Die Sicherheitslage in dieser Woche zeigt mehrere besorgniserregende Trends, die auch deutsche Organisationen betreffen.
Gefälschte Mobilfunktürme für Phishing-Kampagnen Kanadas Behörden verhafteten drei Männer, die sogenannte SMS-Blaster betrieben – Geräte, die als legitime Mobilfunktürme agieren. Das Prinzip ist perfide: Die Blaster senden gefälschte Signale aus, woraufhin nahegelegene Smartphones sich verbinden. Nutzer erhalten dann Phishing-SMS von vermeintlich vertrauenswürdigen Organisationen mit Links zu Fake-Websites zur Datenabfischung. Über mehrere Monate hinweg wurden Zehntausende Geräte kompromittiert. Für deutsche Nutzer ist dies eine Warnung vor SMS-Nachrichten, auch wenn die Nummer vertraut wirkt.
Kritische Schwachstellen in OpenEMR Das Krankenhausinformationssystem OpenEMR, das weltweit von über 100.000 Medizinern und 200 Millionen Patienten genutzt wird, wies 38 kritische Schwachstellen auf. Zwei davon (CVE-2026-24908, CVE-2026-23627) waren kritisch eingestuft. Die Lücken ermöglichten SQL-Injection, Cross-Site-Scripting, fehlende Authentifizierungschecks und Path-Traversal-Attacken. Im schlimmsten Fall hätten Angreifer Patientendaten (PHI) im großen Stil stehlen oder Remote-Code-Execution erreichen können. Deutsche Kliniken, die OpenEMR einsetzen, müssen sofort Patches einspielen und gemäß DSGVO prüfen, ob Meldepflichten ausgelöst wurden.
Supply-Chain-Attacken in NPM und Python Bedrohungsakteure impersonieren populäre Softwarepakete kontinuierlich. Ein Paket namens „tanstack” stellte sich als maligne Kopie des legitimen TanStack dar und stahl Umgebungsvariablen (.env-Dateien) von Entwicklermaschinen. Ähnlich wurde die Python-Bibliothek „elementary-data” auf PyPI vergiftet: Version 0.23.3 enthielt eine Backdoor (elementary.pth-Datei), die Entwickleranmeldedaten exfiltrierte. Ein GitHub-Actions-Workflow wurde missbräuchlich ausgenutzt, um die Veröffentlichung zu manipulieren. Deutsche Entwickler sollten ihre Abhängigkeiten kritisch überprüfen.
Roblox-Massenhack Ukrainische Polizei verhaftete drei Hacker, die 610.000 Roblox-Konten plünderten und für 225.000 Dollar auf russischen Websites verkauften. Der 19-jährige Rädelsführer traf seine Komplizen (21, 22 Jahre) in Gaming-Foren. Der Zeitraum Oktober 2025 bis Januar 2026 zeigt: Gaming-Plattformen bleiben Ziele massiver Credential-Harvesting-Kampagnen.
Browser-Extensions als legale Datenhändler LayerX analysierte 80 Browser-Extensions, die öffentlich (in ihren Datenschutzerklärungen) zugeben, Nutzerdaten zu sammeln und zu verkaufen. Netzwerke von 24 Media-Extensions (800.000 Nutzer) tracken Netflix-, Hulu- und Disney+-Daten; 12 Ad-Blocker (5,5 Millionen Nutzer) verkaufen Browsing-Daten offen. Dies ist zwar legal transparent gemacht, ethisch aber fragwürdig – Nutzer sollten solche Tools meiden.
Exponentielles Wachstum von Infostealern Die Malware Vidar 2.0 ist nach Zerschlagung von Lumma und Rhadamanthys zur Nummer eins unter Infostealern aufgestiegen. 2025 wurden weltweit 2,86 Milliarden kompromittierte Anmeldedaten dokumentiert – 347 Millionen davon durch Infostealer von 3,9 Millionen infizierten Maschinen.
Offensive Authentifizierungs-Lücken Untersucher fanden 1,8 Millionen exponierte RDP- und 1,6 Millionen VNC-Server online. Deutschland: 8 % der RDP-, 2 % der VNC-Exposures. Über 19.000 RDP-Server sind anfällig für BlueKeep (CVE-2019-0708); 60.000 VNC-Server haben deaktivierte Authentifizierung – einige davon zeigen direkte Zugriffe auf OT/ICS-Steuerungssysteme.
Lehren für die Praxis Diese Woche unterstreicht ein zentrales Problem: Patches existieren, werden aber nicht installiert. Legacy-Software (End-of-Life-Windows-Versionen auf 18 % der RDP-Server), schwache Passwörter und fehlende Zwei-Faktor-Authentifizierung bleiben die größten Sicherheitslücken. Organisationen müssen Grundlagen ernst nehmen, nicht nur auf neue Bedrohungen reagieren.