Von
CTO und CISO Anna Kobylinska
und
Filipe Pereira Martins
8 min Lesedauer
Die Silk-Typhoon-Saga schlägt weitere Kreise. Am italienischen Flughafen Malpensa wurde ein vermeintlicher Drahtzieher unmittelbar nach seiner Ankunft aus Shanghai festgenommen. Was als Urlaubsreise mit Gattin geplant war, endete für den IT-Manager in Handschellen.
Die Hacker-Gruppe Silk Typhoon gilt als eine der perfidesten und ressourcenstärksten chinesischen Cyber-Einheiten.
(Bild: Dall-E / KI-generiert)
Gegen den 33-jährigen Xu Zewei werden schwere Vorwürfe erhoben: Computer- und Telekommunikationsbetrug, Verschwörung zur Schädigung und zum unbefugten Zugriff auf geschützte Computersysteme sowie schwere Identitätsdiebstähle. Die ersten Details zu seiner Festnahme blitzten durch die italienischen Medien mit der Wucht eines Wirbelsturms; die Entscheidung über seine Auslieferung steht aus.
Xu Zewei soll zwischen Februar 2020 und Juni 2021 an Einbrüchen in US-Computersysteme maßgeblich beteiligt gewesen sein. Zu den Hacks zählt eine Angriffswelle, die gezielt Zero-Day-Exploits in Microsoft Exchange Server ausnutzte. Diese Serie von Attacken, bekannt als Hafnium-Kampagne, sei laut Microsoft eine der größten Bedrohungen für die IT-Sicherheit der vergangenen Jahre.
Die italienischen Behörden beraten gerade noch über den US-Auslieferungsantrag. Im Falle einer Überstellung in die USA wird sich der 33 jährige chinesische Staatsbürger Xu Zewei schweren Vorwürfen stellen müssen. Anklagepunkte umfassen neben den Angriffen gegen Microsoft Exchange unter anderem auch COVID-19-Forschungsdiebstahl und andere Spionagevorfälle.
Die Verteidigung führt als Argument Verwechslung ins Feld. Der Nachname Zewei sei in China weit verbreitet; das Mobiltelefon des Angeklagten sei ihm im Pandemiejahr 2020 gestohlen worden.
Chinas Regierung bestreitet ihrerseits jegliche Beteiligung und weist die Cyber-Vorwürfe als „böswillige Verleumdung“ zurück.
Silk Typhoon ist mehr als ein Wald-und-Wiesen-Hacker-Kollektiv in Pyjamas. Die Gruppe gilt als eine der perfidesten und ressourcenstärksten chinesischen Cyber-Einheiten.
Mit einer erschütternden Kaltblütigkeit und einer abstoßenden Vielfalt an Angriffswerkzeugen — von hinterhältigen Social-Engineering-Manipulationen bis hin zu bösartig ausgeklügelten Post-Exploitation-Strategien — verkörpert diese Organisation das Grauen der Cyberwelt. Ihre technische Raffinesse ist nicht Ausdruck von Intelligenz, sondern von geistiger Dekadenz: Skrupellos und rücksichtslos spüren sie jede Schwachstelle auf, um sie mit maximaler Wucht gegen kritische Infrastrukturen weltweit auszunutzen.
Ins Visier nimmt Silk Typhoon vorrangig IT-Dienstleister, Forschungseinrichtungen, Regierungsstellen und kritische Infrastrukturen - weltweit.
Silk Typhoon ist ein sogenanntes Hack-for-Hire-Netzwerk. Die Gruppe besteht nicht ausschließlich aus staatlichen Akteuren, sondern setzt maßgeblich auf die Zusammenarbeit mit privaten Firmen als externen Auftragnehmern und Kapitalgebern. Dieses erweiterte Ökosystem von kriminellen Dienstleistern führt Hacking-Kampagnen „as-a-Service“ aus. Xu soll zum Zeitpunkt der Angriffe für Shanghai Powerock Network Co. Ltd. gearbeitet haben.
Diese marktorientierte Konstruktion schafft finanzielle Anreize für Cyberoperationen gegen westliche Ziele und breite Rückendeckung im Heimatland.
Microsoft hat diesen Bedrohungsakteur ursprünglich als Hafnium identifiziert und später unter dem Namen Silk Typhoon kategorisiert. (Hafnium ist ein chemisches Element mit dem Symbol Hf, bekannt für seine hohe Dichte, Korrosionsbeständigkeit und Neutronenabsorption.). Im März 2025 berichtete Microsoft über eine veränderte Angriffstaktik von Silk Typhoon. Die Gruppe konzentriert sich nun verstärkt auf IT-Lieferketten – ein Vorgehen, das der Metaphor der Seidenstraße in ihrem Namen (Silk Road) gerecht wird.
