Notepad++ lieferte monatelang Backdoors statt UpdatesNotepad++-Super-GAU: Wie das Admin-Tool zur APT-Waffe wurde
Von
Filipe Pereira Martins
und
CTO und CISO Anna Kobylinska
8 min Lesedauer
Notepad++, als unverzichtbares „Schweizer Taschenmesser“ in fast jedem Admin-Toolkit und auf unzähligen Entwickler-Rechnern installiert, wurde in einer monatelangen Operation zum Einfallstor für staatliche Spionage und parallele Kampagnen organisierter Cyberkriminalität. In vielen Unternehmensnetzen lauert jetzt eine persistente Bedrohung inklusive Backdoor.
Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute.
Mit zig Millionen Downloads zählt Notepad++ zu den beliebtesten Admin- und Dev-Tools weltweit und gilt als Teil der Standardausrüstung vieler Entwickler und IT-Profis. (In der Abbildung: das offizielle Logo).
(Bild: Don Ho)
Angreifer halten auf den infizierten Systemen de facto den Schlüssel zum Maschinenraum der Unternehmens-IT in der Hand: Notepad++ war das Werkzeug der Wahl zum schnellen Einblick in sensible Systemkonfigurationen von Cloud-Umgebungen oder schnelle Bearbeitung von Code in Software-Entwicklungspipelines.
Das Kernproblem der Krise liegt in der kompromittierten Update-Infrastruktur WinGUp von Notepad++, einer vertrauten Quelle für Patches. Als diese Komponente kompromittiert wurde, brach die Vertrauenskette zusammen.
Zwischen Juni und Anfang Dezember 2025 lieferte der integrierte Updater WinGUp statt legitimer Patches in ausgewählten Fällen Schadsoftware aus – primär an hochkarätige Ziele im Regierungs- und Finanzsektor, aber nicht ausschließlich. Ausschlaggebend war, dass der Updater in älteren Versionen nicht strikt genug prüfte, ob das geladene Installationspaket tatsächlich authentisch signiert und unverändert war, sodass Angreifer bei erfolgreichem Traffic Hijacking ein fremdes Binary gleichsam wie ein Kuckucksei in den Update Prozess einschleusen konnten.
Die bösartigen Downloads tragen typischerweise Dateinamen wie update.exe, updater.exe oder AutoUpgrade.exe – keine davon gehört zur legitimen Notepad++ Distribution. Doch die Liste möglicher Indizien des Vorfalls erstreckt sich weit darüber hinaus.
Rapid7 verknüpfte die Kampagne mit der Gruppe „Lotus Blossom“ (staatlich verortete Spionage-Akteure). Kaspersky beschreibt mehrere Infektionsketten und rotierende C2-Infrastruktur des APT (Advanced Persistent Threat); in deren Telemetrie tauchen u. a. Organisationen und Einzelziele in mehreren Ländern auf.
Gefälschte Mirrors, veraltete Archive: Die Bedrohungslage rund um Notepad++ ist weit davon entfernt, neutralisiert worden zu sein, solange gefälschte Archive weiter auftauchen (In der Abbildung: Suchresultate von Bing am 9. Februar 2026).
(Bild: Martins & Kobylinska)
Der Kompromittierungszeitraum erstreckte sich nach Darstellung von Notepad++ Autor Don Ho von Juni bis zum 2. Dezember 2025, als alle verbliebenen Zugriffsmöglichkeiten der Angreifer endgültig geschlossen wurden. Der frühere Shared Hosting Provider von Notepad++ bestätigt, dass der betroffene Server selbst bis zum 2. September 2025 kompromittiert war und dass die Angreifer anschließend mithilfe gestohlener Zugangsdaten bis zum 2. Dezember 2025 weiterhin Update Traffic zum Notepad++ Endpunkt umleiten konnten.
Wer der Update Aufforderung folgte (die Lotus-Blossom-Masche), öffnete fremdstaatlichen Akteuren potenziell die Tür zum eigenen System; wer sich das Installationspaket stattdessen manuell über eine Suchmaschine besorgte, lief Gefahr, auf einem präparierten Klon zu landen (die Black-Cat-Masche).
