Ein autonomer KI-Agent braucht 18 Minuten, um Bains Competitive-Intelligence-Plattform Pyxis zu kompromittieren. Keine Zero-Days, kein Social Engineering, kein Brute Force. Nur eine JavaScript-Datei, die ein hartcodiertes Passwort enthält. Dahinter: 159 Milliarden Zeilen Verbrauchertransaktionsdaten, Wettbewerbsstrategien von Fortune-500-Unternehmen und fast 10.000 KI-Konversationen, in denen Kunden gezielt nach ihren Konkurrenten fragten.

Das Sicherheitsunternehmen CodeWall veröffentlichte den Bericht am 13. April 2026 im Rahmen einer Responsible-Disclosure-Vereinbarung. Bain hat die Schwachstellen innerhalb von 24 Stunden behoben. Aber der Vorfall ist größer als ein einzelner Patch — denn Bain ist nicht allein. Es ist das dritte Unternehmen der „Big Three“ der Unternehmensberatung, das CodeWall auf dieselbe Weise kompromittiert hat.

Drei für drei: McKinsey, BCG, Bain

CodeWall hat seit März 2026 alle drei großen Strategieberatungen gehackt — jeweils mit einem autonomen KI-Agenten, ohne menschliche Steuerung:

McKinsey (März 2026, 2 Stunden): SQL-Injection in der internen KI-Plattform Lilli — genutzt von über 43.000 Beratern. Ergebnis: Lese- und Schreibzugriff auf die Produktionsdatenbank mit 46,5 Millionen Chat-Nachrichten im Klartext. Kritisch: Die System-Prompts, die Lillis Verhalten steuern, lagen in derselben Datenbank — ein Angreifer hätte die KI für 43.000 Nutzer lautlos manipulieren können.

BCG (März 2026): Ein unauthentifizierter SQL-Execution-Endpoint auf BCGs X Portal. Dahinter: 131 Terabyte, 3,17 Billionen Datenzeilen. Keine Authentifizierung erforderlich.

Bain (März 2026, 18 Minuten): Hartcodierte Zugangsdaten in einer öffentlich ausgelieferten JavaScript-Datei auf der Pyxis-Plattform.

Das Muster: Drei Unternehmen, die zusammen Milliarden für Technologieberatung umsetzen, hatten alle kritische Schwachstellen in ihren KI-Plattformen. Und klassische Penetrationstests — wahrscheinlich regelmäßig durchgeführt, wahrscheinlich sechsstellig budgetiert — haben keine davon gefunden.

Was genau bei Bain passiert ist

Der CodeWall-Agent begann mit nichts weiter als dem Firmennamen „Bain“. Innerhalb von Minuten kartierte er Bains externe Infrastruktur: Hunderte Subdomains, Login-Portale, API-Gateways. Die meiste Angriffsfläche war sauber abgesichert.

Aber Pyxis, Bains Competitive-Intelligence-Plattform, war die Ausnahme. Der Agent fand in einem JavaScript-Bundle, das als Teil der Pyxis-Website öffentlich ausgeliefert wurde, ein hartcodiertes Service-Account-Passwort. Kein Exploit nötig — die Datei war für jeden im Internet herunterladbar.

Mit den Credentials etablierte der Agent eine authentifizierte Session auf der Produktionsplattform und fand einen API-Endpoint, der rohe SQL-Payloads akzeptierte und Ergebnisse über Fehlermeldungen zurückgab — direkter Zugang zur Produktionsdatenbank. Der Service-Account war nicht eingeschränkt: Hunderte Berechtigungen und Rollen mit Lese-Schreib-Zugriff über 11 Datenbanken.

Was auf der anderen Seite lag

159 Milliarden Zeilen pseudonymisierter Verbrauchertransaktionsdaten — Postleitzahlen, Einkommenskategorien, Händlerdetails, Bestellsummen. Bei einer Zeile pro Sekunde: über 5.000 Jahre Lesezeit.

Firmennamen und Daten von Fortune-500-Unternehmen — Einzelhändler, Fluggesellschaften, Luxusmarken, Restaurantketten. Jeder Name war einem Datenbankschema zugeordnet, das die tatsächlichen Datenassets enthält, die Bain für diesen Kunden aufgebaut hat.

