Zum Inhalt springen
← Zurück
Täglich kuratiert

Security-News

Relevante IT-Security Meldungen mit kurzer strategischer Einordnung - gefiltert auf das Wesentliche für KMUs und IT-Teams.

Deutschland-Radar

Aktuelle Bedrohungslage

Wie viele Geräte in Deutschland sind heute ungeschützt im Internet erreichbar?

1
MongoDB ohne SchutzAktuell ist 1 dieses Systems in Deutschland ungeschützt im Internet sichtbar.
Risiko

Jeder kann Ihre Daten lesen und löschen. Das ist ein großes Sicherheitsloch.

Empfehlung

Setzen Sie sofort ein starkes Passwort und verstecken Sie die Datenbank hinter einer Firewall.

Stand: 29.06.2026 · wöchentlich aktualisiert · Datenquelle: Shodan.

Ransomware-Radar

49 Angriffe im Juni 2026

Im Juni 2026 war Deutschland erneut stark von Ransomware-Angriffen betroffen – mit insgesamt über 50 registrierten Vorfällen in einem einzigen Monat. Besonders im Visier standen produzierende Unternehmen, Dienstleister und der Gesundheitsbereich, wobei auch kritische Bereiche wie Rüstung, öffentliche Verwaltung und Energie nicht verschont blieben. Die gestohlenen Daten umfassen in vielen Fällen hochsensible Mitarbeiter- und Kundendaten, Finanzdokumente sowie Betriebsgeheimnisse – was die Angriffe besonders folgenreich macht. Die Bedrohungslage bleibt angespannt: Mehrere international aktive Hackergruppen greifen gezielt deutsche Unternehmen jeder Größe an, von kleinen Handwerksbetrieben bis hin zu Großkonzernen.

Betroffene Branchen
FertigungBusiness ServicesGesundheitswesenTechnologieÖffentlicher Sektor
Aktive Gruppen
safepaythegentlemenqilinauroralockbit5

Stand: 01.07.2026 · Datenquelle: ransomware.live

80 Meldungen insgesamt

thehackernews.com

Neue Malware 'Umbrij' greift Gmail-Konten via API an

Was ist passiert?
The Hacker News berichtet, dass die Angreifergruppe 'ToddyCat' eine neue Schadsoftware namens 'Umbrij' einsetzt, die ueber die Google-API und missbraeuchlich erworbene OAuth-Zugriffsrechte unbemerkt auf Unternehmens-E-Mails in Gmail zugreift.
Warum relevant?
Fuer Unternehmen, die Google Workspace und Gmail fuer ihre Geschaeftskommunikation nutzen, ist das besonders brisant, da die Malware ohne sichtbaren Login agiert und klassische Passwort-Schutzmanahmen umgeht.
Was ist zu tun?
Prueft alle OAuth-Apps und Drittanbieter-Berechtigungen in eurem Google-Workspace-Konto und entzieht nicht benoetigten Apps den Zugriff umgehend.
handelsblatt.com

EuGH bestaetigt Milliarden-Strafe gegen Google

Was ist passiert?
Das Handelsblatt berichtet, dass der Europaeische Gerichtshof eine Rekordstrafe gegen Google wegen wettbewerbswidrigen Vorinstallierens eigener Apps auf Android-Geraeten rechtskraeftig bestaetigt hat.
Warum relevant?
Das Urteil zeigt, dass die EU-Wettbewerbsbehoerden Tech-Konzerne konsequent in die Pflicht nehmen, was langfristig die Wahlfreiheit bei Unternehmens-Software und Mobilgeraeten staerken koennte.
Was ist zu tun?
Kein unmittelbarer Handlungsbedarf fuer KMU, aber es lohnt sich, Geraete-Richtlinien regelmaessig zu ueberpruefen und nicht blind auf vorinstallierte Standardloesungen zu setzen.
handelsblatt.com

Snowflake-Chef warnt vor steigenden KI-Kosten

Was ist passiert?
Das Handelsblatt berichtet, dass Snowflake-CEO Sridhar Ramaswamy eine Zusammenarbeit mit Meta fuer unwahrscheinlich haelt und gleichzeitig Unternehmen vor unkontrolliert wachsenden Ausgaben fuer KI-Dienste warnt.
Warum relevant?
Fuer den Mittelstand ist das ein klares Signal: KI-Projekte koennen schnell teuer werden, wenn Kosten nicht von Anfang an eng gesteuert werden.
Was ist zu tun?
Pruefe regelmaessig die tatsaechlichen Nutzungskosten eurer KI-Dienste und legt interne Budgetgrenzen fest, bevor die Rechnungen ueberraschen.
handelsblatt.com

