Zwischenbilanz der BrisanzCyberbedrohungen eskalieren in den ersten 6 Monaten von 2025
Von
Filipe Pereira Martins
und
CTO und CISO Anna Kobylinska
10 min Lesedauer
Die letzten paar Wochen waren in Sachen Cyber-Vorfälle nahezu bizarr. Den Opfern ist schon jetzt nicht zu lachen zumute. Die Dynamik, der Umfang und Tiefe der Vorstöße lassen weitere Nachbeben mit noch brisanteren Konsequenzen erwarten. Zeit für eine Zwischenbilanz.
Zero Days, Supply Chain Hacks und geopolitische DDoS-Kampagnen zeigen 2025 eine neue Dimension der Bedrohung. Unternehmen und Behörden geraten unter massiven Druck. Wer jetzt nicht aufrüstet riskiert den Anschluss im härtesten Security-Match des Jahres zu verlieren.
Die hochkritische Zero-Day-Lücke in Microsoft SharePoint (a.k.a. ToolShell) – bestehend aus den beiden verknüpften Schwachstellen CVE 2025 53770 (Code Injection) und CVE 2025 53771 (Authentication Bypass), wurde großflächig ausgenutzt - nicht zuletzt auch gegen die nationale Behörde für nukleare Sicherheit der Vereinigten Staaten, die National Nuclear Security Administration (NNSA).
Alle autorisierten Cloud-Dienste der U.S.-Regierung sind im FedRAMP-Marketplace gelistet. Einmal autorisiert, dürfen sie von allen U.S.-Bundesbehörden genutzt werden.
(Bild: Filipe Martins und Anna Kobylinska)
Microsoft betreibt seit etwa einem Jahrzehnt die DoD Government Cloud für das US-Verteidigungsministerium (DoD) und bietet dafür technischen Support. Um Pentagons Sicherheitsrichtlinien zu „flexibilisieren“, hat man in Redmond ein Zugangsmodell für externe Ingenieure mit sogenannten „digital escorts“ konzipiert: Laut einem investigativen Bericht von ProPublica agierten Mitarbeitende mit Sicherheitsfreigabe, jedoch ohne technische Expertise, als Mittelsmänner zwischen chinesischen Ingenieuren und Pentagon-Systemen, um Zugriffsbeschränkungen zu umgehen.
Die Escorts lagerten technische Aufgaben auf Entwickler in China aus und spielten den resultierenden Code auf die Cloud ein, typischerweise ungeprüft. Die Masche lief im Auftrag von Microsoft über Subunternehmer wie Insight Global und ASM Research.
Das Escort-System verstößt gegen eine Reihe von Richtlinien, nicht zuletzt auch gegen die DoD-SRG-IL5/IL6-Anforderungen. Das Zugriffsmodell bewegt sich nicht in der Grauzone — es widerspricht klar den verbindlichen DoD-Sicherheitsrichtlinien (SRG IL5/IL6). Laut internen Unterlagen wurde es an FedRAMP und DISA gemeldet. Gemäß den Sicherheitsvorgaben hätte es in dieser Form niemals autorisiert werden dürfen.
„Das hätte ich vermutlich wissen sollen,“ so John Sherman, ehemaliger Chief Information Officer im US-Verteidigungsministerium, über das Escort-System zur Umgehung von Zugangsbeschränkungen durch Subunternehmer von Pentagons Cloud-Dienstleister Microsoft.
(Bild: US-Verteidigungsministerium)
Stattdessen wurde das fragwürdige Zugriffsmodell im Umfeld besonders sensibler Informationen eingesetzt – Daten, die zwar formal unterhalb der Geheimhaltungsstufe „classified“ liegen, aber dennoch unter die Einstufung „High Impact Level“ gemäß den DoD-Sicherheitsanforderungen IL5 und IL6 fallen.
