Im Juni 2026 war Deutschland erneut stark von Ransomware-Angriffen betroffen – mit insgesamt über 50 registrierten Vorfällen in einem einzigen Monat. Besonders im Visier standen produzierende Unternehmen, Dienstleister und der Gesundheitsbereich, wobei auch kritische Bereiche wie Rüstung, öffentliche Verwaltung und Energie nicht verschont blieben. Die gestohlenen Daten umfassen in vielen Fällen hochsensible Mitarbeiter- und Kundendaten, Finanzdokumente sowie Betriebsgeheimnisse – was die Angriffe besonders folgenreich macht. Die Bedrohungslage bleibt angespannt: Mehrere international aktive Hackergruppen greifen gezielt deutsche Unternehmen jeder Größe an, von kleinen Handwerksbetrieben bis hin zu Großkonzernen.
The Hacker News fasst zusammen, dass in der abgelaufenen Woche alte, ungepatchte Linux-Schwachstellen, kompromittierte Entwicklerwerkzeuge und Router-Botnets gleichzeitig für Angriffe genutzt wurden.
Warum relevant?
Vergessene Server und veraltete Netzwerkgeräte sind im Mittelstand häufig anzutreffen und bieten Angreifern eine leichte Angriffsfläche, die mit minimalem Aufwand ausgenutzt werden kann.
Was ist zu tun?
Inventarisieren Sie alle Netzwerkgeräte und Server, prüfen Sie deren Patchstand und ersetzen Sie Geräte, für die der Hersteller keine Updates mehr liefert.
The Hacker News berichtet, dass die nordkoreanische Lazarus-Gruppe mit einer neuen Malware namens RemotePE aktiv Finanz- und Kryptounternehmen angreift, wobei der Schadcode ausschließlich im Arbeitsspeicher läuft und so keine Spuren auf der Festplatte hinterlässt.
Warum relevant?
Rein speicherbasierte Angriffe umgehen klassische Antivirenlösungen zuverlässig, weshalb auch mittelständische Finanz- und Buchführungsdienstleister ein erhöhtes Risiko tragen.
Was ist zu tun?
Setzen Sie auf Endpoint-Detection-and-Response-Lösungen (EDR), die auch dateilose Angriffe im Arbeitsspeicher erkennen, und schulen Sie Mitarbeiter regelmäßig zu gezielten Phishing-Versuchen.
TechRadar berichtet, dass die Angreifergruppe Storm-2949 die Self-Service-Password-Reset-Funktion von Microsoft missbraucht, um Nutzer per Telefonanruf zur MFA-Freigabe zu verleiten. Danach übernehmen die Angreifer das Konto vollständig und stehlen Daten aus Microsoft 365 und Azure.
Warum relevant?
Betroffen sind Unternehmen, die Microsoft 365 oder Azure nutzen – also ein Großteil des deutschen Mittelstands. Die Angreifer zielen gezielt auf IT-Mitarbeiter und Führungskräfte, da diese breiten Datenzugriff haben.
Was ist zu tun?
Mitarbeiter schulen, niemals MFA-Anfragen auf Zuruf am Telefon zu bestätigen. Den Self-Service-Passwort-Reset in Microsoft Entra ID auf vertrauenswürdige Methoden und bekannte Geräte beschränken.
The Hacker News berichtet, dass Anthropics KI-Modell Claude Mythos Preview im Rahmen von Project Glasswing in einem Monat über 10.000 hochkritische Sicherheitslücken in weit verbreiteter Software gefunden hat. Von 1.726 bestätigten Schwachstellen wurden bisher erst 97 geschlossen.
Warum relevant?
Viele betroffene Projekte laufen als Open-Source-Komponenten auch in Unternehmensanwendungen im Mittelstand. Die kritische Lücke CVE-2026-5194 in der TLS-Bibliothek WolfSSL ermöglicht Zertifikatsfälschungen, die Angreifer nutzen könnten, um legitime Dienste zu imitieren.
Was ist zu tun?
Patch-Zyklen verkürzen und eingesetzte Open-Source-Bibliotheken auf CVE-2026-5194 prüfen. Administratoren sollten die WolfSSL-Version im eigenen Softwarestack identifizieren und verfügbare Updates umgehend einspielen.