Denn während ein APT Akteur der Gruppe Lotus Blossom den offiziellen Update Mechanismus für gezielte Spionage missbrauchte, überfluteten parallel dazu Cyberkriminelle gängige Suchmaschinen mit verseuchten Nachbauten der Download Seite (Stichwort: SEO-Poisoning und Ads-Missbrauch).
Bei Stichprobenrecherchen am 9. Februar 2026 waren einige dieser Malware Downloads noch auf der ersten Ergebnisseite gängiger Suchmaschinen bei der Suche nach Notepad++ auffindbar.
Der ursprüngliche Angriff war hochselektiv; das spricht für Spionage-Absichten statt „Spray-and-Pray“. Wer sich auf ein manipuliertes Update eingelassen hat, öffnete den Tätern über die kompromittierten Systeme einen Backdoor-Zugriff mit interaktiver Kontrolle. So konnten die Täter über Monate hinweg Daten abgreifen und seitlich im Netz voranschreiten.
Anatomie einer Zangen-Attacke
Die Brisanz dieses Vorfalls ergibt sich aus einer nahezu perfekt getakteten Zangenbewegung zweier Akteure, die das Ökosystem von Notepad++ gleichzeitig von innen und außen attackieren.
Auf der einen Seite agiert die mutmaßlich staatlich gestützte APT‑Gruppe „Lotus Blossom“, die mit chirurgischer Präzision die offizielle Update‑Infrastruktur WinGUp unterwandert und über kompromittierte Hosting‑Server trojanisierte Installer ausgeliefert haben soll. Diese Eingriffe haben in den kompromittierten Systemen Vorkehrungen eingerichtet, die den Download legitimer Versionen unterbinden.
Während „Lotus Blossom“ im Verborgenen agiert, eröffnet parallel dazu die Cybercrime‑Gruppe „Black Cat“ eine zweite, sichtbare Front: Sie nutzt das Informationsvakuum und die Verunsicherung der Nutzer, um über massives SEO‑Poisoning und manipulierte Suchanzeigen gefälschte Download‑Seiten für Notepad++ zu platzieren. Diese täuschend echten Mirror‑Sites liefern statt des Editors trojanisierte Installer aus, die unter anderem Cobalt‑Strike‑Payloads nachladen und so häufig den Türöffner für weiterführende Ransomware‑Angriffe bilden – insbesondere bei Nutzern, die nach Problemen mit dem integrierten Updater auf einen manuellen Download per Suchmaschine ausweichen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dieser doppelte Beschuss markiert einen sichtbaren Wendepunkt in der IT-Sicherheitslage: Blindes Vertrauen in Software-Updates enttarnt sich als ein Irrglaube. Denn wenn selbst der offizielle Verteilungsweg über Monate hinweg als potenziell kompromittiert gilt, ist doppelte Wachsamkeit angesagt.
Das Update-Dilemma
Das nationale IT-Lagezentrum des BSI hat alle Hände voll zu tun.
(Bild: BSI/Bernd Lammel/bundesfoto)
Vor dem Hintergrund der Attacke auf die Update-Infrastruktur von Notepad++ sind häufig getaktete Zwangsupdates von Browsern, Betriebssystemen und Tools ohne realistische Abnahmefenster für Unternehmen kein Sicherheitsgewinn per se. Je kürzer die Zyklen, desto weniger Zeit bleibt den Teams für saubere Prüfung, kontrollierte Rollouts und belastbare Rückfallpläne. „Schnell“ verdrängt „sicher“.
Das Kernproblem ist die Entmündigung: Zeitpunkt diktiert, Rollback erschwert, Changelogs verdichtet. Automatisierung kann leicht in automatisierte Schadensverteilung kippen. Das Update ist dann nicht Heilmittel, sondern Multiplikator.
Noch heikler sind Betriebssystem- und Treiber-Updates: Hier geht es um Kernel, Netzwerkstack, Kryptographie und Identity-Ketten. Trotzdem laufen sie oft als „klick und fertig“, inklusive erzwungener Reboots. Das ist riskant.
Die Alternative lautet: Staging statt Zwang, LTS-Schienen, echte Rollback-Optionen, strikte Signaturprüfung, reproduzierbare Builds und unabhängige Verifikation. Cybersicherheit ist nicht zuletzt eine Funktion der Ereigniskontrolle.