Dabei handelt es sich um sogenannte Controlled Unclassified Information (CUI), also sensible, nicht-geheime Regierungsdaten, deren Kompromittierung laut offiziellen NIST-Richtlinien zu schwerwiegenden oder gar katastrophalen Folgen für Personen, kritische Infrastrukturen oder militärische Operationen führen kann. In diese Kategorie fallen etwa Einsatzpläne, Auftragsvergabeunterlagen, IT-Systemarchitekturen und sicherheitsrelevante personenbezogene Daten.
John Sherman, damaliger Chief Information Officer im US-Verteidigungsministerium, kommentierte kürzlich ganz trocken: „Das hätte ich vermutlich wissen sollen“.
Das Programm FedRAMP hat eine öffentliche Roadmap auf GitHub.
(Bild: Filipe Martins und Anna Kobylinska)
Das FedRAMP-Programm wurde 2011 ins Leben gerufen, um verbindliche Sicherheitsstandards für Cloud-Dienste bei US-Behörden zu etablieren – basierend auf dem NIST SP 800-53. Alle autorisierten Cloud-Dienste der U.S.-Regierung sind im FedRAMP Marketplace gelistet. Einmal autorisiert, dürfen sie von allen U.S.-Bundesbehörden genutzt werden (zwar je nach Sensibilität der Daten, aber immerhin). Der Effizienz halber, versteht sich.
Eine ernsthafte Vorwarnung gab es zuletzt im Jahr 2023, als Hacker mit Stützpunkten in China in cloudbasierte Postfächer hochrangiger US-Regierungsbeamter eingedrungen waren. Sie stahlen Daten und E-Mails – darunter auch welche von der Handelsministerin, dem US-Botschafter in China und weiteren Mitarbeitern mit sicherheitsrelevanten Aufgaben. Die Signalwirkung des Vorfalls hat offenbar nicht gereicht, um die gestümperte „Cloudifizierung“ zu überdenken.
Auf dem Weg zu einem der wertvollsten Unternehmen der Welt habe Microsoft wiederholt Unternehmensgewinne über die Sicherheit seiner Kunden gestellt – so der Vorwurf von ProPublica. Der Tech-Gigant habe wiederholte Warnungen eigener Ingenieure beharrlich ignoriert.
Eine dieser Fachkräfte hatte auf eine Produktschwachstelle hingewiesen, die die US-Regierung angreifbar gemacht haben soll. Doch der Hinweis verhallte ungehört.
Wenig später schlugen staatlich gesteuerte russische Hacker zu: Der berüchtigte SolarWinds-Hack von 2020 gilt bis heute als eine der schwerwiegendsten Supply-Chain-Attacken der Cybersicherheitsgeschichte. Über manipulierte Updates der Orion-Software verschafften sich die Angreifer über Monate hinweg Zugriff auf Netzwerke von US-Behörden, Fortune-500-Konzernen und Microsoft selbst.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ironie des Schicksals: Ausgerechnet der Cloud-Riese, der seinen Kunden in Sicherheitsfragen gern eine Gardinenpredigt hält, wurde zum Ziel einer Attacke, weil man berechtigte Warnungen ignoriert hat. Das Vertrauen in signierte Software und die Integrität digitaler Lieferketten erlitt damit einen historischen Tiefpunkt – ein Weckruf, der in Redmond offenbar wieder ungehört verhallt.
Microsoft verteidigte die Entscheidung, die Schwachstelle nicht beseitigt zu haben, mit dem Hinweis auf „eine Vielzahl von Faktoren“. (War einer davon Geiz?)
„Es ist immer eine Gratwanderung zwischen Kosten, Aufwand und Expertise“, kommentierte Indy Crowley, Senior Program Manager für Cloud-Compliance, im Interview mit ProPublica vom 15. Juli 2025. Man suche eben nach dem, „was gerade noch so ausreicht.“ Die Entscheidung, virtuelle Begleiter zur Überwachung der Microsoft-Belegschaft in Fernost einzusetzen, sei laut Crowley „der Weg des geringsten Widerstands“ gewesen. Der Aktienkurs steigt, also war’s offensichtlich kein Fehler. Die lästigen Supply-Chain-Risiken im globalen Kräftemessen darf man ja eh nicht so verbissen sehen. Man muss halt bloß überzeugend pokern, oder?