The Hacker News berichtet, dass die Kampagne Megalodon am 18. Mai 2026 innerhalb von sechs Stunden 5.718 schädliche Commits in 5.561 GitHub-Repositorys eingeschleust hat. Die Angreifer nutzten gefälschte Accounts und injizierten GitHub-Actions-Workflows, die Cloud-Zugangsdaten, SSH-Schlüssel und OIDC-Token an einen externen Server übertrugen.
Warum relevant?
Unternehmen, die GitHub für ihre Software-Entwicklung nutzen, sind direkt betroffen, wenn betroffene Repositories in eigene CI/CD-Pipelines eingebunden werden. Die gestohlenen Zugangsdaten können für Folgeangriffe auf AWS-, GCP- oder Azure-Umgebungen verwendet werden.
Was ist zu tun?
IT-Verantwortliche sollten alle GitHub-Repositories auf unbekannte Workflow-Dateien unter .github/workflows/ prüfen und aktuelle CI/CD-Secrets sowie Cloud-Zugangsdaten rotieren. SafeDep hat eine vollständige Liste der betroffenen Repositories veröffentlicht.
The Hacker News berichtet, dass Cisco eine maximale CVSS-10-Schwachstelle (CVE-2026-20223) in Secure Workload geschlossen hat, die unauthentifizierten Remotezugriff auf die REST API ermöglichte.
Warum relevant?
Eine CVSS-10-Bewertung bedeutet maximale Gefahr: Angreifer könnten ohne Anmeldedaten auf sensible Daten in Cisco Secure Workload-Umgebungen zugreifen.
Was ist zu tun?
Prüfen Sie, ob Cisco Secure Workload in Ihrem Unternehmen eingesetzt wird, und spielen Sie das Sicherheitsupdate von Cisco unverzüglich ein.
The Hacker News berichtet, dass die US-Behörde CISA zwei aktiv ausgenutzte Schwachstellen in Langflow (CVE-2025-34291, CVSS 9.4) und Trend Micro Apex One in ihre KEV-Liste aufgenommen hat.
Warum relevant?
Wer Trend Micro Apex One als Endpoint-Schutz einsetzt oder KI-Workflows mit Langflow betreibt, ist akut gefährdet – aktive Ausnutzung bedeutet, dass Angreifer die Lücken bereits kennen und einsetzen.
Was ist zu tun?
Trend Micro Apex One sofort auf den aktuellen Patch-Stand bringen. Langflow-Instanzen vom Internet trennen oder umgehend aktualisieren.
Das Handelsblatt berichtet, dass das Bundesdigitalministerium T-Systems mit dem Aufbau einer souveränen KI-Cloud-Infrastruktur für die Bundesverwaltung beauftragt hat und dafür 250 Millionen Euro bereitstellt.
Warum relevant?
Das Projekt setzt ein klares Signal für Cloud-Souveränität in Deutschland – Mittelständler, die mit Behörden zusammenarbeiten, sollten beobachten, welche Anforderungen an Datenhaltung und KI-Nutzung daraus folgen.
Was ist zu tun?
Prüfen Sie, ob Ihre eigene Cloud-Strategie Anforderungen an digitale Souveränität erfüllt. Bei Behördengeschäft: Datenhaltungsort und Zertifizierungen (z. B. BSI C5) im Blick behalten.
The Hacker News berichtet, dass Microsoft zwei Open-Source-Werkzeuge namens RAMPART und Clarity bereitgestellt hat, mit denen Entwickler die Sicherheit von KI-Agenten systematisch testen können.
Warum relevant?
Unternehmen, die KI-Agenten oder automatisierte KI-Workflows entwickeln oder einsetzen, erhalten damit kostenlose Werkzeuge zur Sicherheitsprüfung ihrer Systeme.
Was ist zu tun?
Wenn Sie KI-basierte Anwendungen entwickeln oder planen, informieren Sie Ihre Entwickler über diese Tools und ziehen Sie deren Einsatz in Ihrer Test-Pipeline in Betracht.
