KW 16/2026: Aktiv ausgenutzte Lücken bündeln sich: Fortinet, Microsoft und Adobe unter Druck
Eine ungewöhnliche Häufung neu als aktiv ausgenutzt eingestufter Schwachstellen in Fortinet-, Microsoft- und Adobe-Produkten prägt die Woche, begleitet von anhaltender Ransomware-Aktivität und Vorfällen mit Bezug zum deutschsprachigen Raum.
Überblick und Einordnung der Woche
Die zurückliegende Woche fällt unruhiger aus als die vorangegangene: Im Vordergrund steht eine deutliche Zunahme an Schwachstellen, die als aktiv ausgenutzt eingestuft und in den einschlägigen Warnkatalog aufgenommen wurden. Auffällig ist dabei die Breite der betroffenen Produktlandschaft – von Netzwerk- und Sicherheitsinfrastruktur über klassische Office- und Server-Umgebungen bis hin zu weit verbreiteten Dokumenten- und Messaging-Komponenten. Die Warnmeldungen der zuständigen Behörden konzentrieren sich in dieser Woche spürbar auf Lücken in Software von Fortinet, Microsoft und Adobe, was den Eindruck einer breit angelegten, gleichzeitig laufenden Ausnutzung verstärkt.
Parallel dazu bleibt die Ransomware-Lage angespannt: Mehrere Gruppen agieren weiterhin sichtbar und mit hoher Schlagzahl. Bemerkenswert ist, dass diese Woche auch Einrichtungen im deutschsprachigen Raum von Vorfällen betroffen waren – ein Hinweis darauf, dass die beobachtete Aktivität nicht abstrakt bleibt, sondern hier vor Ort spürbare Folgen hat. In der Summe ergibt sich das Bild einer Woche, in der akut ausgenutzte Schwachstellen und aktive Erpressergruppen zusammenfallen und Verteidiger an mehreren Fronten gleichzeitig fordern.
Schwachstellen und ausgenutzte Sicherheitslücken
Den Schwerpunkt der Woche bilden gleich mehrere Schwachstellen, die nicht nur theoretisch kritisch sind, sondern bereits ausgenutzt werden. Besonders im Fokus steht eine SQL-Injection-Lücke in Fortinet FortiClient EMS (CVE-2026-21643), über die ein nicht authentifizierter Angreifer unautorisierten Code ausführen kann – eine gefährliche Kombination aus zentral platzierter Management-Komponente und fehlender Authentifizierungshürde. Ebenfalls aufgenommen wurde eine Schwachstelle in Apache ActiveMQ (CVE-2026-34197), bei der unzureichende Eingabevalidierung Code-Injection ermöglicht; gerade Messaging-Infrastruktur eignet sich für Angreifer als unauffälliger Brückenkopf in nachgelagerte Systeme.
Auf der Seite weit verbreiteter Endanwender- und Serverprodukte fällt eine Prototype-Pollution-Schwachstelle in Adobe Acrobat und Reader (CVE-2026-34621) auf, die zur Ausführung beliebigen Codes führen kann und damit den klassischen Angriffsweg über präparierte Dokumente bedient. Ergänzt wird das Bild durch eine Use-after-free-Lücke in Adobe Acrobat (CVE-2020-9715), die ebenfalls Codeausführung erlaubt und zeigt, dass auch ältere, weiterhin im Umlauf befindliche Schwachstellen aktiv missbraucht werden.
Dieser Eindruck verstärkt sich im Microsoft-Umfeld. Hier reicht das Spektrum von einer Remote-Code-Execution-Lücke in Microsoft Office Excel (CVE-2009-0238) über eine unsichere Bibliotheks-Ladelücke in Microsoft Visual Basic for Applications (CVE-2012-1854) bis zu einer Deserialisierungsschwachstelle in Microsoft Exchange Server (CVE-2023-21529), bei der ein authentifizierter Angreifer Remotecode ausführen kann. Hinzu kommt eine Out-of-bounds-Read-Schwachstelle im Common Log File System Driver von Microsoft Windows (CVE-2023-36424), die von Bedrohungsakteuren ausgenutzt werden kann und typischerweise der Rechteausweitung dient. Auffällig ist die Mischung aus sehr alten und vergleichsweise frischen Einträgen: Sie unterstreicht, dass Angreifer ihr Arsenal opportunistisch über Produktgenerationen hinweg zusammenstellen und konsequentes Patchen – auch von Altlasten – unverzichtbar bleibt.
