剣 KENSAI
← Back to archive

🛡️ KENSAI Tägliche Sicherheitsforschung

2026-03-26 — Donnerstag
24-Stunden-Bedrohungslagebericht • Automatisierte Recherche von KENSAI
3
Datenpannen
4
Kritische Schwachst.
3
Ransomware
3
Tool-Releases
4
Bedrohungsmuster

📡 RSAC 2026 ist live

Die RSA Conference 2026 läuft — Ankündigungen von Tag 2 kommen herein. Große Hersteller-Releases, neue Frameworks für die Governance agentischer KI und aktualisierte Bedrohungsberichte von SentinelOne, PwC und SANS. Zentrale Erkenntnis: KI beschleunigt sowohl Angriffe als auch Verteidigungswerkzeuge.

🔓 Schwerwiegende Datenpannen

HackerOne-Mitarbeiterdaten bei Navia-Breach offengelegt

HackerOne bestätigte, dass persönliche Daten hunderter Mitarbeiter bei einem Angriff auf den Leistungsanbieter Navia gestohlen wurden. Sensible personenbezogene Daten wie Namen, Adressen und Sozialleistungsinformationen wurden exfiltriert. Die Ironie, dass Mitarbeiter einer Bug-Bounty-Plattform von einem Drittanbieter-Breach betroffen sind, unterstreicht das Lieferkettenrisiko.

Datenpanne Drittanbieterrisiko Quelle: SecurityWeek
KENSAI Einschätzung

Selbst sicherheitsorientierte Unternehmen sind über ihre Lieferkette verwundbar. NIS2 Artikel 21 schreibt explizit Sicherheitsbewertungen der Lieferkette vor. KENSAIs Drittanbieter-Risikoanalyse erkennt diese Lücken.

LeakBase-Admin in Russland verhaftet — 147.000 Nutzer, Hunderte Millionen Datensätze

Russische Strafverfolgungsbehörden verhafteten den Administrator des Cybercrime-Forums LeakBase in Taganrog. Die Plattform beherbergte Hunderte Millionen gestohlener Benutzerkonten, Bankdaten, Benutzernamen, Passwörter und Unternehmensdokumente. Über 147.000 registrierte Nutzer konnten diese Daten seit 2021 kaufen und verkaufen.

Darknet Strafverfolgung Quelle: The Hacker News

Niederländisches Finanzministerium untersucht Cyberangriff

Das niederländische Finanzministerium untersucht einen Cyberangriff auf interne Systeme. Details sind begrenzt, doch der Angriff traf kritische Regierungsinfrastruktur. Gleichzeitig meldete Crunchyroll (Anime-Streaming) einen Hack, bei dem Kundenservice-Ticketdaten gestohlen wurden, und Kaplan (Bildung) berichtete über eine Datenpanne, die über 230.000 Personen betrifft.

Regierung EU Quelle: The Record
KENSAI Einschätzung

Cyberangriffe auf EU-Regierungen beschleunigen den NIS2-Durchsetzungszeitplan. DACH-Organisationen sollten dies als Vorschau auf verschärfte regulatorische Kontrollen in 2026 betrachten.

🚨 Kritische Schwachstellen

Citrix NetScaler — CitrixBleed3 steht bevor

Citrix hat dringend zwei Schwachstellen in NetScaler ADC und NetScaler Gateway gepatcht. Eine Lücke ist „sehr ähnlich" zu den berüchtigten CitrixBleed- und CitrixBleed2-Schwachstellen, die als Zero-Days ausgenutzt wurden. Citrix drängt auf sofortiges Patchen — PoC-Exploits werden innerhalb von Tagen erwartet.

Kritisch Citrix NetScaler Quelle: BleepingComputer
KENSAI Einschätzung

CitrixBleed führte zu einigen der größten Datenpannen 2023–2024. Organisationen mit NetScaler müssen SOFORT patchen. KENSAIs externer Scan erkennt exponierte NetScaler-Instanzen und Versions-Fingerprints.

TP-Link Archer NX — Kritische Authentifizierungsumgehung

TP-Link hat eine kritische Schwachstelle zur Authentifizierungsumgehung in der Archer-NX-Router-Serie gepatcht, die es Angreifern ermöglichte, die Authentifizierung vollständig zu umgehen und schädliche Firmware hochzuladen. Angesichts des neuen FCC-Verbots für im Ausland hergestellte Router verschärft dies die Bedenken zur Router-Lieferkettensicherheit.

Kritisch Router / IoT Quelle: BleepingComputer

PolyShell — Massenausnutzung von Magento/Adobe Commerce

Die aktive Ausnutzung der „PolyShell"-Schwachstelle trifft 56 % aller verwundbaren Magento-Open-Source- und Adobe-Commerce-Shops. Angreifer deployen Web-Shells im großen Stil. E-Commerce-Unternehmen mit Magento 2 müssen sofort patchen oder riskieren eine vollständige Kompromittierung der Website und den Diebstahl von Zahlungsdaten.