Was Notepad++ betrifft: Die Projektwebsite ist inzwischen zu einem neuen Hosting-Anbieter mit „deutlich stärkeren Praktiken“ umgezogen und der Aktualisierungsprozess wurde verschärft. Ab der kommenden Version 8.9.2, die in etwa einem Monat erwartet wird, sollen Zertifikats- und Signaturprüfung verpflichtend durchgesetzt werden. Die Empfehlung lautet, bestehende Systeme auf die neueste legitime Version über einen manuellen Download von notepad-plus-plus.org zu aktualisieren.
Die aktuellen Versionen von Notepad++ muss man bisher noch manuell anhand der Signatur überprüfen; erst ab der kommenden Version 8.9.2, die in etwa einem Monat erwartet wird, sollen Zertifikats- und Signaturprüfung durch die Infrastruktur des Updaters gesichert sein.
(Bild: Martins & Kobylinska)
Wenn Sie Version v8.9.1 (oder neuer) heruntergeladen haben und die Signatur von Don Ho als „OK“ angezeigt wird, können Sie sicher sein: Die Datei wurde seit der Erstellung durch den Entwickler nicht verändert.
Für frühere Versionen reicht dieser Schritt jedoch nicht aus.
Wenn der betroffene Rechner bereits zwischen Juni und Dezember 2025 ein Update über den internen Mechanismus (WinGUp) gemacht hat, hilft die Prüfung der Signatur der notepad++.exe allein nicht mehr.
Das Problem: Die „Lotus Blossom“-Hacker haben die Malware oft so geschickt platziert, dass sie als separater Prozess oder in versteckten Ordnern (wie dem erwähnten %APPDATA%\ProShow) weiterlebt. Selbst wenn Sie jetzt eine signierte, saubere Notepad++ Version drüber einspielen, könnte die Backdoor immer noch in einem anderen Bereich des Betriebssystems weiterhin bestehen bleiben.
Wer ganz sichergehen möchte, dass die Malware von dem betroffenen System entfernt wurde, muss einen „Frühlingsputz“ durchziehen:
Schritt 1. Saubere Konfiguration sichern
Sichern Sie die „Wertsachen“ aus Ihrer kompromittierten Installation von Notepad++.
Kopieren Sie nur diese Dateien an einen sicheren Ort:
Jetzt entfernen wir die potenziell infizierte Version restlos. Deinstallieren Sie Notepad++ über die Systemsteuerung (Programme hinzufügen oder entfernen). Danach wechseln Sie wieder in den Ordner %APPDATA% und löschen Sie den kompletten Ordner Notepad++ manuell, falls er noch da sein sollte. Löschen Sie danach auch das Verzeichnis
C:\Programme\Notepad++
restlos. Danach prüfen Sie, ob die verdächtigen Ordner
%APPDATA%\ProShow und %APPDATA%\Adobe\Scripts
noch existieren – falls ja: Löschen Sie beide. Diese Fundorte wurden in den forensischen Analysen der „Chrysalis“-Malware, dem Werkzeug von Lotus Blossom, während der 2025er-Kampagne dokumentiert (Stichwort: "Living off the Land"-Taktik).
Wer diese Verzeichnisse findet, hat einen Volltreffer; die Abwesenheit dieser Pfade garantiert jedoch keinesfalls die Abwesenheit von Malware. Kryptische Namen, ungewöhnliche Executables, scheinbar legitime Software, die sich unbemerkt installierte, zählen zu den gängigen Symptomen - und sind nur schwer auffindbar.
Eine offizielle Lösung existiert bisher nicht. Abhilfe kann ein eigenes PowerShell-Skript schaffen, bis der Vorfall durch aktualisierte Sicherheitssoftware abgedeckt ist.
Schritt 3. Legitimen Installer herunterladen und prüfen
Mit einem Rechtsklick auf eine ausführbare Datei können Sie die digitale Signatur und die Vertrauenskette überprüfen.
(Bild: Martins & Kobylinska)
Laden Sie den legitimen Installer von der offiziellen Adresse: https://notepad-plus-plus.org/ herunter. Mit einem Rechtsklick auf die Datei überprüfen Sie die digitale Signatur (aktuell nach dem Vorfall nutzt das Projekt den GlobalSign Chain).