9.989 KI-Konversationen — einschließlich externer Mitarbeiter von Bain-Kunden. Die brisante Pointe: Kunden fragten gezielt nach ihren Wettbewerbern. Ein Mitarbeiter von Unternehmen A fragt: „Wie hat sich der durchschnittliche Bestellwert bei Unternehmen B im dritten Quartal verändert?“ Ein Mitarbeiter von Unternehmen C fragt: „Wie viele Kunden hat Unternehmen D an Unternehmen E verloren?“

Schlimmer als Datendiebstahl: Persistenz und Eskalation

Die eigentliche Gefährdung lag nicht im Datenzugang, sondern in den Eskalationspfaden:

Identitätsinfrastruktur kompromittierbar: Ein GraphQL-API-Endpoint erlaubte die Erstellung beliebiger Benutzerkonten und die direkte Modifikation des Okta-Verzeichnisses — ohne zusätzliche Authentifizierung. Ein Angreifer hätte sich direkt in Bains Identity-Infrastruktur einbetten können. Selbst nach Rotation der Credentials hätte der Zugang bestanden — die Hintertür wäre bereits gebaut.

36.869 JWT-Tokens im Klartext: Das Aktivitätslog speicherte vollständige Authentifizierungs-Tokens neben der zugehörigen Mitarbeiter-E-Mail. Gültigkeitsdauer: 365 Tage, ohne MFA. Ein Angreifer hätte jeden Bain-Mitarbeiter auf der Plattform imitieren können.

KI-Modellzugriff: LLM-Funktionen waren gegen Live-Produktionstabellen aufrufbar — mit Zugriff auf acht Modelle einschließlich Llama 3.1 405B, die mit echten Kundendaten arbeiteten.

Bulk-Extraktion: Export-Endpoints akzeptierten beliebige SQL-Queries und ein angreifergesteuertes externes Ziel — Cross-Cloud-Datenexfiltration mit einem einzigen API-Call.

System-Prompt exponiert: Der proprietäre Pyxis-Systemprompt — 18.621 Zeichen mit Berichtsmethodik, SQL-Schema-Definitionen und analytischen Frameworks — war für jede authentifizierte Session lesbar.

Die Schwachstelle aus den 1990ern

Hartcodierte Credentials in Frontend-Bundles. SQL-Injection. Fehlende Authentifizierung auf API-Endpoints. Das sind Schwachstellenklassen, die seit den 1990er Jahren bekannt sind und in jedem Grundkurs für Anwendungssicherheit behandelt werden.

Dass sie bei drei der renommiertesten Beratungsunternehmen der Welt gleichzeitig auftreten, zeigt ein systemisches Problem: KI-Plattformen werden wie interne Tools behandelt, obwohl sie die Angriffsfläche fundamental verändern. Eine KI-Plattform, die Zugriff auf Kundendaten, Strategiedokumente und Wettbewerbsanalysen hat, ist kein internes Tool — sie ist ein hochkritisches Asset.

Und der eigentlich beunruhigende Aspekt: Was CodeWall mit einem autonomen Agenten unter Responsible-Disclosure-Bedingungen demonstriert hat, können kriminelle Akteure genauso. Nur ohne Responsible Disclosure.

Was das für Unternehmen bedeutet

KI-Plattformen gehören in den Scope von Sicherheitsaudits. System-Prompts, Datenbankzugänge, API-Endpoints und Authentifizierungsmechanismen müssen mit derselben Rigorosität geprüft werden wie klassische Webanwendungen.

Credentials gehören nicht in Frontend-Code. Secret Scanning in CI/CD-Pipelines, Pre-Commit-Hooks und automatisierte Prüfung von Build-Artefakten sind keine optionalen Extras.

SQL-Injection ist nicht ausgestorben. KI-Plattformen mit dynamischen Datenbankabfragen reproduzieren dieselben alten Fehler auf neuen Angriffsflächen.

Autonome Agents verändern die Angriffsdynamik. Ein menschlicher Pentester hätte dieselben Schwachstellen gefunden — aber nicht in 18 Minuten. Die Verteidigung muss mit dieser Geschwindigkeit Schritt halten.

