Das Sicherheitsjahr 2024 zeigt sich von einer verstörend kreativen Seite der Cyberkriminalität. Während etablierte Schwachstellen weiterhin exploitiert werden, nutzen Threat-Actor immer häufiger vertrauenswürdige Systeme und soziale Manipulation als Einfallstor.
Kritische Infrastruktur unter Druck
Palo Alto Networks hat erste Patches für CVE-2026-0300 veröffentlicht. Die Lücke in der User-ID Authentication Portal-Service betrifft PAN-OS-Installationen weltweit. Das BSI wird vermutlich zeitnah eine offizielle Warnung veröffentlichen – Unternehmen sollten Patchmanagement als höchste Priorität behandeln. Parallel wurde bekannt, dass das US-Verteidigungsministerium indirekt betroffen ist: Die KI-Trainingsplattform Schemata, die für militärische Zwecke genutzt wird, hatte ungeschützte API-Endpoints, die es Angreifern ermöglichten, Benutzerdaten und Trainingsmaterialien auszulesen.
Manipulierte KI-Modelle als neuer Angriffsvektor
Eine besonders besorgniserregende Entwicklung kommt aus dem AI-Sektor: HiddenLayer hat “Tokenizer Tampering” demonstriert – eine Technik, bei der Angreifer die “tokenizer.json”-Dateien in KI-Modellen auf Hugging Face manipulieren. Dies ermöglicht volle Kontrolle über Model-Outputs, ohne dass Gewichte modifiziert werden müssen. Deutsche Unternehmen, die KI-Modelle in ihre Systeme integrieren, sollten Source-Code-Audits verstärken.
Supply-Chain wird zur Leaderboard
Besonders beunruhigend: Der Threat-Actor TeamPCP hat mit dem Breached-Forum einen öffentlichen Wettbewerb ausgerufen – mit 1.000 Monero Preisgeld für erfolgreiche Supply-Chain-Angriffe. Der Shai-Hulud-Worm wurde Open-Source gestellt. Socket-Researcher sprechen von einer “Gamifizierung” von Compromises, die recruitment-ähnliche Strukturen schafft.
Einfache, aber effektive Angriffsmuster
Fake IT-Support-Nachrichten in Microsoft Teams führten zu kompletten Systemkompromittierungen: Angreifer (KongTuke-Gruppe) verteilen Python-basierte Payloads über Dropbox, eskalieren Privilegien via CVE-2023-36036 und nutzen legitime Tools wie DumpIt für Datenexfiltration.
Operazione GriefLure zielt auf vietnamesische Telekommunikation und philippinische Gesundheitseinrichtungen – RAR-Archive mit Remote-Access-Trojanern werden per Spear-Phishing verteilt.
Innovative C2-Kanäle
Zum ersten Mal nutzen Angreifer NATS-Server (eine High-Performance-Messaging-Plattform) als Command-and-Control-Kanal statt traditioneller HTTP-basierter Panels. Dies zeigt, wie Cyberkriminelle legitimate Enterprise-Software als Tarnschicht missbrauchen.
Was tun?
Deutsche Organisationen sollten sofort handeln: Patching bei PAN-OS-Systemen, Multi-Faktor-Authentifizierung für Teams, regelmäßige Sicherheits-Audits von KI-Modellen, Monitoring verdächtiger externer Zugriffe, und nicht zuletzt: Backup-Strategien testen. Die Angreifer gewinnen durch Geduld, Kreativität und simple Fehler – denen entgegenzuwirken bleibt zähe Handarbeit.