Aktive Ausnutzung E-Commerce Quelle: BleepingComputer

Apple iOS/macOS 26.4 — Sicherheitsupdates im gesamten Ökosystem

Apple veröffentlichte Sicherheitsfixes für iOS, macOS und iPadOS, einschließlich Patches für ältere Geräte (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Mehrere WebKit- und Kernel-Schwachstellen wurden behoben.

Hoch Apple-Ökosystem Quelle: SecurityWeek

💀 Ransomware-Angriffe

Hafen von Vigo (Spanien) — Hafenbetrieb gestört

Ein Ransomware-Angriff zwang Spaniens Hafen von Vigo, Systeme zu trennen und auf manuelle Frachtverwaltung umzustellen. Der Angriff wurde am frühen Dienstag entdeckt — Server wurden gesperrt und Lösegeld gefordert. Der Hafenpräsident erklärte: „Wir werden die Verbindungen erst wiederherstellen, wenn absolute Garantien bestehen." Keine Gruppe hat sich bekannt. Der Schiffsverkehr läuft weiter, aber die Logistikkoordination ist lahmgelegt.

Ransomware Kritische Infrastruktur Quelle: The Record
KENSAI Einschätzung

Angriffe auf Häfen nehmen zu — Nagoya (2023), jetzt Vigo (2026). Unter NIS2 sind Häfen „wesentliche Einrichtungen" mit verpflichtender Vorfallsmeldung innerhalb von 24 Stunden. EU-Hafenbehörden benötigen kontinuierliches Sicherheitsmonitoring.

Stryker (Medizintechnik) — Produktionslinien nach Malware-Angriff wieder online

Medizintechnikhersteller Stryker bestätigte eine Malware-Beteiligung an einem kürzlichen Cyberangriff, der Produktionslinien stilllegte. Der Betrieb wird nun wieder aufgenommen. Der Angriff verdeutlicht die anhaltende Bedrohung für Lieferketten im Gesundheits- und Medizintechnikbereich.

Malware Gesundheitswesen Quelle: The Record

Russische Ransomware-Akteure in den USA verurteilt

Ilya Angelov (TA551/Shathak) — 2 Jahre + 100.000 $ Geldstrafe für den Betrieb eines Botnets, das in Ransomware-Kampagnen eingesetzt wurde (2017–2021). Aleksei Volkov — 81 Monate (6,75 Jahre) für seine Rolle als Access Broker bei Yanluowang-Ransomware-Angriffen. Das US-Justizministerium verfolgt weiterhin russische Cyberkriminelle mit extraterritorialer Reichweite.

Strafverfolgung Ransomware Quellen: THN, SecurityWeek

🔧 Sicherheitstool-Releases

Kali Linux 2026.1 — 8 neue Tools + BackTrack-Modus

Das erste Release des Jahres bringt 8 neue Sicherheitstools, ein visuelles Theme-Update und einen neuen „BackTrack-Modus" für Kali-Undercover. Nostalgie trifft auf praktische Pentest-Tooling-Updates.

Tool-Release Penetrationstest Quelle: BleepingComputer

GitHub — KI-gestütztes Code-Security-Scanning

GitHub erweitert sein Code-Security-Tool über CodeQL hinaus um KI-basierte Schwachstellenerkennung. Das neue Scanning deckt mehr Sprachen und Frameworks ab und senkt die Einstiegshürde für sicherheitsbewusste Entwicklung. SAST rückt damit näher an den Mainstream-Entwickler-Workflow.

Tool-Release SAST / DevSecOps Quelle: BleepingComputer
KENSAI Einschätzung

KI-gestütztes SAST wird zum Standard. KENSAIs Wettbewerbsvorteil: die Kombination von SAST mit DAST, externem Scanning und NIS2-Compliance in einer einzigen Plattform — nicht nur Erkennung auf Code-Ebene.

Onit Security — 11 Mio. $ Finanzierung für Exposure Management

Onit Security hat 11 Mio. $ für den Aufbau seiner Exposure-Management-Plattform eingeworben. Die Investition zielt auf Produktentwicklung und GTM-Expansion in neue Sektoren. Ein Signal für anhaltendes VC-Interesse an Attack-Surface-Management trotz Marktkonsolidierung.

Finanzierung Exposure Management Quelle: SecurityWeek

⚡ Neue Bedrohungsmuster

Lieferketten-Kompromittierung eskaliert — TeamPCP trifft LiteLLM, Docker Hub, VS Code, PyPI

Der Bedrohungsakteur TeamPCP (hinter den Trivy/KICS-Kompromittierungen) hat nun LiteLLM-Versionen 1.82.7–1.82.8 über eine CI/CD-Pipeline-Kompromittierung mit einer Backdoor versehen. Die Payload ist ein dreistufiger Angriff: Credential-Harvesting (SSH-Schlüssel, Cloud-Zugangsdaten, K8s-Secrets), Lateral-Movement-Toolkit und persistente Backdoor. Betroffen sind auch Docker Hub, VS Code Marketplace und NPM — eine Zusammenarbeit mit Lapsus$ wird berichtet.