Meta plant Einstieg ins Cloud-Geschäft als AWS-Konkurrent

Was ist passiert?
Das Handelsblatt berichtet, dass der Facebook-Mutterkonzern Meta einen Einstieg in den Cloud-Markt erwägt und damit direkt in Konkurrenz zu etablierten Anbietern wie AWS und Azure treten würde.
Warum relevant?
Für den Mittelstand könnte ein weiterer großer Anbieter mittelfristig mehr Wettbewerb bedeuten - und damit günstigere Preise oder neue Wahlmöglichkeiten bei der Cloud-Infrastruktur.
Was ist zu tun?
Handlungsbedarf besteht aktuell nicht; verfolgen Sie die Entwicklung, um bei zukünftigen Cloud-Entscheidungen alle Anbieter vergleichen zu können.
thehackernews.com

Gefälschte Software-Seiten schleusen Fernzugriffs-Trojaner ein

Was ist passiert?
Kaspersky hat laut The Hacker News eine weitreichende Angriffskampagne aufgedeckt, bei der täuschend echte Kopien bekannter Software-Download-Seiten genutzt werden, um Schadcode zu verbreiten. Die gefälschten Installationspakete tarnen sich als legitime Programme wie 'OBS Studio' oder 'DS4Windows' und schleusen dabei den Fernzugriffs-Trojaner 'AsyncRAT' über das Werkzeug 'ScreenConnect' ein.
Warum relevant?
Mitarbeiter, die Software eigenständig aus dem Internet herunterladen, können unwissentlich Angreifern dauerhaften Fernzugriff auf Firmenrechner verschaffen.
Was ist zu tun?
Weisen Sie Mitarbeiter an, Software ausschließlich über offizielle Hersteller-Websites oder interne Freigabelisten zu beziehen, und prüfen Sie, ob 'ScreenConnect' in Ihrem Netzwerk unbefugt aktiv ist.
thehackernews.com

Argo CD: Ungepatchte Lücke bedroht Kubernetes-Cluster

Was ist passiert?
The Hacker News berichtet, dass Sicherheitsforscher von Synacktiv eine ungepatchte Schwachstelle im 'Argo CD'-Repository-Server entdeckt haben, über die Angreifer ohne Authentifizierung Code ausführen können. Einen Fix oder eine CVE-Nummer gibt es bislang nicht.
Warum relevant?
Wer Kubernetes für die Software-Bereitstellung nutzt und dabei 'Argo CD' einsetzt, ist potenziell gefährdet - ein erfolgreicher Angriff kann zur vollständigen Übernahme des Clusters führen.
Was ist zu tun?
Prüfen Sie, ob 'Argo CD' in Ihrer Umgebung eingesetzt wird, und stellen Sie sicher, dass der Repo-Server nicht aus dem Internet oder von nicht vertrauenswürdigen Netzsegmenten erreichbar ist.
thehackernews.com

WhatsApp führt Nutzernamen ein: Telefonnummer bleibt privat

Was ist passiert?
The Hacker News meldet, dass WhatsApp die globale Vergabe von Nutzernamen gestartet hat, sodass Kontakte kuenftig ohne Weitergabe der Telefonnummer angeschrieben werden koennen. Das Feature ist optional und wird schrittweise fuer alle Nutzer ausgerollt.
Warum relevant?
Unternehmen, die WhatsApp fuer Kundenkommunikation nutzen, profitieren davon, dass Mitarbeiter-Telefonnummern nicht mehr oeffentlich geteilt werden muessen, was das Risiko von Spam und Phishing-Angriffen auf diese Nummern reduziert.
Was ist zu tun?
Informieren Sie Mitarbeiter, die WhatsApp geschaeftlich nutzen, ueber die neue Funktion und empfehlen Sie, einen Nutzernamen zu reservieren, sobald das Feature verfuegbar ist.
thehackernews.com