„Silk“, das englische Wort für Seide, ist eine Anspielung auf die dünnen Fäden des feinen Textilgewebes und auf das nach ihm benannte historische Netzwerk von Handelswegen (Engl. „Silk Road“). Das Netzwerk verknüpfte in der Antike China mit Europa, dem Nahen Osten und Afrika. Das Wort „Typhoon“ deutet die Wucht und Unberechenbarkeit der Angriffe an - einen Sturm mit vernichtenden Auswirkungen mit Ursprung im asiatisch-pazifischen Raum.
Eine weitere, separate Hackergruppe ist unter dem Namen Salt Typhoon bekannt. Salt Typhoon steht hinter dem Hack der drei größten US-Telefonnetzwerke T-Mobile US, Verizon und ATT, bei denen unter anderem Daten aus Überwachungssystemen und Metadaten von Millionen Nutzern kompromittiert wurden.
Silk Typhoon arbeitet methodisch, mit chirurgischer Präzision. Die Gruppe verfolgt keinen simplen „Smash-and-Grab“-Ansatz, sondern orchestriert eine mehrstufige, modulare Kampagne, die darauf abzielt, eine unentdeckte persistente Bedrohung zu hinterlassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Gruppe nutzt Taktiken wie Password Spraying und Credential Stuffing, um Zugangsdaten zu erraten und automatisiert durchzuprobieren. Wer glaubt, hier handle es sich um breit gestreute Angriffe aus der Gießkanne, irrt. Bei Unternehmen mit mangelhaft oder gar nicht umgesetzter Multifaktor-Authentifizierung (MFA) ist es leider eine erstaunlich effektive Eintrittskarte.
Die wahren Schätze findet Silk Typhoon in öffentlich zugänglichen Code-Repositories, die die Gruppe systematisch durchforstet. Auf Plattformen wie GitHub werden nicht selten aus Versehen oder Nachlässigkeit API-Schlüssel, Zugangsdaten oder andere Hardcoded-Credentials veröffentlicht. Hier zeigt sich die methodische Vorgehensweise der Angreifer: Durch automatisierte Suchskripte identifizieren sie potenzielle Schwachstellen, die sie später handverlesen ausnutzen, um die betroffenen Infrastrukturen zu infiltrieren.
Besonders viel Übel in IT-Landschaften konnte die Gruppe mit gestohlenen API-Schlüsseln und OAuth-Tokens anrichten. Diese digitalen Schätze erlauben den Zugriff auf Cloud-Dienste, interne APIs und Identitätsplattformen. Ein kompromittierter API-Schlüssel kann nicht nur Daten exfiltrieren und das Cloud-Budget ausbeuteln, sondern auch laterale Bewegungen im Netzwerk verschleiern — etwa durch das Anlegen neuer Benutzer-Kontos oder die Manipulation von Logs.
Eine weitere Spezialität von Silk Typhoon ist das Ausnutzen von Zero-Day-Exploits, also noch ungepatchter Verwundbarkeiten. Beispiele aus den vergangenen Jahren beinhalten Sicherheitsverletzungen wie die unsichtbare Hintertür in Ivanti Pulse Connect VPN (ehemals Pulse Secure), eine Exploit-Kette aus mehreren Schwachstellen in Microsoft Exchange namens ProxyLogon, eine Path Traversal-Lücke in Citrix NetScaler und dergleichen andere.
Ivanti Pulse Connect VPN ist beliebt bei in großen Unternehmen und Behörden, um Mitarbeitern entfernten Zugang ins interne Netzwerk zu ermöglichen. Durch das Ausnutzen einer kritischen Authentifizierungs-Bypass-Lücke konnten die Cybertäter von Silk Typhoon ohne gültige Anmeldedaten beliebigen Code ausführen und sich so den vollständigen Zugriff auf interne Systeme ergattern.
VPN-Gateways sind besonders lohnende Ziele, da sie direkt den Zugang ins interne Netz öffnen. Außerdem stehen sie oft direkt im Internet — Angreifer müssen nicht erst eine interne Schwachstelle finden. Viele Unternehmen hatten veraltete Versionen im Einsatz, was Silk Typhoon & Co. einfache Einstiegsmöglichkeiten bot.
Im Falle des Hacks von Microsoft Exchange-Servern, einer der am weitesten verbreiteten E-Mail- und Collaboration-Plattformen weltweit, war eine Exploit-Kette aus mehreren Schwachstellen im Spiel, getauft auf den Namen „ProxyLogon“.
