Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Wochenreport KW 19/2026

KW 19/2026: Ruhigere Woche mit kritischen Ausnahmen: Ivanti-Zero-Day und aktive Ransomware-Szene

Bei neu ausgenutzten Schwachstellen zeigt sich die Woche etwas ruhiger, doch eine aktiv ausgenutzte Zero-Day-Lücke in Ivanti EPMM, eine kritische Android-RCE sowie anhaltende Ransomware-Aktivität halten die Lage angespannt — auch im deutschsprachigen Raum.

Automatisiert erstellt von CyberDeutsch Veröffentlicht 10.05.2026 ≈ 3 Min. Lesezeit
3 Aktiv ausgenutzte CVEs (KEV)
2 davon kritisch (CVSS)
218 Ransomware-Opfer
37 Aktive Gruppen

Überblick und Einordnung der Woche

Im Vergleich zur Vorwoche zeichnet sich bei den neu ausgenutzten Schwachstellen ein etwas ruhigeres Bild ab, ohne dass von Entspannung die Rede sein kann. Die Aufmerksamkeit konzentriert sich diesmal auf wenige, dafür gewichtige Brennpunkte: eine aktiv ausgenutzte Zero-Day-Lücke in der Mobile-Management-Lösung von Ivanti, eine kritische Schwachstelle im mobilen Ökosystem von Android sowie auf eine weiterhin rege Ransomware-Szene. Auffällig ist, dass auch Einrichtungen im deutschsprachigen Raum von den Vorfällen dieser Woche betroffen waren — die Lage ist damit nicht nur ein internationales Phänomen, sondern berührt unmittelbar Organisationen in unserer Region.

Die Mischung aus aktiv ausgenutzten Lücken in zentraler Infrastruktur, dem behördlichen Druck auf eine schnelle Behebung und einer breit aufgestellten Ransomware-Aktivität ergibt ein Wochenbild, das trotz der zahlenmäßig ruhigeren Lage zur Wachsamkeit mahnt. Wer Verwaltungs- und Zugangssysteme betreibt, sollte die nachfolgend beschriebenen Schwachstellen priorisiert prüfen.

Schwachstellen und ausgenutzte Sicherheitslücken

Im Mittelpunkt steht eine Schwachstelle in Ivanti Endpoint Manager Mobile (CVE-2026-6973): Eine unzureichende Eingabevalidierung erlaubt es einem aus der Ferne authentifizierten Nutzer, das System anzugreifen. Die Lücke wird aktiv ausgenutzt, was ihren Stellenwert in dieser Woche unterstreicht und den Handlungsdruck für Betreiber entsprechender Umgebungen erhöht.

Ebenfalls schwer wiegt eine Schwachstelle in PAN-OS von Palo Alto Networks (CVE-2026-0300). Betroffen ist der Dienst des User-ID-Authentifizierungsportals, das auch als Captive Portal bekannt ist; ein Out-of-Bounds-Write-Fehler eröffnet hier eine gefährliche Angriffsfläche in einer zentralen Netzwerkkomponente. Da derartige Gateways an der Schnittstelle zwischen internem Netz und Internet stehen, kommt ihrer zeitnahen Absicherung besondere Bedeutung zu.

Hinzu kommt eine Schwachstelle in BerriAI LiteLLM (CVE-2026-42208), bei der eine SQL-Injection einem Angreifer das Auslesen von Daten aus der Datenbank des Proxys ermöglicht. Der Fall ist insofern bemerkenswert, als er den zunehmenden Einzug von KI- und LLM-Komponenten in produktive Infrastrukturen widerspiegelt — und damit auch deren Schwachstellen in den Fokus der Sicherheitsbetrachtung rückt. Wer solche Proxy-Dienste einsetzt, sollte sie ebenso konsequent in das eigene Schwachstellenmanagement einbeziehen wie klassische Server- und Netzwerksoftware.

Ransomware-Lage

Die Ransomware-Szene zeigt sich auch in dieser Woche aktiv und breit aufgestellt. Unter den auffälligsten Akteuren finden sich thegentlemen, qilin, medusalocker, safepay, akira, incransom und LeakBazaar; diese Auswahl bildet das aktuelle Geschehen ab, ohne die Aktivität abschließend abzubilden. Das Nebeneinander etablierter Namen und weiterer Gruppierungen verdeutlicht, dass das erpresserische Geschäftsmodell unverändert tragfähig bleibt und sich auf eine Vielzahl von Branchen verteilt.

Betroffen sind dem Lagebild zufolge Organisationen unterschiedlicher Sektoren, wobei auch Einrichtungen im deutschsprachigen Raum ins Visier gerieten. Die anhaltende Aktivität mehrerer Gruppen parallel macht deutlich, dass es weniger um einzelne spektakuläre Kampagnen geht als um eine dauerhafte Grundbelastung. Für Verteidiger bedeutet das: Wiederherstellungsfähigkeit, getestete Backups und eine konsequente Absicherung von Fernzugängen bleiben die entscheidenden Stellschrauben, gerade weil die Bandbreite der aktiven Gruppen ein breites Spektrum an Vorgehensweisen abdeckt.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung wird maßgeblich von der Ivanti-Thematik geprägt. So schließt der Hersteller eine aktiv ausgenutzte Zero-Day-Lücke in EPMM, während die US-Sicherheitsbehörde CISA den US-Behörden eine eng bemessene Vier-Tage-Frist zur Behebung der EPMM-Schwachstelle setzt. Dieser ungewöhnlich kurze Zeitrahmen signalisiert die Dringlichkeit, mit der die Lücke eingeordnet wird, und dürfte auch über den behördlichen Bereich hinaus als Maßstab für die eigene Priorisierung dienen.

Daneben steht eine kritische RCE-Lücke in Android im Fokus, für die Google einen Patch bereitstellt. Angesichts der enormen Verbreitung der Plattform kommt der zügigen Verteilung der Aktualisierung besondere Bedeutung zu. Schließlich machen aktive Angriffe auf eine cPanel-Schwachstelle von sich reden, in deren Verlauf Webseiten und sogar Backups vollständig gelöscht wurden — ein Vorfall, der eindringlich vor Augen führt, wie wichtig vom Produktivsystem getrennte, nicht überschreibbare Sicherungskopien sind. In der Summe fügen sich diese Themen zu einem Wochenbild, das trotz ruhigerer Kennzahlen klare Handlungsaufforderungen an Betreiber und Administratoren richtet.

In dieser Ausgabe