Cyberbedrohungslage Q1/2026: Supply-Chain-Angriffe, Wiper-Attacken und Rekord-Botnetze

Im ersten Quartal 2026 zeigt die aktuelle Cyberbedrohungslage, dass Angriffe zunehmend professioneller und vielfältiger werden. In diesem Blogeintrag, der begleitend zu unserem quartalsweise angebotenen Webinar zur Cyberbedrohungslage verfasst wird, gehe ich auf eine Auswahl der Vorfälle ein und beleuchte gleichzeitig die Lage des jeweils vergangenen Quartals. Dazu werden jeweils sinnvolle Gegenmaßnahmen beschrieben sowie neu aufkommende Gefahren in der IT-Sicherheit. Wir betrachten zunächst Bedrohungen und dabei insbesondere aktive Angriffskampagnen die beobachtet werden können, aber auch aktuell ausgenutzte Schwachstellen in Systemen.

Cyberbedrohungslage in Deutschland und der EU: 29 aktive APT-Gruppen

Stand Ende Januar 2026 sind laut BSI 29 Advanced Persistent Threat (APT)-Gruppen in Deutschland und der EU aktiv. Ihr Beuteschema zeigt jedoch klare Schwerpunkte: Die öffentliche Verwaltung steht am häufigsten im Visier, gefolgt vom Bereich Auswärtiges, Verteidigung und Sicherheit, IT-Dienstleistern, der Luft- und Raumfahrt, politischen Parteien sowie Forschung und Entwicklung.

Welches sind die wichtigsten Fälle mit APT-Zuordnung?

• Warnung von Verfassungsschutz und BSI: Phishing über Messenger-Dienste Im Februar 2026 veröffentlichten das Bundesamt für Verfassungsschutz und das BSI einen gemeinsamen Sicherheitshinweis zu einer gezielten Phishing-Kampagne über Messenger-Dienste. Die Ziele: Politiker, Journalisten, Militärangehörige und Diplomaten. Der Vorfall unterstreicht, dass Phishing längst nicht mehr nur per E-Mail stattfindet, sondern zunehmend auch Messenger-Dienste mittlerweile ein bevorzugtes Angriffsmedium sind.

• Angriff auf den polnischen Energiesektor: Im Dezember 2025, kurz vor dem Jahreswechsel, wurde ein schwerwiegender Angriff auf den polnischen Energiesektor bekannt, den bereits CERT Polska im Januar 2026 öffentlich dokumentierte. Angreifer verschafften sich Zugang zum internen Grid-Kommunikationsnetz. Der Vorfall war rein destruktiv motiviert. Die gute Nachricht: Endpoint-Detection-and-Response-(EDR)-Software konnte die Operation letztlich blockieren. 
• Notepad++ Supply-Chain-Angriff: Einer der letzt bekanntesten Vorfälle war zudem der Supply-Chain-Angriff auf den beliebten Texteditor Notepad++. Angreifer kompromittierten den Hosting-Provider des Projekts und hatten von Juni bis Dezember 2025 unbemerkt Zugang. Da Notepad++ keine Update-Verifizierung implementiert hatte, konnten die Angreifer Update-Anfragen auf bösartige Server umleiten und selektiv eine bis dahin unbekannte Backdoor namens „Chrysalis“ verteilen.
• Die Malware war hochentwickelt, da sie Verschlüsselung und API-Hashing zur Verschleierung nutzte  und ihre C2-Kommunikation als HTTP-Traffic an die Deepseek-API tarnte. Chrysalis ist ein vollwertiges Angreiferwerkzeug. Es kann unter anderem Daten senden, lesen, löschen, herunterladen und Prozesse starten.
• Der Angriff wird einer APT-Gruppe zugeschrieben, die insbesondere für Spionage in Südostasien und Zentralamerika bekannt war. Der C2-Server ist inzwischen offline. Notepad++-Nutzer sollten dringend auf die neueste Version aktualisieren und darüber hinaus Antiviren-Software einsetzen.
• Hacktivisten Handala: Wiper-Angriff auf Stryker: Besonders eindrücklich war der Angriff der iranischen Hacktivistengruppe Handala auf den US-amerikanischen Medizintechnikhersteller Stryker. Die Angreifer nutzten die Remote-Wipe-Funktion der MDM-Lösung des Konzerns, um rund 200.000 Systeme zu löschen. Zusätzlich wurden nach Angaben der Angreifer 50 Terabyte Daten gestohlen. Der Betrieb des Unternehmens kam komplett zum Erliegen – selbst über eine Woche nach dem Angriff war kein Normalbetrieb möglich.