Kritisch Lieferkette Quellen: THN, SecurityWeek
KENSAI Einschätzung

Dies ist der bedeutendste OSS-Lieferketten-Angriff des Jahres 2026 bisher. CI/CD-Pipeline-Kompromittierung → Paketvergiftung im großen Stil. Organisationen müssen die Paketintegrität prüfen und Versionen pinnen. SBOM-Scanning ist keine Option mehr.

Device-Code-Phishing — 340+ Microsoft-365-Organisationen kompromittiert

Eine massive Device-Code-Phishing-Kampagne zielt auf M365-Identitäten in über 340 Organisationen in den USA, Kanada, Australien, Neuseeland und Deutschland. Verwendet Cloudflare Workers + Railway PaaS zum Credential-Harvesting. Nutzt den OAuth-Device-Authorization-Flow aus, um Tokens zu stehlen, die Passwort-Resets überleben. Betroffene Branchen: Bau, Gesundheitswesen, Recht, Regierung, Finanzdienstleistungen.

Aktive Kampagne Identität / OAuth Quelle: The Hacker News
KENSAI Einschätzung

Deutschland ist explizit als Zielland aufgeführt. DACH-Organisationen mit M365 sollten OAuth-Device-Code-Richtlinien umgehend überprüfen. Conditional-Access-Richtlinien sollten den Device-Code-Flow blockieren, wo er nicht benötigt wird.

GlassWorm — Solana-Blockchain als C2-Dead-Drop

Die GlassWorm-Kampagne nutzt nun Solana-Blockchain-Memos als Dead-Drop-Resolver für C2-Kommunikation. Sie verbreitet eine Chrome-Erweiterung, die sich als Google Docs Offline tarnt und Tastatureingaben protokolliert, Cookies/Sessions abgreift, Screenshots erstellt und auf 728+ Krypto-Wallets abzielt. Verbreitung über vergiftete Pakete auf npm, PyPI, GitHub und dem VS Code Marketplace.

Neuartige Technik Blockchain C2 Quelle: The Hacker News

KI-Agenten als Angriffsfläche — „Die Kill Chain ist obsolet"

Sicherheitsforscher warnen, dass KI-Agenten mit Systemzugriff ein grundlegend neues Bedrohungsmodell darstellen. Anders als bei traditionellen Kill Chains, bei denen Angreifer sich Zugang Schritt für Schritt erarbeiten müssen, haben kompromittierte KI-Agenten bereits Berechtigungen, Zugriff und legitime Gründe, Systeme zu durchlaufen. PwC und SANS bestätigen, dass KI Angriffsgeschwindigkeit und -umfang beschleunigt, wobei Identitätsdiebstahl sich zu einer „cyberkriminellen Lieferkette" entwickelt. Gestohlene Premium-KI-Konten sind jetzt begehrte Ware auf Untergrundmärkten.

KI-Bedrohungen Aufkommend Quellen: THN, SecurityWeek
KENSAI Einschätzung

SecurityWeek veröffentlichte einen Beitrag über agentische KI-Governance mit Erwähnung von OpenClaw. Das Narrativ „KI als Angriffsfläche" ist KENSAIs Content-Chance — wir sollten diese Diskussion im DACH-Markt anführen.

📋 Wichtige Politik & Regulierung

FCC verbietet im Ausland hergestellte Consumer-Router

Die FCC hat alle neuen Consumer-Router verboten, die außerhalb der USA hergestellt werden, unter Berufung auf nationale Sicherheitsrisiken. Dies entspricht der Einschätzung des Weißen Hauses, dass alle im Ausland produzierten Router inakzeptable Bedrohungen darstellen. Erhebliche Auswirkungen für TP-Link, Huawei und andere ausländische Hersteller.

Regulierung US-Politik Quelle: SecurityWeek

Amtierende CISA-Chefin: Shutdown erhöht Cyberrisiken und verursacht Kündigungen

Die amtierende CISA-Direktorin warnte, dass die andauernde Government-Shutdown-Dynamik die Cybersicherheitsrisiken erhöht und zu Problemen bei der Personalbindung führt. Die Cybersicherheitslage der US-Regierung verschlechtert sich weiter, da erfahrenes Personal abwandert.

CISA Politik Quelle: The Record

UK NCSC: „Vibe Coding" könnte Sicherheitsrisiken für die SaaS-Branche bedeuten

Das britische National Cyber Security Centre warnte, dass der „Vibe Coding"-Trend — die Nutzung von KI zur Generierung ganzer Anwendungen — die SaaS-Branche umgestalten und gleichzeitig erhebliche Sicherheitsrisiken einführen könnte. KI-generierter Code weist häufig Mängel bei Eingabevalidierung, Authentifizierungsprüfungen und sicheren Standardeinstellungen auf.

KI-Risiko UK NCSC Quelle: The Record