Gefälschte 'Perplexity'-Erweiterung spionierte Chrome-Nutzer aus

Was ist passiert?
Microsoft hat laut The Hacker News eine boeswillige Chrome-Erweiterung entdeckt, die sich als der KI-Suchdienst 'Perplexity' ausgab und saemtliche Suchanfragen sowie Adressleisteneingaben unbemerkt an Angreifer weiterleitete. Google hat die Erweiterung nach einer verantwortungsvollen Meldung aus dem Chrome Web Store entfernt.
Warum relevant?
Browser-Erweiterungen haben weitreichenden Zugriff auf alle eingegebenen Daten, einschliesslich Passwoerter und vertrauliche Interna. Besonders gefaehrlich ist, dass solche Erweiterungen oft ueber laengere Zeit unentdeckt bleiben.
Was ist zu tun?
Erstellen Sie eine Unternehmensrichtlinie, die Browser-Erweiterungen nur aus geprueften Quellen erlaubt. Pruefen Sie alle installierten Erweiterungen auf Firmengeraeten und entfernen Sie nicht autorisierte oder unbekannte Eintraege sofort.
thehackernews.com

236.000 gefälschte Websites missbrauchen Open-Source-Framework für Betrug

Was ist passiert?
The Hacker News berichtet, dass Forscher von Infoblox mehr als 236.000 Websites identifiziert haben, die auf Betrugsvorlagen basieren und das legitime Open-Source-Framework 'DCloud Uni-App' missbrauchen. Diese Seiten tarnen sich als Kryptoboersen, Gluecksspielplattformen oder bekannte Marken, um Nutzer um ihr Geld zu bringen.
Warum relevant?
Mitarbeiter in jedem Unternehmen koennen auf solche professionell wirkenden Seiten hereinfallen und Zugangsdaten oder Gelder verlieren. Die schiere Masse an Domains erschwert das Blocken durch einfache Filterlisten erheblich.
Was ist zu tun?
Schulen Sie Mitarbeiter regelmaessig zu Phishing- und Investment-Betrug. Setzen Sie einen DNS-Filterdienst ein, der bekannte Betrugsdomain-Cluster automatisch sperrt.
thehackernews.com

Angriffsmuster 'Cordyceps' bedroht Software-Lieferketten

Was ist passiert?
The Hacker News berichtet, dass Sicherheitsforscher von Novee Security ein neues Angriffsmuster namens 'Cordyceps' identifiziert haben, das Schwachstellen in CI/CD-Workflows ausnutzt und ueber 300 GitHub-Repositories - darunter Projekte von Microsoft, Google und Apache - angreifbar macht.
Warum relevant?
Unternehmen, die Open-Source-Bibliotheken oder externe Software-Pakete einsetzen, koennten ohne eigenes Zutun kompromittierte Komponenten in ihre Produkte oder Systeme uebernehmen.
Was ist zu tun?
Lassen Sie Ihre Entwicklungsabteilung pruefen, ob extern bezogene Pakete aus betroffenen Repositories stammen, und erwaegen Sie den Einsatz von Software-Herkunftsnachweisen (SBOM).
thehackernews.com

CISA: Kritische Lucke in Lantronix EDS5000 aktiv ausgenutzt

Was ist passiert?
The Hacker News berichtet, dass die US-Behoerde CISA vor der aktiven Ausnutzung einer kritischen Schwachstelle (CVE-2025-67038, CVSS 9,8) in 'Lantronix EDS5000'-Geraeten warnt, die Angreifern die Ausfuehrung von Schadcode ermoeglichen kann.
Warum relevant?
Lantronix-Geraete werden haeufig in industriellen Umgebungen und zur seriellen Netzwerkanbindung eingesetzt - ein erfolgreicher Angriff kann ganze Produktionsnetzwerke gefaehrden.
Was ist zu tun?
Pruefen Sie sofort, ob 'Lantronix EDS5000'-Geraete in Ihrem Netzwerk betrieben werden, und spielen Sie den vom Hersteller bereitgestellten Patch bis spaetestens 26. Juni 2026 ein.
thehackernews.com