Drittanbieter-Risiko unter NIS-2: Wenn Ihr Berater eine KI-Plattform betreibt, die Ihre Wettbewerbsdaten enthält, und diese Plattform über hartcodierte Credentials zugänglich ist — dann ist das Ihr Risiko. NIS-2 verlangt Risikomanagement für die gesamte Lieferkette. Das schließt KI-Plattformen Ihrer Dienstleister ein.

Vier Nationalstaaten. Vier Angriffsvektoren. Eine Erkenntnis: Die aktuelle Bedrohungslage wird nicht von Einzeltätern oder opportunistischen Kriminellen dominiert — sondern von staatlich gesteuerten oder staatlich geduldeten Operationen, die IT, OT und Software-Lieferketten gleichzeitig ins Visier nehmen.

Im April 2026 sind vier Kampagnen gleichzeitig aktiv, die das gesamte Spektrum moderner Cyberbedrohungen abdecken: Iran manipuliert Industriesteuerungen in US-Infrastruktur. Russlands APT28 setzt neue Malware gegen die Ukraine und NATO-Verbündete ein. Eine chinesische Gruppe nutzt Zero-Days für Ransomware-Angriffe mit 24-Stunden-Durchlaufzeit. Und Nordkorea vergiftet systematisch Open-Source-Paketmanager — über fünf Ökosysteme hinweg.

Jede dieser Kampagnen wäre für sich eine Schlagzeile wert. Zusammen zeigen sie ein Muster, das Unternehmen und Behörden zwingen sollte, ihre Sicherheitsarchitektur grundlegend zu überdenken.

Iran: 5.219 Rockwell-PLCs offen im Netz

Am 7. April veröffentlichten FBI, CISA, NSA und U.S. Cyber Command das gemeinsame Advisory AA26-097A: Iranische APT-Akteure der Gruppe CyberAv3ngers — mit Verbindungen zum IRGC Cyber Electronic Command — greifen aktiv internet-exponierte Rockwell-Automation-PLCs an. Der Angriffsvektor ist dabei bemerkenswert primitiv: keine Zero-Days, keine Malware, sondern legitime Rockwell-Engineering-Software (Studio 5000 Logix Designer), mit der sich die Angreifer direkt auf ungeschützte Steuerungen verbinden.

Censys-Telemetriedaten zeigen 5.219 exponierte Hosts auf EtherNet/IP (Port 44818), davon 74,6 Prozent in den USA. Zwei Drittel hängen an Mobilfunknetzen — Pumpstationen, kommunale Außenstandorte, Feldgeräte ohne VPN oder Firewall. Die Angreifer manipulieren Projektdateien und HMI/SCADA-Displays: Operatoren in der Leitwarte sehen Werte, die nicht der Realität entsprechen.

Dieselbe Gruppe kompromittierte bereits 2023 mindestens 75 Unitronics-PLCs in US-Wasserwerken. Dass sie drei Jahre später mit derselben Taktik weiterhin Erfolg hat, ist weniger ein Beleg für die Raffinesse des Angreifers als für den Zustand der OT-Verteidigung.

Unsere ausführliche Analyse mit IOCs und Sofortmaßnahmen: 5.219 Rockwell-PLCs offen im Netz: Iran greift an

Russland: APT28 setzt PRISMEX gegen Ukraine und NATO ein

APT28 (auch bekannt als Fancy Bear, Forest Blizzard, Pawn Storm, UAC-0001) — die Cyber-Einheit des russischen Militärgeheimdienstes GRU (Unit 26165) — führt seit September 2025 eine Kampagne mit einer neuen Malware-Suite namens PRISMEX durch. Das belegt ein aktueller technischer Report von Trend Micro (Forscher: Feike Hacquebord und Hiroyuki Kakara).

PRISMEX ist keine einzelne Malware, sondern ein modulares Toolkit aus drei Komponenten: PrismexDrop (ein nativer Dropper, der Persistenz über COM Hijacking etabliert), PrismexLoader (eine DLL, die Payloads mittels Steganografie aus Bilddateien extrahiert) und PrismexStager (ein Implant auf Basis des Open-Source-C2-Frameworks COVENANT, das den Cloud-Speicherdienst Filen.io für die Kommando-und-Kontroll-Kommunikation missbraucht).