Cyberbedrohungslage 2026: Cybercrime, Ransomware und neue Angriffsmethoden

Mindestens 15 Cybercrime-as-a-Service-Gruppen sind laut BSI in Deutschland aktiv. Aus dem vergangenen Quartal gab es wieder einmal sehr viele beobachtete Kampagnen – hier eine interessante Auswahl:

• AgreeToSteal: Das Microsoft Outlook-Add-in „AgreeTo“ wurde kompromittiert, nachdem Angreifer die Projekt-Domain übernehmen konnten. Von rund 4.000 Nutzern wurden so Zugangsdaten gestohlen.

• TeamPCP: Cloud-native Ransomware: Eine großangelegte Kampagne zielt auf fehlkonfigurierte Cloud-Umgebungen: Docker API, Kubernetes, Ray Dashboards, Redis und React2Shell. Ziel ist der Aufbau einer vollständigen Angriffsinfrastruktur für Proxy, Scan, Exploit, Persistierung, Diebstahl und Erpressung. Die Ausbreitung erfolgt hochautomatisiert und wurde über Honeypots entdeckt.

• Malware als Spiele-Tools: Microsoft warnt vor einer Kampagne, die Gamern gefälschte Optimierungstools für Spiele wie Roblox unterschiebt. Tatsächlich handelt es sich um Remote-Access-Trojaner (RATs), die sogar Detektions-Ausnahmen im Microsoft Defender erstellen. Gamer bleiben eine beliebte Zielgruppe.
• Alte Malware, neue Features: Hier wird gängige Praxis gezeigt: Bekannte Schadsoftware wie njRAT, Pulsar RAT, XWorm werden stetig weiterentwickelt und tauchen mit neuen Funktionen wieder auf und werden für Datendiebstahl und Krypto-Mining eingesetzt.

Botnetze und DDoS-Angriffe als Teil der globalen Cyberbedrohungslage

Im Kontext der aktuellen Cyberbedrohungslage hat die Botnetz-Landschaft im Q1/2026 besorgniserregende Ausmaße erreicht. Laut Spamhaus sind aktuell täglich rund 1,6 Millionen Bots aktiv. Zwei Botnetze stachen zuletzt durch ihre Größe hervor:

• Aisuru/Kimwolf umfasst geschätzt 1 bis 4 Millionen infizierte IoT-Geräte. Sie bestehen vor allem Smart-TVs, Set-Top-Boxen und Tablets auf Android-Basis ohne Google-Zertifizierung. Das Botnetz wird insbesondere für DDoS-Angriffe genutzt und hat im Februar 2026 einen Rekord-DDoS-Angriff mit 31,4 Tbit/s ausgelöst.
• Badbox 2.0 ist mit rund 10 Millionen betroffenen Geräten sogar noch größer. Die Malware ist ab Werk auf offenen Android-basierten Smart-TVs vorinstalliert. 
• Auch in Deutschland waren bereits die Auswirkungen direkt spürbar: Ein DDoS-Angriff legte bahn.de und den DB Navigator lahm. Das Motiv war vermutlich nicht finanzieller Natur.
• Darüber hinaus wurde das neue Botnetz SSHStalker entdeckt, das verwundbare SSH-Server per Brute-Force angreift, sich über IRC steuern lässt und über CRON-Jobs (zeitgesteuerte Aufgaben) persistent bleibt. Und die Malware Zerobot zielt auf Tenda-Router und n8n-Umgebungen, nutzt zwei Schwachstellen zur Verbreitung und fungiert als Infostealer für Credentials, SSH-Keys und Git-Repos.

Kritische Schwachstellen und ihre Rolle in der Cyberbedrohungslage

Im Q1/2026 wurde eine Vielzahl von Schwachstellen in weit verbreiteten Produkten aktiv ausgenutzt. Im Folgenden kann nur eine Auswahl wichtiger zu Schwachstellen beschrieben werden, die eine Aktualisierung der jeweiligen Software erfordern.