Ab dem 18. Juli - drei Tage nach den Enthüllungen des investigativen Teams von ProPublica - warf Microsoft diesmal das Handtuch. Ab sofort dürfen Ingenieurteams aus dem Reich der Mitte keinen technischen Support für Cloud-Dienste des Pentagons mehr leisten. (Und was ist mit den Hintertüren, die sie hinterlassen haben dürften?)
Über den Einsatz von Fachkräften aus feindlich gestimmten Staaten für die Entwicklung und den Betrieb von Microsoft Azure-Diensten für Unternehmen hüllt sich Redmond in vornehmes Schweigen. Beim Thema Windows und Windows Server herrscht ebenso diesbezüglich Funkstille.
Betroffene Organisationen sollten dringend die am 21. Juli veröffentlichten Sicherheitsupdates installieren – also drei Tage nach der offiziellen Offenlegung der Zero-Day-Schwachstellen. Voraussetzung dafür ist jedoch ein Upgrade auf unterstützte SharePoint-Versionen wie etwa die SharePoint Subscription Edition oder SharePoint 2019. Ältere Releases, insbesondere SharePoint 2016 und früher, erhalten laut Microsoft keinen Patch und bleiben somit verwundbar.
Zusätzlich zu den Upgrades und Patches seien die Rotation von Machine Keys via PowerShell oder Central Admin und die Aktivierung von AMSI (Antimalware Scan Interface) zwingend erforderlich. Da all dies anscheinend aber nicht ausreicht, empfiehlt Redmond auch noch den Einsatz einer korrekt konfigurierten Lösung zur Bedrohungserkennung und -abwehr am Endpoint sowie eine fortlaufende Log-Analyse & IOC-Suche (kurz für „Indicators of Compromise“), also im Endeffekt: Hilf dir doch selbst, Kunde!
Microsofts Produkte standen dementsprechend im Zentrum einiger der brisantesten Cyber-Vorfälle der jüngsten Zeit.
In der Welt der Windows-Sicherheit galt lange: Wurde eine Datei digital signiert, kann man ihr grundsätzlich vertrauen. Doch genau dieses Vertrauen verliert neulich seine Berechtigung – durch eine Technik namens Authenticode Stuffing.
Was harmlos klingt, ist in Wahrheit ein massiver Angriff auf das Vertrauen in signierte Softwarepakete, mit potenziellen Auswirkungen auf Managed Service Provider, Behörden, kritische Infrastrukturen und die Unternehmens-IT und -OT im Allgemeinen.
Bei Authenticode Stuffing nutzen Angreifer eine Schwachstelle im Signaturprozess, ohne die Signatur ungültig zu machen: Sie hängen Payloads mit schädlichem Code hinter die Signatur dran, ohne diese selbst zu beschädigen. Windows erkennt den Zusatz nicht als Manipulation, da die eigentliche, signierte Struktur intakt bleibt. Ergebnis: Die Datei wirkt vertrauenswürdig, ist es aber nicht.
Diese Technik unterläuft klassische Vertrauensmodelle, inklusive vieler EDR-Systeme (Endpoint Detection und Response), Application Whitelisting und Zero-Trust-Verifizierungen.
Besonders brisant wurde die Technik durch Angriffe auf legitime IT-Tools ausgenutzt. Betroffen waren unter anderem SonicWall-VPN-Installationspakete und Updates von GlobalScape EFT, die als Türöffner für den erstmaligen Zugang der Täter zu Opfer-Systemen dienten.
In mehreren Fällen wurde die Technik in Kombination mit Cobalt Strike Beacons oder Command-und-Control-Shellcode eingesetzt, um post-exploitativen Zugriff auf Systeme zu erlangen. Die Angreifer nutzten teils öffentlich verfügbare Tools wie osslsigncode oder modifizierte PE-Patcher, um den Authenticode-Wrapper zu manipulieren - ohne Warnungen in Windows auszulösen.