Die Kampagne nutzt zwei Schwachstellen als Einstiegsvektor: CVE-2026-21509 und CVE-2026-21513. Besonders beunruhigend: Trend Micro identifizierte einen LNK-Exploit für CVE-2026-21513, der am 30. Januar 2026 auf VirusTotal hochgeladen wurde — elf Tage bevor Microsoft am 10. Februar den Patch veröffentlichte. Das bestätigt Zero-Day-Exploitation in freier Wildbahn.

Die Ziele sind strategisch gewählt: Zentrale Exekutivorgane, Verteidigung, Hydrometeorologie und Notdienste in der Ukraine; Schienenlogistik in Polen; Seetransport in Rumänien, Slowenien und der Türkei; Logistikpartner für Munitionsinitiativen in der Slowakei und Tschechien; sowie militärische NATO-Partner. Die strategische Fokussierung auf Lieferketten, Wetterdienste und humanitäre Korridore deutet auf eine Verschiebung hin zu operativer Disruption — möglicherweise als Vorstufe destruktiverer Aktionen.

Denn PRISMEX kann mehr als Spionage: In mindestens einem beobachteten Fall löschte die Malware Dateien vom System des Opfers. APT28 kann also jederzeit von Aufklärung auf Zerstörung umschalten — ein Wiper-Modus, der die Kampagne über klassische Spionage hinaus gefährlich macht.

China: Storm-1175 nutzt Zero-Days für Medusa-Ransomware

Die chinesische Gruppe Storm-1175 hat eine neue Eskalationsstufe erreicht. Laut einem Blogpost des Microsoft Threat Intelligence Teams vom 6. April 2026 nutzt die Gruppe eine Kombination aus Zero-Day- und N-Day-Schwachstellen, um Medusa-Ransomware mit extremer Geschwindigkeit in Zielnetzwerke zu bringen — in manchen Fällen innerhalb von 24 Stunden vom Initial Access bis zur Verschlüsselung.

Microsoft beschreibt Storm-1175 als finanziell motivierte Cybercrime-Gruppe mit China-Bezug — nicht als klassischen Spionage-APT. Seit 2023 hat die Gruppe mehr als 16 Schwachstellen ausgenutzt. Zu den bestätigten Zero-Days gehören CVE-2026-23760 (eine kritische Authentication-Bypass-Schwachstelle in SmarterMail, ausgenutzt eine Woche vor der öffentlichen Bekanntgabe) und CVE-2025-10035 (eine Maximum-Severity-Schwachstelle in GoAnywhere Managed File Transfer, ebenfalls eine Woche vor Disclosure). Weitere ausgenutzte Schwachstellen umfassen CVE-2026-1731 (BeyondTrust), CVE-2025-31161 (CrushFTP) und CVE-2025-52691 (SmarterMail).

Der Kill Chain ist hocheffizient: Nach dem Initial Access erstellt Storm-1175 neue Benutzerkonten, deployed Web Shells oder legitime RMM-Software (Remote Monitoring and Management) für Lateral Movement, stiehlt Credentials und deaktiviert Sicherheitslösungen — bevor die Medusa-Ransomware ausgerollt wird. Die betroffenen Sektoren: Gesundheitswesen, Bildung, professionelle Dienstleistungen und Finanzwesen in Australien, Großbritannien und den USA.

Dass eine chinesische Gruppe Ransomware einsetzt, war bis vor kurzem ungewöhnlich — Ransomware galt als Domäne russischer und nordkoreanischer Akteure. Ob Storm-1175 rein finanziell motiviert ist oder ob die Ransomware auch als Deckmantel für Datenexfiltration dient, bleibt eine offene Frage. Für die betroffenen Unternehmen ist die Unterscheidung allerdings akademisch: Der Schaden ist derselbe.

Nordkorea: 1.700 verseuchte Pakete in npm, PyPI, Go, Rust und PHP

Die nordkoreanische Kampagne Contagious Interview hat ihre Reichweite massiv ausgebaut. Laut einem aktuellen Report des Sicherheitsunternehmens Socket wurden seit Januar 2025 mehr als 1.700 schadhaft präparierte Pakete über fünf Ökosysteme verbreitet: npm, PyPI, Go, Rust und PHP (Packagist). Die Pakete imitieren legitime Entwickler-Tools und fungieren als Malware-Loader.