Schritt 4. Notepad++ installieren
Installieren Sie die anhand der Signatur verifizierte Version (v8.9.1 oder neuer).
Schritt 5. Eigene Konfiguration wiederherstellen
Starten Sie das neue Notepad++ einmal, um die Ordnerstruktur wiederherzustellen, und beenden sie es wieder. Navigieren Sie jetzt zu
%APPDATA%\Notepad++
Kopieren Sie Ihre zuvor gesicherten Dateien (config.xml, etc.) zurück in dieses Verzeichnis, um die Standarddateien Ihrer neuen Installation mit eigenen Einstellungen zu überschreiben.
Nach der Neuinstallation bleibt weiterhin die Notwendigkeit bestehen, Cloud‑Umgebungen und andere Infrastruktur zu härten, für den Fall, dass sie durch den unautorisierten Zugriff auf sensible Entwickler‑ oder Administrator‑Workstations kompromittiert wurde.
Checkliste für Cloud- & Infrastruktur-Hardening
Zur Schadensbegrenzung nach der Notepad++-Kompromittierung empfehlen sich die folgenden Schritte.
Schritt 1. Ausgangslage bewerten
Alle Entwickler‑ und Admin‑Workstations identifizieren, auf denen Notepad++ im Zeitraum Juni–Dezember 2025 mit Auto‑Update oder manuellem Update genutzt wurde.
Diese Systeme unabhängig von IoCs als potenziell kompromittiert einstufen.
Schritt 2. Endpunkte forensisch absichern
Vollständige EDR‑Scans (z.B. Defender for Endpoint, CrowdStrike) auf allen betroffenen Workstations ausführen und bekannte IoCs zur Notepad++‑Kampagne einspielen.
Verdächtige Prozesse, Skripte und geplante Tasks dokumentieren, Workstations nach Möglichkeit forensisch sichern und anschließend neu aufsetzen.
Schritt 3. Identitäten und Secrets rotieren
Alle aus kompromittierten Workstations genutzten Zugänge rotieren: AD‑Konten, lokale Admins, VPN‑Zugänge, SSH‑Keys, API‑Tokens, CI/CD‑Service‑Accounts, Cloud‑Access‑Keys (AWS, Azure, GCP etc.).
Rechte konsequent nach Least‑Privilege neu zuschneiden und alte, nicht mehr benötigte Konten oder Keys sofort deaktivieren.
Schritt 4. Cloud‑Umgebungen systematisch prüfen
Cloud‑Audit‑Logs (CloudTrail, Azure Activity Log, GCP Audit Logs) für den Kampagnenzeitraum auswerten: auffällige Anmeldeorte, Rollenzuweisungen, Policy‑Änderungen, neue Access‑Keys, anomale API‑Aufrufe untersuchen.
Schritt 5. Build‑ und Deployment‑Kette härten
CI/CD‑Systeme (GitLab, GitHub Actions, Azure DevOps, Jenkins) auf unautorisierte Webhooks, Runner, Credentials und Build‑Skripte prüfen.
Signaturen für Artefakte durchsetzen (Code‑Signatures, Container‑Signaturen), SBOMs führen und nur Builds aus vertrauenswürdigen, gehärteten Pipelines in Produktion lassen.
Schritt 6. Netzwerk- und Update‑Pfad kontrollieren
Auto‑Updater für kritische Tools restriktiv konfigurieren, Updates nur über offizielle, validierte Quellen und nach vorheriger Signatur‑ und Hash‑Prüfung zulassen.
Schritt 7. Runbooks erstellen, Governance und Awareness stärken
Ins Runbook Schritte zur Erkennung, Isolierung, Credential‑Rotation, Cloud‑Review, Kommunikation aufnehmen.
Security‑Awareness bei Dev‑ und Ops‑Teams schärfen: Rolle scheinbar „banaler“ Tools erläutern und verbindliche Richtlinien für Tool‑Beschaffung und ‑Updates festlegen.
Fazit
Für ein Werkzeug, das über Jahrzehnte als Inbegriff von Zuverlässigkeit und Schlichtheit galt, ist der Vorfall der Inbegriff eines digitalen Super-GAU.
