Die Bedrohungen verschärfen sich: OAuth-Apps als Einfallstor
Eines der Kernprobleme dieser Tage ist eine Art “Consent-Müdigkeit”. Cloud-Sicherheitsfirma Wiz dokumentierte eine großangelegte Kampagne mit 19 verschiedenen OAuth-Anwendungen, die bekannte Marken wie Adobe, DocuSign und OneDrive impersonierten. Das perfide System funktioniert simpel: Nutzer klicken auf “Akzeptieren”, geben damit dem Angreifer Zugriff auf ihre Dateien und E-Mails – ohne dass dieser das Passwort je knacken musste. Der Zugangstoken wird direkt an die Redirect-URL des Angreifers übermittelt. Für deutsche Unternehmen bedeutet das: Konten von Mitarbeitern können kompromittiert werden, ohne dass es auf den ersten Blick auffällt.
Signal und WhatsApp – Beliebte Ziele russischer Spione
Während viele deutsche Nutzer Signal als sichere Kommunikationsapp betrachten, haben niederländische und deutsche Sicherheitsbehörden alarmierende Nachricht: Russisch verbundene Hacker nutzen Phishing-Tricks statt Brute-Force-Attacken. Sie maskieren sich als Signal-Support-Chatbot und täuschen Nutzer dazu, ihre Sicherheitsverifikationscodes preiszugeben. Mit diesen Codes können sie die Konten vollständig übernehmen. Ein zweiter Ansatz nutzt die “Linked Devices”-Funktion aus. Google hatte bereits gewarnt, dass Ukrainische Soldaten, Politiker und Journalisten Signal massiv nutzen – und damit zum bevorzugten Ziel russischer Spionage wurden. Deutsche Behördenvertreter sollten sich dieser Gefahr bewusst sein.
Vulnerabilitäten werden schneller ausgenutzt als je zuvor
Google Cloud offenbart einen beunruhigenden Trend: Das Zeitfenster zwischen Sicherheitslücken-Offenlegung und massenhafter Ausnutzung ist von Wochen auf Tage zusammengeschrumpft. Während Misconfigurationen 2025 noch 29,4% der Zwischenfälle verursachten, fielen sie in der zweiten Jahreshälfte auf 21%. Angreifer nutzen zunehmend spezialisierte, teurere und komplexere Wege – besonders Schwachstellen in Drittanbieter-Software. Das Ziel ist oft stille Datenexfiltration großer Mengen ohne sofortige Erpressung.
Antivirus als Angriffsziel: BlackSanta EDR-Killer
Eine Kampagne gegen HR-Abteilungen zeigt ein neues Muster: Nach dem Download einer vermeintlichen Bewerbung (ISO-Datei) folgt die Installation von BlackSanta – ein spezialisiertes Modul zum Deaktivieren von Antivirus- und EDR-Lösungen. Es nutzt vulnerable Kernel-Treiber (BYOVD-Taktik), um Schutzmechanismen zu schwächen. Dadurch sinken Alarme, Logs werden eingeschränkt, und Angreifer haben mehr Zeit. Besonders tückisch: Danach können weitere Malware unbemerkt eindringen.
Zombie ZIP – CVE-2026-0866: Malware versteckt sich in defekten Archiven
Ein neues Angriffsmuster nutzt absichtlich fehlerhafte ZIP-Header. Antivirus und EDR-Software erkennen darin nichts Verdächtiges (False Negatives), doch Extraktions-Software kann die Archive trotzdem entpacken. Die Malware lädt sich danach selbst nach. Das CERT/CC hat dies als CVE-2026-0866 dokumentiert und “Zombie ZIP” genannt.
Künstliche Intelligenz als Hackerwaffe
Forscher bei CodeWall zeigten, wie ein AI-Agent die interne Plattform Lili von McKinsey in zwei Stunden hackten: vollständiger Lesezugriff auf 46,5 Millionen Chat-Nachrichten, 728.000 Dateien mit Kundendaten, und über 200 völlig offene Endpoints. Ein SQL-Injection-Bug reichte aus. McKinsey hat das Problem behoben, es gab keine Hinweise auf Wildcat-Exploits – doch das Prinzip ist beängstigend: Agentic AI wird als Angriffswerkzeug immer gefährlicher.
Stats, die wachrütteln
2025 gab es 44.509 Schwachstellen-Meldungen – 12% mehr als 2024. 466 wurden aktiv ausgenutzt, 14.593 hatten öffentliche Exploits. Ransomware-Angriffe stiegen um 53% auf 8.835 – angeführt von Qilin (1.213 Angriffe) und Akira (1.044). Die Fertigung war das Hauptziel (1.564 Angriffe), gefolgt von IT und Gesundheitswesen.
Ein neues Normal
Das Muster ist klar: Alte Tricks werden verfeinert, neue Lücken genutzt, und der Mensch bleibt das schwächste Glied. Deutsche Organisationen sollten ihre OAuth-Kontrollen überprüfen, Mitarbeiter vor Signal-Phishing warnen, und EDR-Lösungen gegen Kernel-Exploits absichern.