Die Kampagne wird der Gruppe UNC1069 zugeordnet — die auch hinter dem Axios-Supply-Chain-Angriff vom 31. März 2026 steht. UNC1069 überlappt mit bekannten nordkoreanischen Gruppen wie BlueNoroff, Sapphire Sleet und Stardust Chollima. Die Security Alliance (SEAL) berichtet, zwischen dem 6. Februar und dem 7. April 2026 insgesamt 164 UNC1069-Domains blockiert zu haben, die Dienste wie Microsoft Teams und Zoom imitierten.

Der Angriffsvektor kombiniert Supply-Chain-Kompromittierung mit Social Engineering: UNC1069 führt über Wochen niedrigschwellige Social-Engineering-Kampagnen auf Telegram, LinkedIn und Slack, gibt sich als bekannte Kontakte oder vertrauenswürdige Marken aus und nutzt dabei Zugang zu bereits kompromittierten Unternehmens- und Privataccounts. Das Ziel: gefälschte Zoom- oder Teams-Meeting-Links, die über ClickFix-ähnliche Köder Malware ausliefern — plattformübergreifend für Windows, macOS und Linux.

Die Skalierung ist alarmierend: 1.700 Pakete über fünf Ökosysteme deuten auf eine industrialisierte Operation hin. Besonders brisant ist die Ausweitung auf Go und Rust — Sprachen, die zunehmend in sicherheitskritischen Anwendungen, Infrastrukturtools und Cloud-nativen Systemen eingesetzt werden. Bei der Axios-Kompromittierung setzte dieselbe Gruppe das Implant WAVESHAPER.V2 ein — einen plattformübergreifenden RAT, der Credentials exfiltriert und Fernzugriff ermöglicht.

Das Muster: Was die vier Kampagnen verbindet

Isoliert betrachtet sind das vier verschiedene Angriffe mit unterschiedlichen Akteuren, Zielen und Methoden. Zusammen zeigen sie ein Bild, das für die strategische Sicherheitsplanung relevant ist:

Die Angriffsvektoren decken das gesamte Spektrum ab. OT-Systeme (Iran), klassische IT-Infrastruktur und Endpoints (Russland), internetexponierte Dienste via Zero-Day-Exploitation (China), Software-Lieferkette (Nordkorea). Es gibt keinen einzelnen Kontrollpunkt mehr, der ausreicht. Wer nur seine Endpoints schützt, ist über die Lieferkette verwundbar. Wer nur seine IT überwacht, ist über OT exponiert.

Die Grenzen zwischen Spionage, Sabotage und Kriminalität lösen sich auf. Eine chinesische Gruppe setzt Ransomware ein. Nordkorea monetarisiert Supply-Chain-Angriffe. Iran manipuliert physische Infrastruktur. Russlands PRISMEX kann von Spionage auf Zerstörung umschalten — Wiper inklusive. Die traditionellen Schubladen — APT vs. Cybercrime, IT vs. OT, Spionage vs. Sabotage — greifen nicht mehr.

Geschwindigkeit ist der gemeinsame Nenner. APT28 nutzt Zero-Days elf Tage vor dem Patch. Storm-1175 verschlüsselt innerhalb von 24 Stunden nach Initial Access. CyberAv3ngers brauchen nur eine Internetverbindung und die offizielle Herstellersoftware. UNC1069 vergiftet Paketmanager, die bei jedem npm install ausgeführt werden. Alle vier Kampagnen setzen darauf, schneller zu sein als die Verteidigung.

Jede der vier Kampagnen nutzt Schwachstellen, die vermeidbar gewesen wären. Offene PLCs im Internet. Ungepatchte Zero-Days in internet-exponierten Diensten. Lockfiles, die nicht genutzt werden. Fehlende Endpoint-Erkennung für bekannte APT-Toolkits. Keiner dieser Angriffe erfordert übermenschliche Fähigkeiten auf Angreiferseite — sie erfordern nur unzureichende Verteidigung.

