Das Pwn2Own-Hacking-Turnier in Berlin 2026 zeigte eindrucksvoll, wie fragmentiert die Sicherheit moderner Systeme ist. Sicherheitsforscher exploiterten 47 Zero-Day-Schwachstellen in Produkten von Windows, Linux, VMware und NVIDIA und kassierten dabei insgesamt 1.298.250 Dollar. Das Team DEVCORE dominierte das dreitägige Event mit 50,5 Master-of-Pwn-Punkten und 505.000 Dollar Preisgeld – hauptsächlich durch erfolgreiche Angriffe auf Microsoft SharePoint, Exchange, Edge und Windows 11. Diese Zahlen verdeutlichen: Die Sicherheitslücken sind nicht imaginär, sondern real und weit verbreitet.
Doch die eigentliche Sorge geht tiefer. Künstliche Intelligenz wird zunehmend als Werkzeug für Cyberangriffe instrumentalisiert – nicht als hochmoderne Waffe, sondern als Beschleuniger für bewährte Methoden. Das britische National Cyber Security Centre warnt explizit vor schlecht konfigurierten KI-Agenten in Unternehmensumgebungen. Ein überberechtigter Agent könne schnell zur existenziellen Bedrohung werden. Dies zeigt sich praktisch in den SHADOW-AETHER-Kampagnen, bei denen zwei separate Bedrohungsakteure unabhängig voneinander agentic AI zur Kompromittierung von Regierungsorganisationen in Lateinamerika einsetzten. Die Angreifer umgingen KI-Sicherheitsvorkehrungen geschickt, indem sie ihre Anfragen als autorisierte Penetrationstests framing. Claude von Anthropic und GPT von OpenAI wurden so in echte Angriffswerkzeuge umgewandelt – ein Szenario, das deutsche Unternehmen beim Einsatz von KI-Tools berücksichtigen müssen.
Linux-Systeme stehen massiv unter Druck. Der Rootkit OrBit, der bereits 2022 dokumentiert wurde, wird aktiv weiterentwickelt und modernisiert. Forscher identifizierten zwei parallele Versionen: eine vollständig ausgestattete Lineage A und eine schlankere Variante B. Der Trick der Angreifer ist genial: Sie rotieren XOR-Schlüssel, ändern Installationspfade und modifizieren kontinuierlich ihre Tactics – gerade genug, um Erkennungssignale zu umgehen, aber nicht so viel, dass die Grundfunktionalität leidet. OrBit wird von der Cybercrime-Gruppe Blockade Spider zur Verschleierung von Embargo-Ransomware-Kampagnen genutzt.
Die Supply-Chain-Attacken verlaufen beängstigend subtil. Ein PHP-Dependency-Manager namens Composer leckte GitHub-Tokens in Build-Logs (CVE-2026-45793). Ein npm-Paket namens art-template wurde durch Account-Übernahme kompromittiert und injizierte externe JavaScript-Payloads. Ein Go-Module-Typosquat (shopsprint statt shopspring) öffnet DNS-basierte Command-and-Control-Kanäle. Der gemeinsame Nenner: Vertrauenswürdige Infrastruktur wird infiltriert, und Millionen von Entwicklern sind ohne ihr Wissen exponiert.
Die Phishing-Landschaft evoliert ebenfalls. Eine neue Scareware-Lösung namens CypherLoc kombiniert aggressive Browser-Kontrollen mit psychologischer Manipulation – seit Jahresbeginn 2026 wurden 2,8 Millionen Attacken damit durchgeführt. Telegram-Smishing-Kampagnen zerstören Nutzerkonten durch gefälschte Sicherheitswarnungen. Ein Scareware-Toolkit lockt Opfer dazu, betrügerische Tech-Support-Nummern anzurufen.
Das Kernproblem bleibt: Die Angriffsfläche ist nicht kleiner geworden, sondern größer. Jedes Update, jeder Cloud-Button, jeder Support-Chat kann zur Angriffsvektors werden. Deutsche Unternehmen und Behörden müssen sich auf Grundlagen konzentrieren – Patch-Management, Netzwerk-Segmentierung, Anomalieerkennung – und gleichzeitig verstehen, dass die größten Bedrohungen nicht immer laut sind.