Microsoft Exchange-Server enthalten hochsensible Daten: E-Mails, Kalender, Adressbücher. Außerdem genießen sie weitreichende Berechtigungen innerhalb eines Netzwerks. Angreifer konnten sich über SSRF ohne Authentifizierung an Exchange-Servern anmelden und beliebigen Code ausführen. Damit ließen sich Webshells installieren — eine Art persistente Hintertür.
ProxyLogon führte weltweit zu massenhaften Kompromittierungen (z. B. Hafnium-Kampagne) und war eines der am schnellsten ausgenutzten Bugs der letzten Jahre.
Citrix NetScaler (heute Citrix ADC) ist ein Application Delivery Controller — eine Art Load Balancer mit erweiterten Sicherheitsfunktionen, der häufig vor Webanwendungen vorgeschaltet wird. Über die berühmte Path Traversal-Lücke konnten Angreifer von Silk Typhoon ausführbare Skripte in Verzeichnisse einschleusen, die der Server später starten würde. In Kombination mit nicht-gehärteten Konfigurationen ließ sich so persistenter Remote-Code-Execution-Zugriff aufbauen.
NetScaler-Instanzen sitzen oft an der Netzwerkperipherie. Eine erfolgreiche Kompromittierung ermöglicht das „Pivoting“ — also das Weiterbewegen ins interne Netz. Außerdem waren diese Systeme oft weltweit zugänglich und wurden nicht immer rechtzeitig gepatcht.
Silk Typhoon nutzt gerne diese Art Perimeter-Schwachstellen für den initialen Zugang, da sie keine Benutzerinteraktionen erfordern und gehobene Privilegien gewähren. Nach der erstmaligen Vorstoß in die Unternehmens-IT schicken sich die Hacker an, mit Credential Harvesting oder lateralen Bewegungen in weitere Systeme einzudringen.
Danach richtet Silk Typhoon ausgefuchste Backdoors in Service- und Maschinenkonten ein.
Silk Typhoon weicht liebend gerne nach der erstmaligen Penetration auf eben diese Art von Accounts aus, insbesondere in hybriden oder Cloud-nativen Umgebungen wie Entra ID (ehemals Azure AD). Diese Konten genießen oft weitreichende Rechte, werden selten überwacht und machen es einfach, persistente Bedrohungen zu etablieren. Durch die Anpassung von Rollen und Richtlinien können Angreifer jahrelang unbemerkt vor sich hin schnüffeln und spionieren.
Wie erkennt man die Präsenz von Silk Typhoon? Typische Anzeichen (Engl. Indicators of Compromise, IoCs) umfassen:
Ungewöhnliche Aktivitäten bei privilegierten Konten: Plötzliche Passwort-Resets, neue Administrator-Konten oder verdächtige Anmeldungen von unbekannten Standorten;
Webshells und Backdoors: Implantierung von Webshells wie China Chopper oder Godzilla auf Servern; insbesondere nach der Ausnutzung von Schwachstellen sind Backdoors zu vermuten;
Missbrauch von API-Keys und OAuth-Tokens: Unautorisierte Nutzung von API-Schlüsseln, insbesondere bei Cloud-Anwendungen und Identitätsmanagement-Lösungen;
Anomalien bei Cloud-Diensten: Unerklärliche Datenabfragen oder -downloads über Microsoft Graph API, Exchange Web Services, OneDrive oder SharePoint;
Logmanipulation: Systematische Löschung oder Manipulation von Protokolldateien zur Verschleierung von Aktivitäten.
Zugriffe über kompromittierte Netzwerkgeräte: Kompromittierte Router, VPNs oder Storage-Geräte lassen die Infiltration anderer Infrastrukturelemente im gesamten Netzwerk vermuten.
Die Bedrohung durch Silk Typhoon erfordert einen ganzheitlichen Ansatz: Von der technischen Überwachung über organisatorische Maßnahmen bis hin zur konsequenten Umsetzung von Zero-Trust-Prinzipien (siehe dazu den Bericht „Zero Trust, jetzt aber!“ auf Security-Insider.de).
In Erwartung möglicher Vergeltungsmaßnahmen sind alle Organisationen im Westen gut beraten, ihre IT-Landschaften unter Hochdruck zu härten.
Europas Cyber-Aufrüstung und EU Cyber Solidarity Act
Europäische Behörden haben in den letzten Jahren ein umfassendes Maßnahmenpaket gegen Cyberangriffe entwickelt. Diese Strategie umfasst legislative, technische und institutionelle Instrumente, die von EU-weiten Richtlinien bis zu spezialisierten Cybersicherheitsdiensten reichen.
Als zentrale Koordinationsstelle, der Dreh- und Angelpunkt der EU-Cybersicherheit, fungiert die Europäische Agentur für Cybersicherheit (ENISA).