Was Unternehmen jetzt tun müssen

IT und OT gemeinsam überwachen. Wer seine Industriesteuerungen in einem separaten Sicherheitsuniversum belassen hat, wird von Angriffen wie dem iranischen PLC-Targeting kalt erwischt. IT- und OT-Monitoring gehören in eine Plattform.

Threat Intelligence operativ nutzen. Die IOCs und TTPs dieser vier Kampagnen müssen in Detection-Regeln übersetzt werden — nicht als Bericht im Posteingang, sondern als aktive Regeln im SIEM. MITRE ATT&CK-Mapping ist der Standard dafür.

Software-Lieferkette absichern. Lockfiles konsequent einsetzen. npm ci --ignore-scripts in CI/CD-Pipelines. SBOM-Management für alle eingesetzten Open-Source-Komponenten. Dependency-Monitoring ist nicht optional, wenn staatliche Akteure systematisch Paketmanager vergiften.

Patch-Management beschleunigen. Monatliche Patch-Zyklen reichen nicht mehr, wenn Storm-1175 Schwachstellen eine Woche vor der Veröffentlichung ausnutzt und innerhalb von 24 Stunden Ransomware deployt. Risikobasierte, automatisierte Priorisierung ist Pflicht — insbesondere für internet-exponierte Dienste wie SmarterMail, GoAnywhere MFT, CrushFTP und BeyondTrust.

NIS-2 als Rahmen ernst nehmen. NIS-2 verlangt Risikomanagement für die gesamte Lieferkette (Art. 21), Incident-Reporting innerhalb von 24/72 Stunden und technische Maßnahmen zur Angriffserkennung. Alle vier beschriebenen Kampagnen treffen genau die Bereiche, die NIS-2 adressiert. Compliance ist hier keine Bürokratieübung — sie ist die Mindestanforderung.

Einordnung

April 2026 ist kein ungewöhnlicher Monat. Diese Kampagnen sind nicht die Ausnahme — sie sind der Normalzustand. Vier Akteure aus vier Ländern betreiben gleichzeitig offensive Cyberoperationen gegen die Infrastruktur, die Software und die Organisationen, auf die unsere Wirtschaft und Gesellschaft angewiesen sind.

Die Verteidigung muss mit dieser Realität Schritt halten. Nicht mit einzelnen Tools für einzelne Bedrohungen, sondern mit einer integrierten Sicherheitsarchitektur, die IT, OT und Lieferkette gemeinsam abdeckt. Wer das nicht hat, operiert mit einer Verteidigung, die für eine Bedrohungslage konzipiert wurde, die es nicht mehr gibt.

5.219 Rockwell-Automation-PLCs sind aktuell direkt über das Internet erreichbar — und iranische APT-Akteure nutzen das aktiv aus. Nicht über Zero-Day-Exploits, nicht über ausgefeilte Malware, sondern über legitime Engineering-Tools wie Rockwell Studio 5000 Logix Designer. Die Angreifer verbinden sich direkt mit den exponierten Steuerungen, manipulieren Projektdateien und verändern HMI/SCADA-Anzeigen — mit potenziell physischen Konsequenzen für Wasser-, Energie- und Infrastrukturbetreiber.

Am 7. April 2026 veröffentlichten FBI, CISA, NSA, EPA, DOE und U.S. Cyber Command das gemeinsame Advisory AA26-097A. Censys lieferte parallel die Expositionsdaten: Die Zahlen sind ernüchternd.

Wer angreift und wie

Die Angriffe werden der Gruppe CyberAv3ngers zugeordnet, einer iranischen APT-Einheit mit Verbindungen zum IRGC Cyber Electronic Command (Islamische Revolutionsgarden). Die Gruppe ist keine Unbekannte: Im November 2023 kompromittierte sie mindestens 75 Unitronics-PLCs in US-amerikanischen Wasser- und Abwasseranlagen.

Der aktuelle Angriffsvektor seit März 2026 ist bemerkenswert simpel: Die Angreifer verwenden keine Schwachstellen im klassischen Sinne. Stattdessen nutzen sie legitime Rockwell-Engineering-Software, um sich mit PLCs zu verbinden, die ohne Authentifizierung direkt über das Internet erreichbar sind. Sie modifizieren Projektdateien und manipulieren HMI/SCADA-Displays — die Operatoren in der Leitwarte sehen dann andere Werte als die tatsächlichen.

