Die Sicherheitssituation im Mai 2026 ist von einer bemerkenswerten Mischung aus scheinbar simplen und gleichzeitig hocheffektiven Angriffsmustern geprägt. Wo man erwartet hätte, dass fortgeschrittene Techniken die Hauptrolle spielen, zeigt sich stattdessen: Die erfolgreichsten Angriffe sind oft die, die auf menschliche Schwächen und Negligenz setzen.
Ein gravierendes Beispiel ist die neue Phishing-Plattform Kali365, die seit April 2026 aktiv ist und gezielt Microsoft-365-Umgebungen ins Visier nimmt. Das Besondere: Die Plattform ermöglicht es, Multi-Faktor-Authentifizierung (MFA) zu umgehen – ohne die eigentlichen Anmeldedaten zu kennen. Über Device-Code-Phishing werden Nutzer auf legitim aussehende Microsoft-Login-Seiten gelockt, geben unwissentlich ihre Zustimmung für Threat-Actor-Sessions und ermöglichen damit die Exfiltration von OAuth-Token. Das FBI warnt, dass solche Phishing-as-a-Service-Plattformen die Einstiegshürde für Cyberkriminelle drastisch senken. Kali365 wird im Telegram-Netzwerk zu Abonnementpreisen zwischen 250 und 2.000 Dollar angeboten.
Einen noch direkteren Weg in Unternehmensnetze zeigt die Silent Ransom Group (SRG), die sich als IT-Support ausgibt und teilweise sogar physisch bei Anwaltskanzleien vorbeischaut. Das FBI dokumentierte, dass diese Gruppe seit 2023 gezielt US-amerikanische Kanzleien attackiert, aber auch deutsche Anwaltsbüros ins Visier nehmen könnte, da diese oft hochsensible Mandatendaten halten. Der physische Zugang erlaubt einfache, aber wirksame Datenbeschaffung über USB-Stick.
Auf der Supply-Chain-Seite zeigt sich eine besonders trickreiche Kampagne beim Backup-Software-Anbieter DAEMON Tools: Attackern gelang es, die legitimen Code-Signing-Zertifikate des Herstellers AVB Disc Soft zu missbrauchen. Drei signierte Binärdateien (DTHelper.exe, DiscSoftBusServiceLite. exe, DTShellHlp.exe) wurden trojanisiert. Da sie mit echten Zertifikaten signiert waren, passierten sie traditionelle Sicherheitskontrollen. Die CISA hat die Schwachstelle CVE-2026-8398 (CVSS 9.3) mit Deadline 30. Mai 2026 in ihren KEV-Katalog aufgenommen – auch deutsche Bundesbehörden müssen bis dahin patchen.
Ein noch subtileres Problem offenbarte sich bei Microsofts Azure Backup for AKS: Eine Privilege-Escalation-Lücke (CVSS 9.9, ohne CVE) ermöglichte es Nutzern mit nur der Rolle “Backup Contributor” (ohne jegliche Kubernetes-Rechte), sich zu Cluster-Admin zu eskalieren. Microsoft dementierte zunächst, doch ein stiller Patch folgte.
Neben technischen Schwachstellen boomen klassische Scamming-Kampagnen: Rund um die FIFA World Cup 2026 registrierte Bitdefender über 55 Malvertising-Kampagnen mit gefälschten Online-Shops, betrügerischen Apps und Phishing-Domains. Group-IB dokumentierte über 4.300 Fraud-Domains der Kampagne “GHOST STADIUM”, die ein Pixel-perfekt geklontes FIFA-Portal mit eigenem SSO-Phishing betreibt – Deutschland gehört zu den Top-10-Zielländern.
Auch Chrome-Erweiterungen werden zur Waffe: Das WaSteal-Netzwerk mit 126 Erweiterungen und knapp 148.000 Installationen tarnt sich als WhatsApp-CRM-Tools und stiehlt Cookies, Sprachnachrichten und persönliche Daten. Die größte Variante (WaSeller, 100.000 Installationen) schleust ein Google Tag Manager-Container ein, das dem Betreiber permanente RCE-Fähigkeiten gibt.
Final: Eine neue Technik namens “GhostTree” exploitet NTFS-Junctions, um unendliche Dateipfade zu erzeugen – EDR-Lösungen hängen sich bei der Überprüfung auf. Mit zwei Zeilen Code lässt sich so ein Ordner faktisch unscanbar machen.
Die Botschaft ist unmissverständlich: Patch-Management, Access-Control, Audit-Rigor und Benutzertraining sind nicht optional.