The Hacker News berichtet, dass im Drupal-Kern eine als hochkritisch eingestufte Schwachstelle (CVE-2026-9082, CVSS 6.5) entdeckt wurde, die auf Systemen mit PostgreSQL-Datenbank Remote-Code-Ausführung erlaubt.
Warum relevant?
Unternehmen, die ihre Webseite oder ihr Intranet mit Drupal betreiben und dabei PostgreSQL verwenden, riskieren eine vollständige Kompromittierung des Webservers durch externe Angreifer.
Was ist zu tun?
Aktualisieren Sie Drupal umgehend über das offizielle Admin-Panel oder führen Sie 'composer update drupal/core' aus und prüfen Sie anschließend die Drupal-Sicherheitsseite auf weitere Hinweise.
Das Handelsblatt berichtet, dass Thales und Google Cloud gemeinsam eine Plattform starten, die deutschen Firmen und Behörden Schutz vor ausländischen Datenzugriffen bieten soll.
Warum relevant?
Für mittelständische Unternehmen, die Cloud-Dienste nutzen und Datenschutzanforderungen erfüllen müssen, könnte dies eine Alternative zu rein US-amerikanischen Cloud-Angeboten darstellen.
Was ist zu tun?
Prüfen Sie, ob Ihre aktuellen Cloud-Verträge den Anforderungen der DSGVO und möglicher Branchenregulierung genügen, und beobachten Sie dieses Angebot als potenzielle Option.
The Hacker News berichtet, dass Microsoft eine kriminelle Infrastruktur abgeschaltet hat, die Microsofts eigenes Code-Signing-System missbrauchte, um Schadsoftware für Ransomware-Angriffe zu signieren.
Warum relevant?
Signierte Schadsoftware wird von vielen Sicherheitslösungen als vertrauenswürdig eingestuft – solche Angriffe sind für KMU besonders gefährlich, weil sie Standard-Schutzmaßnahmen umgehen.
Was ist zu tun?
Stellen Sie sicher, dass Ihr Endpoint-Schutz verhaltensbasierte Erkennung nutzt und nicht ausschließlich auf digitale Signaturen vertraut.
The Hacker News berichtet, dass Microsoft zwei quelloffene Werkzeuge namens RAMPART und Clarity veröffentlicht hat, die Entwickler beim Sicherheitstest von KI-Agenten unterstützen sollen.
Warum relevant?
Wer im Unternehmen KI-Agenten entwickelt oder einsetzt, steht vor neuen Sicherheitsrisiken – diese Tools senken die Einstiegshürde für systematische Tests.
Was ist zu tun?
Entwicklungsteams, die KI-Agenten bauen, sollten RAMPART und Clarity in ihre Test-Pipelines aufnehmen.
Das Handelsblatt berichtet, dass Thales und Google Cloud eine gemeinsame Plattform starten, die deutsche Unternehmensdaten vor dem Zugriff ausländischer Behörden schützen soll.
Warum relevant?
Für den Mittelstand könnte dieses Angebot eine Alternative sein, wenn Cloud-Dienste bisher wegen Datenschutzbedenken gemieden wurden – insbesondere vor dem Hintergrund des US-amerikanischen CLOUD Act.
Was ist zu tun?
Prüfen Sie, ob Ihre Cloud-Strategie eine solche souveräne Lösung erfordert, und beobachten Sie das Angebot bei seiner Markteinführung.
The Hacker News berichtet, dass GitHub einen mutmaßlichen unbefugten Zugriff auf interne Code-Repositories untersucht, nachdem die Hackergruppe TeamPCP angeblich Quellcode zum Verkauf angeboten hat.
Warum relevant?
Auch wenn GitHub betont, dass Kundendaten bisher nicht betroffen scheinen, könnten interne Schwachstellen oder Geheimnisse im gestohlenen Code zukünftige Angriffe auf die Plattform ermöglichen – GitHub ist für viele KMU zentrales Entwicklungswerkzeug.
Was ist zu tun?
Verfolgen Sie die offiziellen GitHub-Mitteilungen und prüfen Sie, ob sensible Zugangsdaten oder API-Schlüssel in Ihren Repositories hinterlegt sind – diese sollten umgehend rotiert werden.
