🛡️ KENSAI Tägliche Sicherheitsforschung
Inhalt
🔓 Schwerwiegende Datenpannen
HackerOne-Mitarbeiterdaten bei Navia-Breach offengelegt
HackerOne bestätigte, dass persönliche Daten hunderter Mitarbeiter bei einem Angriff auf den Leistungsanbieter Navia gestohlen wurden. Sensible personenbezogene Daten wie Namen, Adressen und Sozialleistungsinformationen wurden exfiltriert. Die Ironie, dass Mitarbeiter einer Bug-Bounty-Plattform von einem Drittanbieter-Breach betroffen sind, unterstreicht das Lieferkettenrisiko.
Selbst sicherheitsorientierte Unternehmen sind über ihre Lieferkette verwundbar. NIS2 Artikel 21 schreibt explizit Sicherheitsbewertungen der Lieferkette vor. KENSAIs Drittanbieter-Risikoanalyse erkennt diese Lücken.
LeakBase-Admin in Russland verhaftet — 147.000 Nutzer, Hunderte Millionen Datensätze
Russische Strafverfolgungsbehörden verhafteten den Administrator des Cybercrime-Forums LeakBase in Taganrog. Die Plattform beherbergte Hunderte Millionen gestohlener Benutzerkonten, Bankdaten, Benutzernamen, Passwörter und Unternehmensdokumente. Über 147.000 registrierte Nutzer konnten diese Daten seit 2021 kaufen und verkaufen.
Niederländisches Finanzministerium untersucht Cyberangriff
Das niederländische Finanzministerium untersucht einen Cyberangriff auf interne Systeme. Details sind begrenzt, doch der Angriff traf kritische Regierungsinfrastruktur. Gleichzeitig meldete Crunchyroll (Anime-Streaming) einen Hack, bei dem Kundenservice-Ticketdaten gestohlen wurden, und Kaplan (Bildung) berichtete über eine Datenpanne, die über 230.000 Personen betrifft.
Cyberangriffe auf EU-Regierungen beschleunigen den NIS2-Durchsetzungszeitplan. DACH-Organisationen sollten dies als Vorschau auf verschärfte regulatorische Kontrollen in 2026 betrachten.
🚨 Kritische Schwachstellen
Citrix NetScaler — CitrixBleed3 steht bevor
Citrix hat dringend zwei Schwachstellen in NetScaler ADC und NetScaler Gateway gepatcht. Eine Lücke ist „sehr ähnlich" zu den berüchtigten CitrixBleed- und CitrixBleed2-Schwachstellen, die als Zero-Days ausgenutzt wurden. Citrix drängt auf sofortiges Patchen — PoC-Exploits werden innerhalb von Tagen erwartet.
CitrixBleed führte zu einigen der größten Datenpannen 2023–2024. Organisationen mit NetScaler müssen SOFORT patchen. KENSAIs externer Scan erkennt exponierte NetScaler-Instanzen und Versions-Fingerprints.
TP-Link Archer NX — Kritische Authentifizierungsumgehung
TP-Link hat eine kritische Schwachstelle zur Authentifizierungsumgehung in der Archer-NX-Router-Serie gepatcht, die es Angreifern ermöglichte, die Authentifizierung vollständig zu umgehen und schädliche Firmware hochzuladen. Angesichts des neuen FCC-Verbots für im Ausland hergestellte Router verschärft dies die Bedenken zur Router-Lieferkettensicherheit.
PolyShell — Massenausnutzung von Magento/Adobe Commerce
Die aktive Ausnutzung der „PolyShell"-Schwachstelle trifft 56 % aller verwundbaren Magento-Open-Source- und Adobe-Commerce-Shops. Angreifer deployen Web-Shells im großen Stil. E-Commerce-Unternehmen mit Magento 2 müssen sofort patchen oder riskieren eine vollständige Kompromittierung der Website und den Diebstahl von Zahlungsdaten.
Apple iOS/macOS 26.4 — Sicherheitsupdates im gesamten Ökosystem
Apple veröffentlichte Sicherheitsfixes für iOS, macOS und iPadOS, einschließlich Patches für ältere Geräte (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Mehrere WebKit- und Kernel-Schwachstellen wurden behoben.