Bestätigte Zielsysteme sind CompactLogix und Micro850. Gleichzeitig beobachten die Behörden Probing-Aktivitäten auf Modbus und Siemens S7, was auf eine Multi-Vendor-Strategie hindeutet.

Die Exposition: 5.219 Steuerungen im offenen Internet

Censys-Telemetriedaten zeigen 5.219 Hosts, die auf EtherNet/IP (Port 44818) antworten und sich als Rockwell-Automation/Allen-Bradley-Geräte identifizieren. Die Verteilung:

74,6 Prozent (3.891 Hosts) stehen in den USA — was Rockwells dominanter Marktposition in Nordamerika entspricht. Außerhalb: Spanien (110), Taiwan (78), Italien (73). Bemerkenswert: Island mit 36 exponierten Geräten — bei einer kleinen Bevölkerung, aber starker Nutzung industrieller Steuerungen in der Geothermie.

Die ASN-Analyse offenbart ein strukturelles Problem: Fast zwei Drittel der exponierten PLCs hängen an Mobilfunknetzen statt an industriellen oder Rechenzentrums-Providern. Verizon Business allein hostet 2.564 exponierte PLC-Endpoints (49,1 Prozent der globalen Gesamtzahl), AT&T Mobility weitere 693 (13,3 Prozent). 24 Hosts laufen über SpaceX Starlink.

Das bedeutet: Viele dieser Steuerungen sind dezentral betriebene Anlagen — Pumpstationen, kommunale Außenstandorte, Feldgeräte — die über Mobilfunkmodems direkt im öffentlichen Internet hängen. Ohne Firewall, ohne VPN, ohne Monitoring.

Co-Exposition: Mehr als nur EtherNet/IP

Censys dokumentiert auf denselben Hosts oder Netzwerken zusätzlich exponierte Dienste: VNC (771 Instanzen), Modbus (292), Telnet (280) und Red Lion Crimson Services (256). Das sind direkte Zugänge zu HMI-Workstations, Legacy-Remote-Shells und Multi-Vendor-OT-Management-Interfaces — exakt die Angriffspfade, vor denen das Advisory warnt.

Viele der exponierten MicroLogix-1400-Controller laufen zudem auf End-of-Sale-Firmware-Versionen (C/21.02, C/21.07) — Geräte, die keine Sicherheitsupdates mehr erhalten und deren Modell und Firmware-Version durch unauthentifizierte EtherNet/IP-Identity-Responses frei abfragbar sind. Angreifer können diese Geräte also nicht nur finden, sondern auch sofort priorisieren.

Angreifer-Infrastruktur: Was die IOCs verraten

Das Advisory enthält acht IP-Indikatoren (Indicators of Compromise). Censys-Infrastruktur-Pivots verfeinern das Bild erheblich:

Sieben IOCs im Bereich 185.82.73.x führen zu einer einzigen Multi-Homed Windows-Engineering-Workstation bei ULTAHOST (AS214036). Diese Maschine läuft mit dem vollständigen Rockwell-Toolchain und exponiert RDP auf einem nicht standardmäßigen Port — mit einem selbstsignierten Zertifikat, das auf den Hostnamen DESKTOP-BOE5MUC verweist. Historische Zertifikatsanalyse bindet 11 IPs im selben /24 an diese Workstation und identifiziert vier zusätzliche Operator-IPs, die nicht im Advisory gelistet sind, aber identische Fingerprints und Aktivitätsfenster aufweisen.

Der achte IOC (135.136.1.133, M247 Romania) verhält sich anders: eine kurzlebige Staging-Box, die für eine einzelne Operation provisioniert wurde — mit einem eng getakteten Service-Lifecycle, der exakt in das Angriffsfenster vom März passt.

Kontext: Iran und OT-Systeme

CyberAv3ngers ist nicht die einzige iranische Gruppe, die OT-Systeme ins Visier nimmt, aber sie ist die aktivste. Die Gruppe demonstriert ein Muster: gezielte Angriffe auf Wasserversorgung und Energieinfrastruktur, Nutzung legitimer Tools statt Malware, Fokus auf Systeme mit schwacher oder fehlender Authentifizierung.