Authentifizierungs-Schwachstellen

Fehlerhafte oder umgehbare Authentifizierung betraf gleich mehrere Produkte. In Cisco SD-WAN, Ivanti Endpoint Manager, SmarterMail und Telnetd konnten Angreifer Authentifizierungsmechanismen umgehen oder über Schwachstellen im Passwort-Reset-Prozess unbefugt Zugang erlangen. Manche dieser Lücken wurden bereits in aktiven Ransomware-Kampagnen ausgenutzt. Telnet sollte darüber hinaus gar nicht mehr eingesetzt werden, da es eine unverschlüsselte Verbindung zur Fernwartung aufbaut und es gute Alternativen wie SSH gibt.

Remote Code Execution (RCE)

Remote Code Execution ermöglichte es Angreifern, aus der Ferne beliebigen Schadcode auf betroffenen Systemen auszuführen. Betroffen waren unter anderem Chromium, die Workflow-Automatisierungsplattform n8n sowie mehrere Apple-Betriebssysteme (watchOS, tvOS, macOS, visionOS, iOS, iPadOS). Auch SmarterMail war durch eine Schwachstelle für unkontrollierte Datei-Uploads angreifbar.

Privilege Escalation als Angriffsstrategie

Lokale Rechteausweitung (Privilege Escalation) war ein weiteres wiederkehrendes Muster. In Microsoft Windows und Office konnten Angreifer, die bereits Zugang zu einem System hatten, ihre Berechtigungen auf Administratorebene ausweiten – ein typischer Schritt im lateral Movement innerhalb eines Netzwerks nach dem initialen Zugriff.

Schwachstellen in mobiler Hardware

Zusätzlich erwähnenswert: Qualcomm-Prozessoren (Snapdragon) in Android-Geräten waren von Speicherfehlern betroffen. Hier wird Android-Nutzern empfohlen, die Sicherheitsupdates von März 2026 einzuspielen.

Was tun bei Cyberangriff? Gegenmaßnahmen im Überblick

Auch in diesem Quartal waren die häufigsten Angriffsvektoren Phishing, anfällige fehlkonfigurierte oder nicht-gepatchte IT-Perimetersysteme, Malware oder Supply-Chain-Angriffe. Im Folgenden daher eine Auswahl an Maßnahmen, um sich gegen diese Angriffsvektoren besser zu schützen:

Schutz vor Phishing-Angriffen

Gegen Phishing sind Zwei-Faktor-Authentifizierung auf allen Systemen, E-Mail-Protection-Software, das Unterbinden von Schatten-IT und regelmäßige Schulungen wirksame Gegenmaßnahmen.

Absicherung von Netzwerken und Systemen

Für Netzperimeter, Anwendungen und Dienste gelten regelmäßige Updates, die Einschränkung extern erreichbarer Dienste, starke Passwörter, Netzsegmentierung mit restriktiven Nutzerberechtigungen sowie regelmäßige Schwachstellentests und Konfigurationsüberprüfungen als essenziell.

Maßnahmen gegen Malware

Gegen Malware schützen vertrauenswürdige Quellen für Software und Hardware, Endpoint-Protection-Software mit IDS/IPS und Anomalieerkennung, Netzsegmentierung und – ganz zentral – aktuelle Backups. Ergänzend können kostenlose Dienste wie VirusTotal oder Cloudflare Radar Scan genutzt werden um verdächtige Dateien oder URLs auf Malware zu prüfen.

Absicherung der Lieferkette

Zum Schutz vor Angriffen über Zwischenziele ist die Überprüfung und kontinuierliche Überwachung der eigenen Lieferkette unerlässlich. Fragen Sie hierzu Ihre Dienstleister nach Umsetzungsnachweisen für Sicherheitsmaßnahmen (z.B. eine ISO/IEC 27001-Zertifizierung)

Notfallmanagement und Incident Response

Eine Maßnahme, die immer notwendig ist, ist die Erstellung und Pflege von Notfallplänen. Im Not- und Krisenfall muss jede und jeder wissen, was ihre/seine Rolle ist und was zu tun ist.

