Die Cyberbedrohungslage in Q2/2026 zeigt eine deutliche Verschärfung der aktuellen Risiken. Während die Zahl aktiv ausgenutzter Softwareschwachstellen weiter steigt, entwickeln sich insbesondere Supply-Chain-Angriffe zu einer wachsenden Gefahr für Unternehmen und Behörden. Nutzer und Entwickler stehen gleichermaßen vor der Herausforderung, die Sicherheit von Software-Lieferketten, Anwendungen und IT-Infrastrukturen konsequent zu überprüfen und abzusichern.
Von APTs durchgeführte Kampagnen
Advanced Persistent Threats (APTs) sind staatlich unterstützte Angreifer oder auch oft Hacktivisten, die strategische Ziele verfolgen und ihre Kampagnen über lange Zeiträume aufrechterhalten. Im Q2/2026 konnten mehrere Fälle auch mit Relevanz für die DACH-Region beobachtet werden.
Verwundbare Netzperimeter als bevorzugtes Einfallstor
Angreifer nutzten drei Schwachstellen in Cisco ASA/FTD-Firewalls kombiniert aus: eine Remote Code Execution (CVE-2025-20333, CVSS 9,9), einen Authentifizierungsbypass (CVE-2025-20362) und eine Privilege Escalation (CVE-2025-20363, CVSS 9,0). Betroffen waren Systeme ohne aktiviertes Secure Boot. Auf kompromittierten Geräten installierten die Angreifer eine Backdoor, die Remote-Zugriff ermöglicht.
Weitere Fälle betreffen das auf Netzkomponenten von Palo-Alto-Systemen laufende PAN-OS: Eine APT-Gruppe nutzte CVE-2026-0300 (unauthentifizierte Remote Code Execution) im Portal von PAN-OS aus und installierte anschließend Tunnelling-Tools. Mit gestohlenen Credentials führten die Angreifer AD-Enumeration durch und vernichteten Logs, um ihre Spuren zu verwischen. Eine weitere Schwachstelle in Palo-Altos PAN-OS erlaubte eine unauthentifizierte VPN-Verbindung.
Ebenfalls gewarnt wurde durch den Verfassungsschutz wegen Angriffen auf TP-Link-Router mit veralteten Softwareversionen. Hier wurde eine bereits mehrere Jahre bestehende Schwachstelle ausgenutzt. Die Behörden konnten einige Betreiber anfälliger Systeme identifizieren und warnen.
Phishing über Signal-Messenger und Teams
Auch staatliche Angreifer nutzen immer noch stark Phishing als Angriffsvektor. Neben klassischen Spear-Phishing-E-Mails (etwa gegen eine NGO in Taiwan oder gegen EU-Regierungsstellen) rücken Messenger-Dienste wie Signal und Microsoft Teams als Angriffskanal in den Vordergrund. Verfassungsschutz und BSI haben im Laufe des Quartals entsprechende Warnungen herausgegeben. Angreifer geben sich in diesen Phishing-Kampagnen als Support der jeweiligen Plattform aus und bringen ihre Opfer dazu, ihnen Sicherheits-Pins herauszugeben oder Malware auf ihren Endgeräten zu installieren. Auf diese Weise werden Messenger-Konten oder auch Systeme übernommen.
Watering-Hole-Angriffe
Eine andere Art von Angriffen wurde durch eine APT-Gruppe bei der Kampagne DarkSword beobachtet. Die Angreifer kompromittierten Zwischenstellen wie Websites, die dafür bekannt waren, von ihren potenziellen Opfern angesteuert zu werden. Das ist der eigentliche Watering-Hole-Angriff, bei dem die „Beute“ der APTs zu einer bekannten „Wasserstelle“ kommen; ganz wie man es sich in der Savanne vorstellt. Sobald das Wasserloch (die Website) kompromittiert wurde, nutzten die Angreifer eine Schwachstellen in iOS aus, um die eigentlichen Ziele zu kompromittieren. Die Kampagne wurde von Googles Security-Team beschrieben (siehe Quellen).
Cyberbedrohungslage in Q2: Supply-Chain-Angriffe dominieren
Aufseiten Cybercrime-Gruppen, also finanziell motivierten Angreifern, stechen vor allem Supply-Chain-Angriffe heraus. Phishing bleibt aber auch hier ein großes Thema.
Supply-Chain-Angriffe
Im beobachteten Zeitraum konnten sehr viele kompromittierte Software-Projekte beobachtet werden. Der bekannte Schwachstellenscanner Trivy zählt dazu, genauso wie ein bekanntgewordener Vorfall, bei dem mehr als 3800 interne Github-Projekte für Angreifer zugreifbar waren. Dieses Fälle gehen auf das Konto der sehr aktiven Cybercrime-Gruppe TeamPCP. Weitere bekanntgewordene Fälle umfassen die Kompromittierung von mehr als 5500 Github-Projekten über geleakte Credentials, beidenen Workflows manipuliert wurden und die Projekte mit Infostealer-Malware ausgerüstet wurden. Andere große Vorfälle sind die Kompromittierung des Projekts elementary-data, das laut Quellen mit mehr als 1 Mio. Downloads pro Monat eine sehr große Reichweite für die Angreifer bekommt und das Smart Slider 3 Pro plugin, das auf mehr als 900.000 Websites genutzt wird. Auch hier wurden durch die Angreifer Infostealer-Malware eingebaut, über die Credentials und Keys gestohlen werden sollen, wodurch sich wiederum neue Ziele für Angreifer ergeben.
