KENSAI Sicherheitsintelligenz
Tägliches Bedrohungsbriefing
Automatisierte Sicherheitsforschung — letzte 24 Stunden
2026-03-21 · Freitag 20. März → Samstag 21. März
Kritische Schwachstellen & aktive Exploits
Kritische Schwachstelle mit fehlender Authentifizierung und Code-Injection in Langflow (CVSS 9.3) wird aktiv ausgenutzt. Nicht authentifizierte Angreifer können über POST /api/v1-Endpunkte Remotecodeausführung erreichen. Die Ausnutzung begann innerhalb von 20 Stunden nach der öffentlichen Bekanntgabe — sofort patchen.
Oracle hat ein außerplanmäßiges Sicherheitsupdate für eine kritische unauthentifizierte RCE-Schwachstelle im Identity Manager und Web Services Manager veröffentlicht. Dies liegt außerhalb des regulären vierteljährlichen Patch-Zyklus von Oracle — was auf Schweregrad und potenzielles Ausnutzungsrisiko hinweist.
CISA hat alle Bundesbehörden angewiesen, eine Schwachstelle mit maximaler Schwere im Cisco Secure Firewall Management Center bis Sonntag, den 22. März, zu patchen. Die Dringlichkeit der Wochenendfrist signalisiert aktive oder unmittelbar bevorstehende Ausnutzung.
ConnectWise ScreenConnect hat eine kritische Schwachstelle gepatcht, die Maschinenschlüssel offenlegte und potenziell unbefugten Zugriff auf Fernverwaltungssitzungen ermöglichte. Die neueste Version fügt verschlüsselte Speicherung und Schlüsselverwaltung hinzu.
Sansec entdeckte eine kritische Schwachstelle in Magentos REST API, die nicht authentifizierten Angreifern ermöglicht, getarnte ausführbare Dateien (Bilder, die bösartigen Code verbergen) für RCE und Kontoübernahme hochzuladen. Tausende Magento-Seiten wurden bereits seit dem 27. Februar in einer laufenden Defacement-Kampagne getroffen.
Lieferketten- & Software-Lieferketten-Angriffe
Der Trivy-Scanner von Aqua Security wurde zum zweiten Mal innerhalb eines Monats kompromittiert. Angreifer kaperten 75 Tags in den GitHub Actions „aquasecurity/trivy-action" und „aquasecurity/setup-trivy", um CI/CD-Geheimnisse zu stehlen. Jede Pipeline, die diese Actions nutzt, könnte Zugangsdaten preisgegeben haben.
Neue Malware „Speagle" kapert legitime Cobra DocGuard-Software und nutzt kompromittierte Server zur Datenexfiltration, während der Datenverkehr als legitime Anwendungskommunikation getarnt wird. Ein ausgeklügelter lieferkettennaher Angriff.
Eine Analyse zeigt, dass 54 EDR-Killer-Programme 35 legitim signierte, aber verwundbare Treiber missbrauchen, um Endpunktsicherheit zu deaktivieren, bevor Ransomware eingesetzt wird. BYOVD (Bring Your Own Vulnerable Driver) ist mittlerweile eine Standard-Technik im Ransomware-Playbook.
Datenschutzverletzungen & Insider-Bedrohungen
Hacker stahlen persönliche und Krankenversicherungsdaten aus der Navia-Umgebung zwischen Ende Dezember 2025 und Mitte Januar 2026. 2,7 Millionen Personen betroffen. Datenschutzverletzungen im Gesundheitswesen bleiben die volumenstärksten.
Ein Mann aus North Carolina wurde schuldig gesprochen, Firmendaten gestohlen und ein Technologieunternehmen in Washington D.C. (Brightly Software) um 2,5 Mio. Dollar erpresst zu haben — während er noch als Auftragnehmer beschäftigt war. Insider-Bedrohung bleibt ein erstklassiges Risiko.
Michael Smith bekannte sich schuldig, KI-Bots eingesetzt zu haben, um über 10 Mio. Dollar an betrügerischen Streaming-Tantiemen auf Spotify, Apple Music, Amazon Music und YouTube Music zu generieren. KI-gestützter Betrug im großen Maßstab.
Strafverfolgung & Geopolitik
Die USA, Deutschland und Kanada haben die C2-Infrastruktur der Botnetze AISURU, KimWolf, JackSkid und Mossad (3 Millionen IoT-Geräte) abgeschaltet. Diese Botnetze ermöglichten rekordverdächtige DDoS-Angriffe mit 31,4 Tbps. Große Zusammenarbeit mit dem Privatsektor (Akamai, AWS, Cloudflare, Google, Oracle und weitere).