US-Justiz beschlagnahmt Cloud-Konto von Geldwaesche-Netzwerk

Was ist passiert?
The Hacker News berichtet, dass das US-Justizministerium ein Cloud-Konto von Tochterunternehmen der kambodschanischen 'HuiOne Group' beschlagnahmt hat, das mutmasslich zur Verschleierung von Betrugsgewinnen genutzt wurde.
Warum relevant?
Der Fall zeigt, dass Cloud-Dienste aktiv fuer Finanzkriminalitaet missbraucht werden - Unternehmen, die internationale Zahlungsdienstleister oder Cloud-Anbieter nutzen, sollten ihre Partner regelmaessig auf Compliance pruefen.
Was ist zu tun?
Ueberpruefen Sie die Compliance-Zertifizierungen Ihrer Cloud- und Zahlungsdienstleister regelmaessig und melden Sie auffaellige Transaktionen umgehend an Ihre Compliance-Abteilung.
handelsblatt.com

Energie als KI-Flaschenhals: Was bedeutet das fuer den Mittelstand?

Was ist passiert?
Das Handelsblatt zitiert Ex-AWS-Chef Adam Selipsky mit der Einschaetzung, dass Energiekapazitaet heute die zentrale Wachstumsbremse fuer KI-Rechenzentren darstellt.
Warum relevant?
Engpaesse bei Rechenzentrums-Energie koennen Cloud-Kosten steigen lassen und die Verfuegbarkeit von KI-Diensten einschraenken, auf die Mittelstaendler zunehmend setzen.
Was ist zu tun?
Beobachten Sie Preis- und Verfuegbarkeitsentwicklungen Ihrer Cloud- und KI-Anbieter und pruefen Sie, ob kritische Dienste durch Alternativanbieter absicherbar sind.
thehackernews.com

'FortiBleed': Massiver Angriff auf FortiGate-Firewalls

Was ist passiert?
The Hacker News berichtet, dass eine russischsprachige Angreifergruppe seit Februar 2026 unter dem Namen 'FortiBleed' ueber 430.000 FortiGate-Firewalls weltweit angegriffen und dabei mehr als 110 Millionen Zugangsdaten gesammelt haben soll.
Warum relevant?
FortiGate-Firewalls sind im deutschen Mittelstand weit verbreitet; erbeutete Zugangsdaten ermoeglichen Angreifern den direkten Einstieg in Unternehmensnetzwerke.
Was ist zu tun?
Pruefen Sie sofort, ob Ihre FortiGate-Geraete mit dem Internet erreichbar sind, aendern Sie alle Administrationspasswoerter und stellen Sie sicher, dass aktuelle Firmware-Updates eingespielt sind.
thehackernews.com

KI-Agenten als neues Einfallstor für Unternehmensnetze

Was ist passiert?
The Hacker News berichtet, dass die Sicherheitsfirma 'AIR' einen gefaelschten KI-Agenten-Skill in einem oeffentlichen Marktplatz veroeffentlichte, der alle getesteten Sicherheitsscanner unbemerkt passierte und rund 26.000 Agenten erreichte.
Warum relevant?
Unternehmen, die KI-Agenten-Plattformen einsetzen, koennen sich nicht allein auf automatische Scans verlassen, da diese gefaelschte Erweiterungen aktuell nicht zuverlaessig erkennen.
Was ist zu tun?
Erlauben Sie nur intern geprueften und freigegebenen KI-Erweiterungen den Einsatz im Unternehmen und fuehren Sie eine manuelle Freigabeliste fuer KI-Skills ein.
thehackernews.com

OpenAI stellt KI-Modell fuer Schwachstellenanalyse bereit

Was ist passiert?
The Hacker News berichtet, dass OpenAI im Rahmen seiner 'Daybreak'-Initiative ein verbessertes KI-Modell namens 'GPT-5.5-Cyber' veroeffentlicht hat, das Sicherheitsteams beim Auffinden und Beheben von Softwareschwaechstellen unterstuetzen soll.
Warum relevant?
KI-gestuetzte Sicherheitswerkzeuge koennen Schwachstellen in Unternehmens-Software schneller aufdecken, als es bisher moeglich war, was sowohl Angreifern als auch Verteidigern zugutekommt. Mittelstaendler sollten die Entwicklung im Blick behalten, da solche Tools bald auch in gaengigen Sicherheitsprodukten auftauchen werden.
Was ist zu tun?
Verfolgen Sie, ob Ihr Sicherheitsdienstleister oder Ihre eingesetzten Sicherheitstools KI-gestuetzte Analysen bereits anbieten oder planen, und fragen Sie aktiv danach.
thehackernews.com