Trends in der Cyberbedrohungslage

Über die aktuelle Cyberbedrohungslage hinaus zeichnen sich mehrere Entwicklungen ab, die Unternehmen im Blick behalten sollten:

• WiFi als Überwachungsinstrument: Forscher warnen davor, dass WLAN-Signale zur Bewegungserfassung und Überwachung missbraucht werden könnten. Eine unsichtbare Form der Massenüberwachung, die ohne Kameras auskommt.
• CARINT – das Auto als Datenquelle: Moderne Fahrzeuge sammeln enorme Datenmengen. Das Auto wird zunehmend zum Überwachungsinstrument und Firmen entwickeln bereits professionelle Tools zum Auslesen dieser Daten.
• KI als Schwachstelle und Angreifer: Künstliche Intelligenz wird zunehmend sowohl zur Angriffsfläche als auch zum Angriffswerkzeug. KI-generierte Zero-Day-Exploits sind bereits Realität und markieren eine neue Qualität der Bedrohung.
• Post-Quanten-Kryptografie: Das BSI empfiehlt den Umstieg von klassischer asymmetrischer Verschlüsselung auf Post-Quanten-Kryptografie ab 2030/2031. Ein Hintergrund ist das „Harvest now, decrypt later“-Szenario: Angreifer könnten bereits heute verschlüsselte Daten abfangen, um sie später mit Quantencomputern zu entschlüsseln. Die Vorbereitung sollte jetzt beginnen.

Fazit zur Cyberbedrohungslage

Das Q1/2026 zeigt, dass Cyberangriffe vielfältiger, professioneller und destruktiver werden. Die Cyberbedrohungslage im Q1/2026 wird geprägt durch komplexe APT-Kampagnen, Cybercrime-Aktivitäten und eine massive Zunahme automatisierter Angriffe.

Cyberbedrohungslage 2026: Steigender Handlungsdruck

Einrichtungen, die in derzeit beliebte Angriffssektoren von APTs fallen sollten besonders vorsichtig vorgehen und regelmäßig ihre IT-Sicherheitsmaßnahmen auf Wirksamkeit überprüfen. Jedes Unternehmen und jede Einrichtung ist jedoch angehalten, über aktuelle Angriffsvektoren informiert zu sein und entsprechende Gegenmaßnahmen zu installieren, seien sie technischer oder organisatorischer Natur.

Konkrete Vorfälle verdeutlichen die Risiken moderner Cyberangriffe

Der Notepad++-Vorfall unterstreicht, dass auch vermeintlich vertrauenswürdige Software-Lieferketten kompromittiert werden können. Viele weitere derartige Beispiele sind bekannt und hier sollte die komplette Lieferkette in Augenschein genommen werden. Der Stryker-Fall zeigt, welche Auswirkungen die Kompromittierung eines zentralen Management-Systems haben kann. Und die Botnetz-Entwicklung macht deutlich, dass die schiere Masse kompromittierter Geräte ein erhebliches Risiko für de-facto jeden darstellt. Wir von der März Datenverarbeitung und der Specific-Group unterstützen Sie gerne bei der Bewertung Ihres IT-Sicherheitsstands und bei der Konzeption sicherer und moderner Software- und Netzlösungen. Webinar verpasst? Schauen Sie sich das ganze Video an.

Quellen und weiterführende Links

1. Cyber-Sicherheit verstehen: Grundlagen, Angreifertypen und wie Botnetze funktionieren
2. TR Chrysalis Backdoor: Dive into Lotus Blossom’s Toolkit – Rapid7 Blog.
3. Hijacked Incident Info Update – Notepad++ Projekt.
4. Stryker Cyber Attack: Employees Still Unable to Work – MLive, März 2026.
5. Stryker Wiper Attack: What Security Teams Need to Know – 7AI.
6. Android-Botnet „Kimwolf“ infiziert Smarthome-Geräte – BSI Newsletter.
7. CISA: Known Exploited Vulnerabilities Catalog – Offizieller Katalog aktiv ausgenutzter Schwachstellen.
8. TR Chrysalis: Notepad++ Supply Chain Risk – Next Steps – Rapid7 Blog.