Internationale Strafverfolgungsbehörden haben 373.000 Darknet-Seiten in „Operation Alice" abgeschaltet. Eine der größten koordinierten Abschaltungen illegaler Infrastruktur aller Zeiten.
Das FBI hat eine Warnung herausgegeben, dass Akteure mit Verbindungen zum russischen Geheimdienst aktiv Phishing-Kampagnen gegen Signal- und WhatsApp-Nutzer durchführen. Tausende verschlüsselte Messaging-Konten wurden bereits kompromittiert. Ziele sind Journalisten, Aktivisten und Regierungsbeamte.
Die USA bestätigten, dass die Hackergruppe Handala mit der iranischen Regierung verbunden ist, und beschlagnahmten mehrere Domains, die für cybergestützte psychologische Operationen genutzt wurden.
Drei Personen wurden angeklagt, gegen US-Exportkontrollgesetze verstoßen zu haben, indem sie konspirierten, in den USA montierte Hochleistungs-KI-Server nach China umzuleiten. Teil des eskalierenden Technologie-Kalten-Krieges.
Aufkommende Bedrohungen & Trends
Cyberkriminelle nutzen KI, um personalisiertes Phishing, Deepfakes und Malware zu generieren, die traditionelle Erkennung umgehen, indem sie normale Benutzeraktivität imitieren. Verhaltensanalyse entwickelt sich zum notwendigen Gegenmaßnahme — signaturbasierte Erkennung wird zunehmend unzureichend.
Apple drängt auf iOS-Updates gegen webbasierte Exploit-Kits (Coruna, DarkSword), die veraltete Geräte angreifen. Diese Kits lösen Infektionsketten durch bösartige Webinhalte aus, die zu Datendiebstahl führen.
Google hat eine obligatorische 24-Stunden-Abkühlphase für das Sideloading von Apps nicht verifizierter Entwickler auf Android eingeführt. Teil des im letzten Jahr angekündigten Entwicklerverifizierungsmandats. Balanciert Offenheit mit Betrugs-/Malware-Reduzierung.
The Gentlemen — Neue RaaS-Operation taucht auf
Group-IB beschrieb „The Gentlemen", eine neue Ransomware-as-a-Service-Operation mit ca. 20 Mitgliedern, die FortiGate-Schwachstellen ausnutzen. Aufkommende RaaS-Gruppen senken weiterhin die Einstiegshürde für Ransomware-Angriffe.
Sicherheitsbranche & Finanzierung
Massive Finanzierungsrunde mit Fokus auf Identitäts- und Zugriffsmanagement für KI-Agenten. Investitionen in F&E, KI-Framework-Erweiterung und Markteinführung. Signal: Der Markt sieht KI-Agenten-Sicherheit als kritische aufkommende Kategorie.
Datenschutzorientierter MVNO für Verbraucher, Unternehmen und Regierungen. Adressiert Bedrohungen durch Mobilfunk-Überwachung und -Abhörung.
Erweiterung der Plattformfähigkeiten für Firmware- und Hardware-Lieferkettenintegrität.
Überwacht Verhalten und verifiziert Benutzerabsichten, um Angriffe in Echtzeit zu stoppen. Aus dem Stealth-Modus gestartet.
Skalierung des digitalen Markenschutzes gegen Phishing, Identitätsdiebstahl und Markenmissbrauch.
KENSAI-Relevanz & Erkenntnisse
Für KENSAIs Positionierung:
- Langflow CVE-2026-33017 — in 20 Stunden ausgenutzt. Das ist KENSAIs Kernwertversprechen: Kontinuierliches Scannen entdeckt diese Schwachstellen, bevor Angreifer es tun. Content-Gelegenheit für einen „20-Stunden-Fenster"-Blogbeitrag.
- Magento PolyShell — Tausende E-Commerce-Seiten betroffen. NIS2-regulierte EU-Unternehmen, die Magento betreiben, sind perfekte KENSAI-Zielkunden für DAST-Scanning.
- 54 EDR-Killer mit BYOVD — Endpunktsicherheit allein reicht nicht aus. KENSAIs mehrschichtiger Ansatz (DAST + SAST + Secrets + Infrastruktur) ist die Antwort.
- 282 Mio. Dollar an Sicherheitsfinanzierung diese Woche — der Markt boomt. Oasis' 120-Mio.-Dollar-Runde für „Agentic Access Management" validiert die KI-Sicherheitskategorie, die KENSAI besetzt.
- Trivy-Lieferkettenkompromittierung — CI/CD-Pipeline-Sicherheit ist ein unterversorgter Bereich. Potenzielles zukünftiges KENSAI-Modul.
- Russisches staatliches Phishing auf Signal — NIS2-Compliance erfordert sichere Kommunikation. Content-Winkel für den DACH-Markt.