Angriffsvektoren auf die Softwareprojekte hier sind, wie bereits vorher angerissen, gestohlene Credentials, aber auch kompromittierte Entwickler-Accounts und -Geräte (nicht selten selbst durch Supply-Chain-Angriffe verursacht) aber auch Schwachstellen in den Build-Pipelines.
Vom Bauen der Software bis zur Auslieferung/Bereitstellung: Bei heutigen Build-Pipelines ist zudem nicht selten alles automatisiert, sodass Angreifer auch das ausnutzen und kompromittierte Softwarepakete direkt als Release über die offiziellen Kanäle des jeweils kompromittierten Projekts verteilt werden. Im Fall von Trivy waren das beispielsweise verschiedene Container-Hubs, Debian- und RPM-Pakete für mehrere Linux-Distributionen, aber auch auf der Hersteller-Website direkt. Automatisierung hilft an der Stelle nicht nur den Entwicklern, sondern wird auch von Angreifern ausgenutzt.
Phishing, Ransomware und Datenpannen
Massiv im Umlauf sind immer noch Phishing-Kampagnen. Beliebt ist die Ausnutzung der Namen bekannter Banken und Streaming-Plattformen. Betroffen sind hier besonders auch Endnutzer.
Auf der Seite der Ransomware-Vorfälle ist vermeintlich die Landeshauptstadt Stuttgart betroffen. Die Tätergruppe Rhysida behauptet, einen erfolgreichen Angriff gefahren zu haben. Offiziell bestätigt ist das zum aktuellen Zeitpunkt nicht. Im DACH-Raum stechen ein paar Datenpannen durch ihre Reichweite hervor:
- Mytheresa: Rund 38 Millionen Datensätze und mehrere Terabyte interner Daten abgezogen.
- Unimed: Rund 120.000 Patienten der Unikliniken Freiburg, Köln, Düsseldorf, Mainz, Heidelberg, Mannheim, Tübingen und Ulm betroffen – mit Namen, Anschriften, Geburtsdaten und teilweise Diagnosen.
- Booking.com: Buchungsdetails, E-Mail-Adressen und Telefonnummern wurden von Angreifern für gezielte Phishing- und Smishing-Kampagnen verwendet.
- Škoda: Hier gab es einen Angriff auf eine Schwachstellen im Online-Shop. Betroffen sind möglicherweise Namen, Anschrift, Kontaktdaten, Telefonnummern und teilweise Bestellinformationen. Angreifer hätten Zugriff darauf gehabt, ein sichere Abfluss aber nicht bestätigt.
- Adobe: Auch hier gab es einen noch nicht offiziell bestätigten aber mutmaßlichen Datenabfluss. Es sind 832GB vermeintliche Kunden- und Marketingdaten im Netz aufgetaucht. Eine Bestätigung der Echtheit gab es zum aktuell Zeitpunkt noch nicht.
Neue kritische Schwachstellen (Auswahl Cyberbedrohungslage Q2)
Das Quartal brachte wie auch die vorherigen eine lange Liste schwerwiegender Schwachstellen. Besonders auffällig war der Krimi um bekanntgewordene Schwachstellen im Linux-Kernel und in verschiedenen Windows-Produkten. Diese reichten von einigen Local-Privilege-Escalation-Schwachstellen, z.B. „CopyFail“ (CVE-2026-31431, CVSS 7,8), „Pack2TheRoot“ (CVE-2026-41651, CVSS 8,8) und „Dirty Frag“ (CVE-2026-43284, CVSS 8,8) in Linux über verschiedene Local-Priviledge-Escalation, DoS, unauthentifizierter Remote-Code-Execution-Schwachstellen (Windows IKE: CVE-2026-33824; im Defender mehrere Schwachstellen) und Token-Diebstahl (im Microsoft Authenticator CVE-2026-41615) im Windows-Ökosystem. Besonders erstaunlich ist eine Schwachstelle in Bitlocker (CVE-2026-45585), die es erlaubt, die Festplattenverschlüsselung vollständig zu umgeben.
Eine auch kritische Schwachstelle mit enormem Schadenspotenzial ist im Pack-Programm 7-Zip aufgetreten (CVE-2026-48095). Diese Remote-Code-Execution-Schwachstelle könnte beispielsweise ausgenutzt werden, indem Angreifer ihrem Opfer eine manipulierte 7-Zip-Datei per E-Mail schicken. Beim Öffnen der Datei würden dann Malware und Backdoors installiert.
Wie zuvor bereits beschrieben, nutzen natürlich APTs wie auch Cybercrime-Gruppen Schwachstellen für Angriffe aus. Beispiele für APTs waren die Angriffe auf Netzperimeter-Geräte wie Router und Firewalls, Beispiele für Cybercrime-Gruppen finden sind in CISAs Known Exploited Vulnerabilities (KEV) Catalog (siehe Quellen).
