden zu senden, getarnt als St.-Patrick's-Day-Aktion. Die E-Mail-Authentifizierung wurde umgangen, da die Nachrichten von echten Nordstrom-Adressen stammten.
🔧 Branche & Tools
XBOW sammelt 120 Mio. $ bei Bewertung von über 1 Mrd. $ — Autonome offensive Sicherheit
Das autonome offensive Sicherheitsunternehmen XBOW erreichte Einhorn-Status mit einer 120-Mio.-$-Runde. Ihre KI-Plattform entdeckt und validiert autonom Software-Schwachstellen — direktes Konkurrenzgebiet für KENSAIs automatisierte Penetrationstests.
KENSAI Auswirkung: Bestätigt den Markt für KI-gestützte Sicherheitstests. XBOWs Bewertung von über 1 Mrd. $ beweist das Investoreninteresse. Wichtiges Unterscheidungsmerkmal für KENSAI: Mehrsprachiger NIS2-Compliance-Fokus vs. XBOWs reiner Schwachstellen-Erkennungsansatz.
Cloud-Sicherheits-Startup „Native" verlässt den Stealth-Modus — 42 Mio. $ Finanzierung
Cloud-Sicherheits-Startup Native sammelte 42 Mio. $, mit dem ehemaligen Google Cloud CISO Phil Venables im Board. Fokus auf Cloud-native Sicherheit.
Manifold sammelt 8 Mio. $ für KI-Erkennung und -Reaktion
Mit Fokus auf die Absicherung autonomer KI auf Endgeräten sammelte Manifold 8 Mio. $ für die Produktentwicklung im Bereich KI-spezifischer Bedrohungserkennung.
Tech-Giganten investieren 12,5 Mio. $ in Open-Source-Sicherheit
Anthropic, AWS, Google, Microsoft und OpenAI finanzieren die langfristigen Sicherheitsinitiativen der Linux Foundation mit Fokus auf Open-Source-Softwaresicherheit.
📡 Aufkommende Bedrohungsmuster
KI-Infrastruktur unter Beschuss — Amazon Bedrock, LangSmith, SGLang
Neue Forschung zeigt, dass KI-Code-Ausführungsumgebungen über DNS-Abfragen zur Datenexfiltration missbraucht werden können. Die Sandbox von Amazon Bedrock AgentCore erlaubt ausgehende DNS-Anfragen, die Angreifer für interaktive Shells ausnutzen. LangSmith und SGLang sind ebenfalls betroffen. Der KI-Stack wird zur erstklassigen Angriffsfläche.
KENSAI Auswirkung: KI-Sicherheit ist nicht mehr theoretisch — es ist eine aktive Angriffsfläche. Dies bestätigt KENSAIs Positionierung im Bereich KI-Sicherheitstests. Unternehmen, die KI-Agenten einsetzen, brauchen Sicherheitsscanning.
67 % der CISOs haben eingeschränkte Sichtbarkeit bei KI-Nutzung
Penteras Benchmark-Bericht 2026 ergab, dass 67 % der CISOs eingeschränkte Sichtbarkeit darüber haben, wie KI in ihrem Unternehmen eingesetzt wird. Kein Befragter berichtete von vollständiger Sichtbarkeit. Die KI-Einführung überholt die Sicherheitskontrollen — die Tools und Fähigkeiten zum Schutz von KI-Systemen stammen aus einer vergangenen Ära.
Schatten-KI in SaaS-Apps ermöglicht massive Datenverletzungen
In SaaS-Anwendungen verborgene Schatten-KI schafft unkontrollierte Datenpfade. Agentische KI-Funktionen, die automatisch in bereits genutzten Tools aktiviert werden, bedeuten, dass Sicherheitsteams keinerlei Sichtbarkeit darüber haben, welche Daten verarbeitet werden und wohin.
Browserbasierte Angriffe umgehen Sicherheitskontrollen
Der Bericht von Push Security hebt AITM-Phishing, ClickFix, bösartige OAuth-Apps und Session-Hijacking als die Angriffsvektoren hervor, die die größten Datenverletzungen von heute verursachen — alle operieren innerhalb des Browsers, wo traditionelle Sicherheitstools eingeschränkte Sichtbarkeit haben.
Magecart entwickelt sich weiter: Payloads in EXIF-Daten dynamischer Favicons versteckt
Eine neue Magecart-Technik versteckt bösartige Payloads in den EXIF-Daten dynamisch geladener Favicons von Drittanbietern. Da der bösartige Code nie das Repository berührt, kann kein statischer Code-Scanner — auch kein KI-gestützter — ihn erkennen. Nur clientseitige Laufzeitüberwachung erfasst dies.