Das Computer Emergency Response Team der EU (CERT-EU) bietet seit 2011 spezialisierte Cybersicherheitsdienste für über 80 EU-Institutionen, -Agenturen und -Einrichtungen. CERT-EU fungiert somit als zentrale Anlaufstelle für Cybersicherheitsvorfälle in der EU, ausgestattet mit einem 24/7-Incident-Response-Dienst für kritische Infrastrukturen bietet sie präventive Sicherheitsbewertungen und Schwachstellenscans, forensische Unterstützung bei komplexen Cyberattacken und Threat Intelligence-Sharing mit nationalen CERTs.
Das 2021 in Bukarest etablierte ECCC (Europäisches Kompetenzzentrum für Cybersicherheit) koordiniert europaweit Forschung und Innovation im Bereich der Cybersicherheit. Die Cybersicherheitsbehörden haben alle Hände voll zu tun, denn auch legitime Marktakteure kommen schon mal auf dumme Ideen .
Am 4. Februar 2025 trat der EU Cyber Solidarity Act in Kraft. Dieses Gesetz etabliert drei neue Mechanismen:
European Cybersecurity Alert System,
Cybersecurity Emergency Mechanism,
European Cybersecurity Incident Review Mechanism.
Mit dem Cyber Resilience Act (CRA) will die EU die zunehmenden Risiken durch unsichere vernetzte Produkte und Software adressieren. Das Gesetz verpflichtet Hersteller und Anbieter digitaler Produkte und vernetzter Geräte dazu, Cybersicherheit als integralen Bestandteil in den gesamten Lebenszyklus ihrer Produkte zu integrieren. Der CRA wird in mehreren Etappen bis 2027 wirksam.
Die Verhaftung eines mutmaßlichen Drahtziehers einer Hacker-Organisation auf europäischem Boden hat in der US-Intelligence-Community hohe Wellen geschlagen. Der Zwischenfall markiert einen Wendepunkt in der internationalen Verfolgung von Cyberkriminalität. Der Vorfall verdeutlicht die zunehmende Militarisierung des Cyberspace gegen Wirtschaftsspionage; westliche Staaten gehen gegen Cyberkriminalität mit einer neuen Entschlossenheit vor.
Über die Autoren: Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali, Inc., USA.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/1e/76/1e76906059315987616a533ba1783d83/0122074135v1.jpeg "Der Kampf der US-Regierung gegen chinesische Cyberangreifer eskalierte, als diese es schafften, Telekommunikationsdaten von US-Beamten abzufangen und das US-Finanzministerium hackten. Nun verhängen die USA Sanktionen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/59/de/59de6b43315bf9b24082f84dccb282cb/0124973710v2.jpeg "In einer Stellungnahme der chinesischen Botschaft in Prag bezeichnet diese die mutmaßlich chinesischen Hacker als „sogenannte APT31“ und weist die Vorwürfe einer staatlich unterstützten Cyberattacke zurück. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/f9/e0f9d49d89755c889093df89ebba8105/0101682842.jpeg "Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt. (Bild: © www.pelzinger.de)")
:quality(80)/p7i.vogel.de/wcms/4c/d6/4cd6247fd8e19ee15c029da7c0cf1fdf/0123877054v2.jpeg "Die chinesische Ransomware-Bande Ghost greifen mit ausgefeilten Taktiken, Techniken und Prozeduren (TTP) staatliche Einrichtungen an und Organisationen, die kritische nationale Infrastrukturen bereitstellen. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/3f/d53f17760df6ed8e39942a7ef638fee9/0124720088v2.jpeg "In Wechselrichtern, die Solaranlagen an das Stromnetz anschließen, wollen zwei anonyme Hinweisgeber undokumentierte Kommunikationsmodule entdeckt haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/78/f87888c8804cd700d363e33285db42f7/0124936250v2.jpeg "Cyberkriminelle der Gruppe UNC5521, die von der chinesischen Regierung beauftragt werden, sollen hinter Cyberangriffen auf KRITIS-Organisationen aus Europa stecken. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3a/24/3a24a6052064d1c271a08aec3b554f04/0119909340v2.jpeg "China hat Vorwürfe der Bundesregierung wegen eines gezielten Hackerangriffs auf das BKG im Jahr 2021 vehement zurückgewiesen. (Bild: BirgitKorber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/35/0b351e4456cef1fa7cc7ceec3e29e83c/0122675643v2.jpeg "Salt Typhoon ist weltweit aktiv, äußerst aggressiv und geschickt darin, lange unentdeckt zu bleiben. (Bild: 2ragon – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/14/ac142911df215763484c6856d6fdcbfe/0123465740v1.jpeg "Bedrohungsakteure nutzen Schwachstellen in älteren Fernzugriffstechnologien. (Bild: beebright - stock.adobe.com)")