Die aktuelle Lage ist auch deshalb so prekär, weil sie das fundamentale Vertrauensverhältnis zwischen Nutzer und Software-Distribution im Kern erschüttert. Im Spiel ist hier mehr als bloß ein einzelner Exploit: Es geht vielmehr um den systematischen Missbrauch einer gewachsenen Vertrauensinfrastruktur, der Sicherheitsverantwortliche zum Umdenken zwingt. In einer Welt, in der Angreifer Update-Infrastrukturen unbemerkt kapern können, wird selbst die Verfügbarkeit eines Patches zur Bedrohung.
Der Vorfall zeigt: Lieber Zero-Trust als Zero-Kontrolle.
Über die Autoren: Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali, Inc., USA.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/fe/9afee73e7c4576e3987560387ed4a8c7/0129326905v1.jpeg "In Google Cloud Looker finden sich acht Sicherheitslücken, eine davon ist kritisch. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/48/b1482f56bc90441316f1aeb8da13f2fd/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a4f09c857d29ce37567bf2467ab3c/0129353618v1.jpeg "Ein umfassendes und automatisiertes Update-Management schützt Unternehmen vor wachsenden Cyberbedrohungen. (Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/fc/edfc9a4e47a59025d696bc5869996713/0129337775v2.jpeg "Unternehmen sollten sich am Safer Internet Day engagieren, um das Bewusstsein für Online-Sicherheit zu stärken, ihre Expertise in der Cybersicherheit zu demonstrieren und gleichzeitig von einem erhöhten Vertrauen der Kunden profitieren. (Bild: © highwaystarz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/89/2789fbf66a19362ffd79565279a2202b/0129120197v2.jpeg "Das Botnetz GoBruteforcer expandiert, indem es erfolgreich kompromittierte Linux-Server in seine Infrastruktur integriert und deren Ressourcen für weitere Brute-Force-Angriffe sowie zur Ausbeutung schwacher Passwörter nutzt. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/0c/16/0c1616e7d4fe49725f7853570acefd7f/0112150345v4.jpeg "Gefahr gebannt? Wohl kaum; im Gespräch mit uns vermutet Dr. Pfeifer hinter den Angreifern auf die xz-Tools potentielle Wiederholungstäter. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ac/47/ac4708ac3817285e5711de9249910123/0126056690v1.jpeg "Plague ist eine neue Linux-Backdoor, die SSH-Zugriffe erlaubt, sich als Systembibliothek tarnt und vollständig an Antivirus-Systemen vorbeischleust. Jetzt erste YARA-Regel verfügbar. (Bild: © Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/e0/62e0acc5a3dd2551eddb4e1de5f34316/0120010787v3.jpeg "BITSLOTH ist ein neu entdeckter Windows-Backdoor-Angriff, der den Background Intelligent Transfer Service (BITS) für Kommando- und Kontrollkommunikation (C2) nutzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/46/9c4624623fa895d407b0ea714dfe4a9e/0125908455v2.jpeg "Das Sicherheitsteam von Darktrace konnte verhindern, dass die eingebaute Backdoor für Datendiebstahl und -kompromittierung genutzt wurde. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/4e/fa4ef6bf39cdb942630086a387f5c71d/0123377140v2.jpeg "Die Firmware als Angriffsvektor: So können Unternehmen sich vor Manipulationen in der Lieferkette und verstecktem Schadcode schützen. (Bild: Edelweiss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/46/f446eddda02725a24488842d22320f96/0126743949v2.jpeg "Zero Trust verlangt kontinuierliche Prüfung aller Zugriffe – ein Balanceakt zwischen maximaler Sicherheit und praktikabler Usability. (Bild: © Bartek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/39/7239c941c88fff91344f7f42e2fa2b24/0126236923v1.jpeg "Zero Days, Supply Chain Hacks und geopolitische DDoS-Kampagnen zeigen 2025 eine neue Dimension der Bedrohung. Unternehmen und Behörden geraten unter massiven Druck. Wer jetzt nicht aufrüstet riskiert den Anschluss im härtesten Security-Match des Jahres zu verlieren. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/0a/490a53dd6fc7894ec3f2af60d9fc5f8f/0124805988v2.jpeg "Chinesische Cyberkriminelle nutzen gefälschte Philips DICOM-Viewer für Cyberangriffe auf Gesundheitseinrichtungen. (Bild: © Spectral-Design - stock.adobe.com)")