💀 Ransomware-Angriffe
Hafen von Vigo (Spanien) — Hafenbetrieb gestört
Ein Ransomware-Angriff zwang Spaniens Hafen von Vigo, Systeme zu trennen und auf manuelle Frachtverwaltung umzustellen. Der Angriff wurde am frühen Dienstag entdeckt — Server wurden gesperrt und Lösegeld gefordert. Der Hafenpräsident erklärte: „Wir werden die Verbindungen erst wiederherstellen, wenn absolute Garantien bestehen." Keine Gruppe hat sich bekannt. Der Schiffsverkehr läuft weiter, aber die Logistikkoordination ist lahmgelegt.
Angriffe auf Häfen nehmen zu — Nagoya (2023), jetzt Vigo (2026). Unter NIS2 sind Häfen „wesentliche Einrichtungen" mit verpflichtender Vorfallsmeldung innerhalb von 24 Stunden. EU-Hafenbehörden benötigen kontinuierliches Sicherheitsmonitoring.
Stryker (Medizintechnik) — Produktionslinien nach Malware-Angriff wieder online
Medizintechnikhersteller Stryker bestätigte eine Malware-Beteiligung an einem kürzlichen Cyberangriff, der Produktionslinien stilllegte. Der Betrieb wird nun wieder aufgenommen. Der Angriff verdeutlicht die anhaltende Bedrohung für Lieferketten im Gesundheits- und Medizintechnikbereich.
Russische Ransomware-Akteure in den USA verurteilt
Ilya Angelov (TA551/Shathak) — 2 Jahre + 100.000 $ Geldstrafe für den Betrieb eines Botnets, das in Ransomware-Kampagnen eingesetzt wurde (2017–2021). Aleksei Volkov — 81 Monate (6,75 Jahre) für seine Rolle als Access Broker bei Yanluowang-Ransomware-Angriffen. Das US-Justizministerium verfolgt weiterhin russische Cyberkriminelle mit extraterritorialer Reichweite.
🔧 Sicherheitstool-Releases
Kali Linux 2026.1 — 8 neue Tools + BackTrack-Modus
Das erste Release des Jahres bringt 8 neue Sicherheitstools, ein visuelles Theme-Update und einen neuen „BackTrack-Modus" für Kali-Undercover. Nostalgie trifft auf praktische Pentest-Tooling-Updates.
GitHub — KI-gestütztes Code-Security-Scanning
GitHub erweitert sein Code-Security-Tool über CodeQL hinaus um KI-basierte Schwachstellenerkennung. Das neue Scanning deckt mehr Sprachen und Frameworks ab und senkt die Einstiegshürde für sicherheitsbewusste Entwicklung. SAST rückt damit näher an den Mainstream-Entwickler-Workflow.
KI-gestütztes SAST wird zum Standard. KENSAIs Wettbewerbsvorteil: die Kombination von SAST mit DAST, externem Scanning und NIS2-Compliance in einer einzigen Plattform — nicht nur Erkennung auf Code-Ebene.
Onit Security — 11 Mio. $ Finanzierung für Exposure Management
Onit Security hat 11 Mio. $ für den Aufbau seiner Exposure-Management-Plattform eingeworben. Die Investition zielt auf Produktentwicklung und GTM-Expansion in neue Sektoren. Ein Signal für anhaltendes VC-Interesse an Attack-Surface-Management trotz Marktkonsolidierung.
⚡ Neue Bedrohungsmuster
Lieferketten-Kompromittierung eskaliert — TeamPCP trifft LiteLLM, Docker Hub, VS Code, PyPI
Der Bedrohungsakteur TeamPCP (hinter den Trivy/KICS-Kompromittierungen) hat nun LiteLLM-Versionen 1.82.7–1.82.8 über eine CI/CD-Pipeline-Kompromittierung mit einer Backdoor versehen. Die Payload ist ein dreistufiger Angriff: Credential-Harvesting (SSH-Schlüssel, Cloud-Zugangsdaten, K8s-Secrets), Lateral-Movement-Toolkit und persistente Backdoor. Betroffen sind auch Docker Hub, VS Code Marketplace und NPM — eine Zusammenarbeit mit Lapsus$ wird berichtet.