Wie ist das möglich? Authenticode Stuffing ist kein einfacher Dateianhang. Der Schadcode wird so eingebettet, dass er innerhalb der Struktur des PE-Headers oder als „Overlay“ im Dateianhang versteckt bleibt – nach der Signatur, aber vor der Ausführung, sodass keine Windows-Warnung ausgelöst wird. Viele Sicherheitslösungen prüfen nur die Signatur oder den Hash der signierten Sektion – nicht aber den Anhang danach.
In Kombination mit LOLBins (Living-off-the-Land Binaries) wie mshta.exe, regsvr32.exe oder sogar PowerShell lässt sich damit vollständig unauffälliger Code ausführen, obwohl die Datei offiziell „vertrauenswürdig“ zu sein scheint.
Geräteübersicht in ConnectWise RMM: Verwaltete Arbeitsstationen und Server samt Online-Status, Gerätetyp und Standort – typische Angriffsziele bei Supply-Chain-Attacken wie dem Authenticode-Stuffing-Fall.
(Bild: ConnectWise)
Signierte Software wird seltener geprüft und seltener geblockt. Unternehmen setzen auf automatisierte Updates, EDR-Ausnahmen (Endpoint Detection and Response) für Werkzeuge wie RMMs (Remote Monitoring und Management) oder VPN-Clients – genau diese Tools wurden angegriffen. Wird ein Paket upstream manipuliert, verteilt ein Unternehmen potenziell selbst die Malware an tausende Endpunkte. In Logs wirkt alles wie eine legitime Wald-und-Wiesen-Installation – die schädliche Aktivität beginnt oft verzögert und ist gut getarnt.
Bereits im Mai 2024 war ein manipuliertes Installationspaket von ConnectWise RMM aufgeflogen, das über Authenticode Stuffing mit Malware erweitert worden war – unter Beibehaltung der offiziellen Signatur. ConnectWise RMM vermarktet sich als eine professionelle Remote Monitoring und Management-Plattform für IT-Dienstleister und Managed Service Providers.
Als das Problem aufgetaucht war, hätte Microsoft Gegenmaßnahmen ergreifen können. Bei der Paketverteilung über MSIX, Windows Package Manager (WinGet) oder Intune könnte eine verpflichtende Kombination aus Signatur und geprüften Hash-Werten die Stuffing‑Manipulation unterbinden. Man hätte verpflichtende Richtlinien für Code-Signing-Hygiene einführen können.
Stattdessen versucht man offenbar, das Problem auszusitzen.
Über ein Jahr nach dem Bekanntwerden der Verwundbarkeit prüft Windows bei signierten PE-Dateien immer noch nur die Signatur-relevanten Abschnitte statt der gesamten Datei. Und dann wundert man sich, warum Sicherheitspannen nicht aufhören.
Authenticode Stuffing ist kein trivialer Exploit, es ist ein Paradigmenbruch: Angreifer schlagen genau dort zu, wo sich Unternehmen in falscher Sicherheit wiegen.
Angesichts der Bedrohungslage durch Supply-Chain-Angriffe wie SolarWinds (2020), 3CX (2023) und ConnectWise (2024) ist eine Neuausrichtung des Trust-Modells überfällig.
Es wäre naiv zu glauben, dass die digitalen Raubzüge raffinierter Hacker bloß auf Microsofts Versäumnisse abzielen. Die Unverfrorenheit der Täter kennt keine Grenzen.
Im Juli 2025 wurden in der Arch‑Linux-Gemeinde drei bösartige AUR‑Pakete entfernt, über die Chaos RAT als Teil eines Installationsskripts verteilt wurde. Die Pakete sahen aus wie harmlose Browser-Patches („librewolf-fix-bin“, „zen-browser-patched-bin“), installierten jedoch heimlich den RAT (kurz für Remote Access Trojan, auch Remote Administration Tool) – eine Art von Malware, die Angreifern verdeckten Zugriff auf kompromittierte Systeme ermöglicht, sei es für Reconnaissance, Datenklau, APT‑Bridging oder Initial Access zum Auslösen groß angelegter Attacken, aber auch Mining.