So schützen Sie sich: Cyberbedrohungslage in Q2
Aus den Beobachtungen des Quartals lassen sich konkrete Schutzmaßnahmen ableiten, geordnet nach Angriffsvektor:
Schutz vor Phishing
- Natürliche Skepsis gegenüber unerwarteten Nachrichten – auch auf Messenger-Plattformen und Teams
- Konsequente Zwei-Faktor-Authentifizierung (2FA) überall, wo angeboten
- E-Mail-Schutzsoftware und Schatten-IT verbieten
- Regelmäßige Sicherheitsschulungen
Absicherung von Netzperimetern und Diensten
- Regelmäßige Updates – besonders für extern erreichbare Systeme
- Einschränkung extern exponierter Dienste auf das notwendige Minimum
- Starke Passwörter, Netzsegmentierung und restriktive Nutzerberechtigungen
- Regelmäßige Schwachstellenscans und Überprüfung von Konfigurationen
Schutz vor Supply-Chain-Angriffen
- Network- und Host-Intrusion-Detection
- Minimale Berechtigungen pro Service (Minimal Privilege)
- Pinnen von Abhängigkeiten auf konkrete Commit-SHAs statt auf Tags oder Branches (Commit-SHA-Pinning)
- Einsatz eines lokalen Repository-Managers
- Unkritische Feature-Updates verzögert einspielen (Oft werden kompromittierte Pakete relativ schnell erkannt und bereinigt)
Umgang mit Datenpannen
- Eigene Konten über Dienste wie HaveIBeenPwned regelmäßig überwachen
- 2FA aktivieren, Passwörter nicht wiederverwenden (Credential Stuffing)
- Nach bekanntem Breach: Breach-Quelle lokalisieren, betroffene Passwörter umgehend ändern
KI als Angriffshelfer
Der Einsatz von KI ist auch für Angreifer längst attraktiv geworden. Angriffe werden immer schneller, automatisierter und unaufwändiger. Gerade das Potenzial von KI, Softwareschwachstellen in vergleichsweise kurzer Zeit finden zu können, eröffnet viele neue Tore für Angreifer.
Damit verbunden ist sicher auch die Beobachtung im aktuellem Verizon Data Breach Investigations Report: Demnach übersteigt die Zahl der Angriffe über Schwachstellen erstmals die Zahl der Angriffe mit gestohlenen Zugangsdaten.
Auf der anderen Seite rücken Risiken durch KI-Agenten in den Fokus. Fehlerhafte Implementierungen von Agenten-Frameworks können dazu führen, dass Angreifer über manipulierte Eingaben die Kontrolle über die ausführende Infrastruktur erlangen. Auch wird das KI-Ökosystem von Angreifern ausgenutzt, um Malware über Skill-Hubs zu verteilen.
Vor einer anderen Art von Angriff wurde durch das FBI gewarnt: Die Gruppe Silent Ransom Group erscheinen physisch als vermeintlicher „Tech Support“ vor Ort und kompromittieren Rechner direkt. Ob diese Taktik auch von anderen Gruppen übernommen wird ist abzuwarten.
Fazit zur Cyberbedrohungslage in Q2/2026
Während die Cyberbedrohungslage in Q1 2026 bereits auf eine wachsende Bedeutung von Angriffen auf Software-Lieferketten hindeutete, zeigt das zweite Quartal 2026 deutlich, dass Supply-Chain-Angriffe inzwischen etabliert sind und zu den bevorzugten Angriffsvektoren von Angreifern zählen. Gleichzeitig wächst die Zahl kritischer Schwachstellen in weit verbreiteter Software stetig. Nicht zuletzt beschleunigt durch KI-Unterstützung der Angreifer. Die Gegenmaßnahmen sind bekannt und haben sich dagegen kaum zu früher geändert: insbesondere gutes Patch-Management, Minimalberechtigungen, Netzwerksegmentierung und Schulungen sind wichtig. IT-Sicherheit ist immer noch eine Frage der Hygiene. Die Herausforderung liegt in der konsequenten und flächendeckenden Umsetzung.
Konkrete Vorfälle verdeutlichen die Risiken moderner Cyberangriffe
Wir von der März Datenverarbeitung und der Specific-Group unterstützen Sie gerne bei der Bewertung Ihres IT-Sicherheitsstands und bei der Konzeption sicherer und moderner Software- und Netzlösungen. Webinar verpasst? Schauen Sie sich das ganze Video zur Cyberbedrohungslage in Q2 und Q1 an.
Quellen
- CISA KEV Catalog:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog - WID-CERT-Bund – 7-Zip
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-1681 - Heise – Microsoft Authenticator:
https://www.heise.de/news/Microsoft-Authenticator-Kritische-Sicherheitsluecke-ermoeglicht-Token-Diebstahl-11296717.html - Windows-Schwachstellen [Quelle Offline genommen]
https://github.com/Nightmare-Eclipse - Weitere Quellen (bereits im Text verlinkt)
By Franz Zahn
By Christoph Frohner
By Dzevad Mujezinovic