Dies ist der bedeutendste OSS-Lieferketten-Angriff des Jahres 2026 bisher. CI/CD-Pipeline-Kompromittierung → Paketvergiftung im großen Stil. Organisationen müssen die Paketintegrität prüfen und Versionen pinnen. SBOM-Scanning ist keine Option mehr.
Device-Code-Phishing — 340+ Microsoft-365-Organisationen kompromittiert
Eine massive Device-Code-Phishing-Kampagne zielt auf M365-Identitäten in über 340 Organisationen in den USA, Kanada, Australien, Neuseeland und Deutschland. Verwendet Cloudflare Workers + Railway PaaS zum Credential-Harvesting. Nutzt den OAuth-Device-Authorization-Flow aus, um Tokens zu stehlen, die Passwort-Resets überleben. Betroffene Branchen: Bau, Gesundheitswesen, Recht, Regierung, Finanzdienstleistungen.
Deutschland ist explizit als Zielland aufgeführt. DACH-Organisationen mit M365 sollten OAuth-Device-Code-Richtlinien umgehend überprüfen. Conditional-Access-Richtlinien sollten den Device-Code-Flow blockieren, wo er nicht benötigt wird.
GlassWorm — Solana-Blockchain als C2-Dead-Drop
Die GlassWorm-Kampagne nutzt nun Solana-Blockchain-Memos als Dead-Drop-Resolver für C2-Kommunikation. Sie verbreitet eine Chrome-Erweiterung, die sich als Google Docs Offline tarnt und Tastatureingaben protokolliert, Cookies/Sessions abgreift, Screenshots erstellt und auf 728+ Krypto-Wallets abzielt. Verbreitung über vergiftete Pakete auf npm, PyPI, GitHub und dem VS Code Marketplace.
KI-Agenten als Angriffsfläche — „Die Kill Chain ist obsolet"
Sicherheitsforscher warnen, dass KI-Agenten mit Systemzugriff ein grundlegend neues Bedrohungsmodell darstellen. Anders als bei traditionellen Kill Chains, bei denen Angreifer sich Zugang Schritt für Schritt erarbeiten müssen, haben kompromittierte KI-Agenten bereits Berechtigungen, Zugriff und legitime Gründe, Systeme zu durchlaufen. PwC und SANS bestätigen, dass KI Angriffsgeschwindigkeit und -umfang beschleunigt, wobei Identitätsdiebstahl sich zu einer „cyberkriminellen Lieferkette" entwickelt. Gestohlene Premium-KI-Konten sind jetzt begehrte Ware auf Untergrundmärkten.
SecurityWeek veröffentlichte einen Beitrag über agentische KI-Governance mit Erwähnung von OpenClaw. Das Narrativ „KI als Angriffsfläche" ist KENSAIs Content-Chance — wir sollten diese Diskussion im DACH-Markt anführen.
📋 Wichtige Politik & Regulierung
FCC verbietet im Ausland hergestellte Consumer-Router
Die FCC hat alle neuen Consumer-Router verboten, die außerhalb der USA hergestellt werden, unter Berufung auf nationale Sicherheitsrisiken. Dies entspricht der Einschätzung des Weißen Hauses, dass alle im Ausland produzierten Router inakzeptable Bedrohungen darstellen. Erhebliche Auswirkungen für TP-Link, Huawei und andere ausländische Hersteller.
Amtierende CISA-Chefin: Shutdown erhöht Cyberrisiken und verursacht Kündigungen
Die amtierende CISA-Direktorin warnte, dass die andauernde Government-Shutdown-Dynamik die Cybersicherheitsrisiken erhöht und zu Problemen bei der Personalbindung führt. Die Cybersicherheitslage der US-Regierung verschlechtert sich weiter, da erfahrenes Personal abwandert.
UK NCSC: „Vibe Coding" könnte Sicherheitsrisiken für die SaaS-Branche bedeuten
Das britische National Cyber Security Centre warnte, dass der „Vibe Coding"-Trend — die Nutzung von KI zur Generierung ganzer Anwendungen — die SaaS-Branche umgestalten und gleichzeitig erhebliche Sicherheitsrisiken einführen könnte. KI-generierter Code weist häufig Mängel bei Eingabevalidierung, Authentifizierungsprüfungen und sicheren Standardeinstellungen auf.