Chaos RAT operiert unter Windows und Linux (teilweise auch FreeBSD), wodurch es Server, Workstations und cloudbasierte Systeme gleichermaßen trifft. Besonders gefährlich ist es für Firmen mit gemischten Linux-/Windows-Systemlandschaften, DevOps- und Cloud-zentrierten Arbeitsprozessen. Wer nur auf signaturbasierte Erkennung setzt, bleibt bei Chaos RAT auf der Strecke.
Weil Chaos RAT als ein legitimes Open-Source-Projekt getarnt ist, wird es in der rechtlichen Grauzone als ein edukatives Werkzeug ganz offiziell auf Microsoft GitHub und woanders vertrieben — eine bizarre Realität der modernen Cyberwelt.
Viele Malware-Familien von Quasar RAT, über XMRig, Sliver C2 bis hin zu Chaos RAT eben begannen ihre Existenz als Open-Source-Projekte – oft auf GitHub. Die Kombination aus offen quellcodegestützter Malware, raffinierter Distribution und systemübergreifender Kontrollfunktion macht sie zu einer sichtbaren Realität in der Bedrohungslandschaft - und doch müssen es die betroffenen Unternehmen bisher hinnehmen.
Im Juni 2025 meldete Acronis Threat Research Unit (TRU) im Rahmen ihrer Chaos-RAT-Analyse zwei kritische Schwachstellen in der Administrationsoberfläche der Malware. CVE‑2024‑30850 ermöglicht Remote-Code-Execution (RCE) über manipulierte POST-Anfragen auf der Web-GUI des Chaos RAT-Panels. CVE‑2024‑31839 erlaubt Drittparteien, eine Reverse Shell auf dem Server des Betreibers der RAT-Malware zu erzwingen. Wenn das nicht dreist ist.
Mit diesen zwei Sicherheitslücken können konkurrierende Hacker-Gruppen die Kontrollserver von Chaos-RAT-Malware übernehmen – samt Zugriff auf kompromittierte Zielsysteme. So laufen unerfahrene Betreiber von Malware-Instanzen (etwa Script Kiddies) in Gefahr, ihre Botnet- oder Implantat-Flotten an technisch versierte Dritte zu verlieren — darunter auch an Sicherheitsforscher oder Strafverfolgungsbehörden. Wer anderen eine Grube gräbt…
Auch im Juli 2025 rückte die prorussische Hacktivistengruppe NoName057(16) erneut in den Fokus von CERTs und Sicherheitsbehörden. Im Zuge einer koordinierten DDoS-Kampagne richteten sich Angriffe gezielt gegen staatliche Online-Dienste in Deutschland, darunter Webportale von Städten, Kommunalverwaltungen, Landesministerien und öffentliche Verkehrs- und Versorgungsbetriebe.
Die Gruppe agiert mit hoher Taktung und wechselt Targets teils im Stundentakt – ein Indiz für zunehmende Automatisierung und taktische Agilität. Doch anders als bei breit gestreuten Ransomware-Kampagnen setzt NoName057(16) auf niedrigschwellige, aber öffentlichkeitswirksame Störungen. Die politisch motivierte Gruppe hatte via Social Media, Gaming-Forums und Messaging-Apps wie Telegram über vier tausend Freiwillige rekrutiert.
Operation „Eastwood“: Diese Länder haben sich beteiligt.
(Bild: Europol)
Deutschland zählte im Juli zu den Hauptzielen. Laut Ermittlerkreisen waren insbesondere digitale Angebote aus Bayern, Sachsen-Anhalt und Nordrhein-Westfalen betroffen – darunter Serviceportale, Bürgerplattformen und E-Mail-Gateways. In mehreren Fällen kam es zu funktionalen Ausfällen im operativen Betrieb, etwa bei E-Mail-Kommunikation oder Terminbuchungssystemen. Sicherheitsbehörden sprechen von einer hohen Anzahl paralleler Angriffe, ohne dass flächendeckender Schaden entstand (siehe dazu auch den Beitrag von Peter Schmitz zu Link11 European Cyber Report 2025: „Warum klassische DDoS-Abwehr immer öfter versagt“).