Ransomware-Lage
Die Ransomware-Front zeigt sich diese Woche unverändert lebhaft. Unter den aktivsten Akteuren fallen – als Auswahl, nicht als vollständige Übersicht – Gruppen wie thegentlemen, lockbit5, dragonforce, coinbasecartel, qilin, lamashtu und akira auf. Das Nebeneinander etablierter, seit Längerem beobachteter Marken und jüngerer beziehungsweise neu formierter Akteure ist charakteristisch für ein Ökosystem, das sich fortlaufend umbaut: Während einige Gruppen mit hoher Frequenz und sichtbarer Leak-Aktivität auftreten, drängen andere mit eigenem Profil nach.
Die betroffenen Ziele verteilen sich über verschiedene Branchen und Organisationsgrößen, ohne dass sich ein einzelner Sektor klar abheben würde – das Muster bleibt breit gestreut und opportunistisch. Hervorzuheben ist, dass die Auswirkungen diese Woche nicht nur im internationalen Lagebild sichtbar wurden, sondern auch Einrichtungen im deutschsprachigen Raum trafen. Konkrete Namen geschädigter Organisationen bleiben hier bewusst außen vor; entscheidend ist die Beobachtung, dass die Kombination aus aktiver Doppelerpressung und der parallelen Verfügbarkeit ausnutzbarer Schwachstellen den Gruppen weiterhin günstige Bedingungen verschafft. Für Verteidiger bleibt die Konsequenz dieselbe wie bei den Schwachstellen: exponierte Zugänge absichern, Angriffswege über bekannte Lücken schließen und die Wiederherstellungsfähigkeit kontinuierlich erproben.
Bemerkenswerte Vorfälle und Themen der Woche
In der Berichterstattung dominieren in dieser Woche die behördlichen Warnungen vor aktiv ausgenutzten Lücken. Im Mittelpunkt steht die Meldung, dass die CISA vor ausgenutzten Schwachstellen in Windows, Adobe Acrobat und Fortinet warnt, sowie die parallele Aufnahme mehrerer aktiv ausgenutzter Schwachstellen aus Fortinet-, Microsoft- und Adobe-Software in den Warnkatalog. Diese Bündelung verschiedener Hersteller in kurzer Folge erklärt, warum die Woche insgesamt als arbeitsreich für Sicherheitsverantwortliche wahrgenommen wird – sie zwingt zu einer raschen Priorisierung über mehrere Produktlinien hinweg.
Eng damit verbunden ist die separate Warnung vor einer aktiv ausgenutzten Schwachstelle in Apache ActiveMQ, die den Blick auf Messaging- und Backend-Infrastruktur lenkt, die in vielen Architekturen eine zentrale, aber oft unterschätzte Rolle spielt. Abgerundet wird das Themenbild durch Microsofts umfangreichen Patchday, bei dem unter anderem ein SharePoint-Zero-Day und eine als „BlueHammer“ bezeichnete Problematik besondere Aufmerksamkeit erhalten. Gerade SharePoint als geschäftskritische Kollaborationsplattform ist ein attraktives Ziel, weshalb die zeitnahe Einspielung der Aktualisierungen hier besonders dringlich erscheint. In der Gesamtschau ziehen sich die Themen der Woche wie ein roter Faden zusammen: Die öffentlich kommunizierten Warnungen und die tatsächlich beobachtete Ausnutzung greifen ineinander und machen deutlich, dass Geschwindigkeit beim Reagieren derzeit der entscheidende Faktor ist.