Das Handelsblatt berichtet, dass Google und der Finanzinvestor Blackstone offenbar eine gemeinsame KI-Cloud-Firma gründen wollen, wobei Blackstone fünf Milliarden Dollar einbringen und Google die Hardware liefern soll.
Warum relevant?
Eine neue große KI-Cloud-Plattform könnte mittelfristig das Angebot und die Preise im Cloud-Markt verändern – relevant für KMU, die Cloud-Dienste für KI-Anwendungen evaluieren.
Was ist zu tun?
Beobachten Sie die Entwicklung, bevor Sie langfristige Cloud-Verträge abschließen – neue Anbieter können das Preis-Leistungs-Gefüge verschieben.
Bleeping Computer berichtet, dass Microsoft einen Fehler in Teams auf macOS bestätigt hat, bei dem ein Standort-Dialogfenster dauerhaft eingeblendet wird und sich nicht schließen lässt. Ursache soll ein macOS-Systemupdate sein.
Warum relevant?
Unternehmen, die Teams auf Mac-Geräten einsetzen, können derzeit auf betroffenen Systemen nicht störungsfrei arbeiten – das betrifft den laufenden Betrieb.
Was ist zu tun?
Prüfen Sie, ob das Problem bei Ihnen auftritt, und halten Sie Teams auf dem aktuellen Stand – Microsoft arbeitet laut eigenen Angaben an einer Lösung.
The Hacker News berichtet, dass Drupal am 20. Mai 2026 zwischen 17 und 21 Uhr UTC Sicherheitsupdates für alle unterstützten Core-Versionen veröffentlichen wird. Laut Drupal könnten Exploits innerhalb weniger Stunden nach der Veröffentlichung erscheinen.
Warum relevant?
Betroffen sind die Versionen 10.5.x, 10.6.x, 11.2.x und 11.3.x, die viele Unternehmen für öffentliche Websites einsetzen. Auch End-of-Life-Versionen wie Drupal 8 und 9 erhalten Notfall-Patches, allerdings ohne Garantie auf Korrektheit.
Was ist zu tun?
Admins sollten Drupal noch heute auf den aktuellen Patch-Stand bringen und am 20. Mai das Sicherheitsupdate sofort einspielen. Wer noch Drupal 8 oder 9 betreibt, sollte zeitnah auf Drupal 10.6 migrieren.
Das BSI meldet, dass Google und Microsoft Sicherheitsaktualisierungen für Chrome und Edge veröffentlicht haben, die 63 Schwachstellen schließen. Betroffen sind alle Versionen von Chrome vor 148.0.7778.168 und Edge vor 148.0.3967.70 auf Windows, macOS und Linux.
Warum relevant?
Angreifer könnten über präparierte Webseiten Schadcode ausführen oder Sicherheitsmechanismen umgehen. Chrome und Edge sind in nahezu jedem Unternehmen im Einsatz, der Handlungsbedarf betrifft damit praktisch alle KMU.
Was ist zu tun?
Browser sofort aktualisieren: Chrome auf Version 148.0.7778.168 oder höher, Edge auf 148.0.3967.70 oder höher. Automatische Updates prüfen und ggf. manuell anstoßen.
Das BSI meldet, dass der Huawei Router HG630 V2 eine Schwachstelle enthält, durch die ein entfernter, nicht authentifizierter Angreifer Informationen auslesen kann, die administrativen Zugang zum Gerät ermöglichen (CVE-2020-37220, Schweregrad: hoch).
Warum relevant?
Der HG630 V2 ist ein Heimrouter, der auch in kleinen Unternehmen eingesetzt wird. Ein erfolgreicher Angriff gibt vollständige Kontrolle über den Router und damit über den gesamten Netzwerkverkehr.
Was ist zu tun?
Prüfen, ob das Modell HG630 V2 im Einsatz ist, und beim Hersteller nach einem Firmware-Update anfragen. Bis dahin den Fernzugriff auf das Gerät deaktivieren und den Router durch ein aktuelles Modell ersetzen.