Anatomie einer Cyber-Attacke.
(Bild: Europol)
Die politische Stoßrichtung ist klar: Ins Visier genommen werden vorrangig EU-Staaten mit ausgeprägter Ukraine-Unterstützung. Ein wesentliches Ziel scheint die Erosion digitaler Vertrauensstrukturen im öffentlichen Raum zu sein.
Am 16. Juli 2025 gelang es den europäischen Ermittlungsbehörden im Rahmen der internationalen Operation Endurance Eastwood ein wirksamer Schlag: Mehrere Command-&-Control-Server wurden abgeschaltet. Deutschland und Spanien haben sieben internationale Haftbefehle erlassen. In mehreren EU-Staaten wurde Serverinfrastruktur abgeschaltet, darunter auch in Deutschland.
Der Vorfall demonstriert eindrucksvoll die wirkungspolitische Sprengkraft verteilter Störungen, insbesondere dann, wenn sie auf mediale Breitenwirkung abzielen.
Fazit
Moderne Cyberbedrohungen haben sich professionalisiert. Zur Halbzeit 2025 liegt die Verteidigung einmal wieder deutlich im Rückstand. Microsoft kassierte mit SharePoint und Authenticode Stuffing gleich mehrere Eigentore. Wer dem großen Finale zuversichtlich entgegenblicken will, muss sich jetzt richtig ins Zeug legen – sonst landet man schneller auf der Ersatzbank, als man „SharePoint!“ sagen kann.
Die zweite Halbzeit wird ganz sicher kein Freundschaftsspiel.
Über die Autoren: Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali, Inc., USA.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ebe7bae1c8880d95e733e544a93e/0125744786v2.jpeg "Die Schwachstelle CVE-2025-53770 gilt als hochgefährlich, da sie bereits weltweit von Angreifern ausgenutzt wird und SharePoint-Server in Behörden, Unternehmen und kritischen Infrastrukturen kompromittierbar macht. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/b9/84b96fc6fce6bbfff73d1650672c861a/0112150345v1.jpeg "Wie wurde die Zero-Day-Schwachstelle in Microsoft SharePoint entdeckt? Was macht sie so gefährlich? Und wer könnte dahinter stecken? Darüber haben wir mit Eye Security gesprochen, dem Unternehmen, das die Sicherheitslücke zuerst entdeckt hat. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a7/7c/a77cc8fbf1a892cd02e3708a1753866c/0122043762v1.jpeg "Die Tür ist offen, der Schlüssel verfügbar und dennoch bleibt Deutschland im goldenen Käfig und nutzt weiterhin die user- aber nicht unbedingt daten-freundliche Cloud von Microsoft. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/41/d9410335aa54ea822dc98e0564a65219/0121658350v1.jpeg "Der Microsoft Patchday ist immer am zweiten Dienstag des Monats. (Bild: Sahir_Stock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/03/25038997c3391d1eff530e34eed78b64/0123042407v2.jpeg "Malware bereitet Unternehmen weltweit immer mehr Probleme. Diese Malware sind im Jahr 2025 bei besonders vielen Cyberangriffe eingesetzt. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/76/e07626627626bd631e198ba298334b27/0125588742v2.jpeg "Die Internetauftritte der Städte Nürnberg und Bielefeld fielen am 9. Juli aus. Auch Stuttgart und Düsseldorf sind Falconfeeds zufolge Opfer von DDoS-Attacken geworden. (Bild: © Thomas Bethge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/1c/591c3b317d4f85efd99e9aaf1d8284d4/0122470970v1.jpeg "Microsoft patcht im August 2025 kritische Sicherheitslücken unter anderem in Windows, Office und Serverdiensten. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/1e/431e7e2493b3e1dc26fa0c8294976335/0122470970v1.jpeg "Die gefährlichste Schwachstelle des Micorosft Patchdays im Dezember ist CVE-2025-62221 im Cloud Files Mini Filter Driver, da sie bereits aktiv ausgenutzt wird und lokale Privilegieneskalation auf allen unterstützten Windows-Versionen ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")