INTERPOL: Phishing und Ransomware im Aufwind

Was ist passiert?
INTERPOL veroeffentlichte einen aktuellen Bericht, der einen starken Anstieg von Cyberkriminalitaet im asiatisch-pazifischen Raum dokumentiert, wobei Phishing als haeufigste Angriffsmethode identifiziert wurde.
Warum relevant?
Die beschriebenen Methoden wie Phishing, Ransomware und KI-gestuetzte Betrugsmaschen werden weltweit und damit auch gegen deutsche Mittelstaendler eingesetzt. Der Bericht zeigt, dass organisierte Kriminalitaet diese Angriffe systematisch skaliert.
Was ist zu tun?
Stellen Sie sicher, dass Ihr Unternehmen ueber aktuelle Anti-Phishing-Schulungen und eine geprueft funktionierende Datensicherung verfuegt, um im Ransomware-Fall handlungsfaehig zu bleiben.
thehackernews.com

Malware 'OXLOADER' verbreitet sich ueber Google-Anzeigen

Was ist passiert?
The Hacker News berichtet, dass Sicherheitsforscher von Elastic Security Labs eine neue Malware-Kampagne aufgedeckt haben, bei der gefaelschte Google-Anzeigen zur Verbreitung des Datendiebstahl-Schadprogramms 'CastleStealer' genutzt werden. Als Lader dient dabei ein bisher unbekanntes Programm namens 'OXLOADER'.
Warum relevant?
Mitarbeiter im Mittelstand klicken taeglich auf Suchergebnisse und Anzeigen; solche Kampagnen zielen auf Zugangsdaten und koennen Unternehmenssysteme kompromittieren. Eine russischsprachige, finanziell motivierte Gruppe steckt laut Analyse hinter der Kampagne.
Was ist zu tun?
Sensibilisieren Sie Ihre Mitarbeiter, bei Softwaredownloads ausschliesslich offizielle Hersteller-Webseiten zu nutzen und auf Anzeigen in Suchergebnissen grundsaetzlich skeptisch zu reagieren. Setzen Sie einen werbeblockierenden DNS-Filter ein, falls noch nicht vorhanden.
heise.de

PTC Windchill: BSI warnt nachts vor kritischer Sicherheitslücke (CVSS 10.0)

Was ist passiert?
Heise berichtet, dass ein BSI-Mitarbeiter mitten in der Nacht ein Unternehmen anrief, um vor einer kritischen Sicherheitslücke in der PLM-Software Windchill zu warnen. Die Lücke erlaubt unangemeldeten Angreifern aus dem Netz die Ausführung von Schadcode.
Warum relevant?
Windchill und FlexPLM von PTC werden in vielen Industrieunternehmen zur Steuerung von Produktdaten und Lieferprozessen eingesetzt. Die Schwachstelle erreicht mit CVSS 10.0 den höchsten Schweregrad und ist ohne Anmeldung automatisiert ausnutzbar.
Was ist zu tun?
Admins sollten umgehend auf eine gepatchte Version aktualisieren, etwa Windchill 13.1.3.4 oder 12.1.2.22. Ältere Installationen vor Version 11.0 M030 dürfen nicht direkt mit dem Internet verbunden sein, zudem sollten die von PTC veröffentlichten Kompromittierungsindikatoren geprüft werden.
heise.de

FortiBleed: Zugangsdaten von rund 74.000 Fortinet-Firewalls offengelegt

Was ist passiert?
Heise berichtet, dass Sicherheitsforscher rund 74.000 Fortinet-Firewalls mit offengelegten Zugangsdaten gefunden haben. Die Kampagne FortiBleed beruht auf geknackten Passwort-Hashes und wiederverwendeten Zugangsdaten, nicht auf einer neuen Sicherheitslücke.
Warum relevant?
Betroffen sind auch deutsche Organisationen wie die Telekom und Mercedes-Benz, weltweit zudem Konzerne wie Samsung und Siemens. Da Firewalls den Zugang zum gesamten Netzwerk schützen, drohen bei kompromittierten Geräten weitreichende Folgeangriffe.
Was ist zu tun?
Admins sollten alle Zugangsdaten auf Fortinet-Geräten sofort zurücksetzen und Mehrfaktor-Authentifizierung erzwingen. Zusätzlich sollte das Management-Interface vom Internet getrennt und FortiOS auf den neuesten Stand gebracht werden.