CISA hatte bereits im Dezember 2023 nach den Unitronics-Angriffen Warnungen herausgegeben. Dass dieselbe Gruppe drei Jahre später mit derselben grundlegenden Taktik — offene PLCs im Internet finden, verbinden, manipulieren — weiterhin Erfolg hat, sagt weniger über die Raffinesse der Angreifer als über den Zustand der Verteidigung.

Die Mandiant-Analyse iranischer Cyberoperationen zeigt ein konsistentes Bild: Iran investiert zunehmend in OT-Fähigkeiten. Die Operationen dienen sowohl der nachrichtendienstlichen Aufklärung als auch der Vorbereitung disruptiver Angriffe im Konfliktfall — sogenanntes „Pre-Positioning” in kritischer Infrastruktur.

Sofortmaßnahmen

PLCs sofort vom direkten Internetzugang trennen. Jede Steuerung, die auf Port 44818 antwortet, muss hinter ein VPN oder einen gehärteten Jump Host. Kein PLC gehört direkt ins Internet — ohne Ausnahme.

Exponierte Dienste eliminieren. Telnet, VNC, HTTP-Interfaces auf OT-Geräten abschalten oder durch authentifizierte, verschlüsselte Alternativen ersetzen.

Authentifizierung auf Mobilfunk- und Satellitenverbindungen erzwingen. Mobilfunkmodems sind kein sicherer Perimeter. MFA und VPN sind Pflicht.

Offline-Backups von PLC-Konfigurationen und HMI/SCADA-Projekten pflegen. Im Falle einer Manipulation müssen Betreiber auf bekannt gute Konfigurationen zurückspielen können — sofort, nicht erst nach einer Analyse.

IOCs in SIEM und Netzwerkmonitoring einpflegen. Die acht IPs aus dem Advisory plus die vier von Censys identifizierten zusätzlichen Operator-IPs überwachen. Hostname DESKTOP-BOE5MUC und das zugeordnete Zertifikat als Detection-Regel hinterlegen.

Legacy-Firmware identifizieren und priorisieren. MicroLogix-1400-Controller auf End-of-Sale-Versionen müssen ersetzt oder zumindest hinter zusätzliche Schutzschichten gestellt werden.

Einordnung

Dieser Vorfall ist kein hochkomplexer APT-Angriff. Er ist ein Beleg dafür, dass grundlegende OT-Sicherheitshygiene bei tausenden kritischen Anlagen weltweit nicht eingehalten wird. Die Angreifer brauchen keine Zero-Days — sie brauchen nur einen Nmap-Scan und die offizielle Rockwell-Software.

Für KRITIS-Betreiber in Deutschland ist das unmittelbar relevant: Das BSI verlangt im Rahmen der SzA-Anforderungen (Systeme zur Angriffserkennung) explizit die Überwachung von OT-Netzen. NIS-2 verschärft diese Anforderungen weiter. Wer seine Steuerungen noch ohne Monitoring betreibt, hat nicht nur ein Sicherheitsproblem — er hat ein Compliance-Problem.

Europol, Eurojust und das FBI haben im Oktober 2025 ein weitreichendes Cybercrime-as-a-Service (CaaS)-Netzwerk zerschlagen. Sieben Personen wurden festgenommen, Server in Deutschland, den Niederlanden und der Tschechischen Republik beschlagnahmt. Das Netzwerk stellte anderen Kriminellen technische Infrastruktur, Schadsoftware, Hosting-Services und Zahlungssysteme zur Verfügung — ein vollständiges Ökosystem für Cyberkriminalität auf industriellem Niveau.

Cybercrime als Dienstleistung: Das Geschäftsmodell

Das zerschlagene Netzwerk operierte nach einem Modell, das in der Cybercrime-Szene zunehmend Standard ist: Arbeitsteilung und Spezialisierung. Statt alle Schritte eines Angriffs selbst durchzuführen, nutzen Cyberkriminelle spezialisierte Dienstleister:

• Initial Access Broker verkaufen gestohlene Zugangsdaten und kompromittierte Systeme
• Bulletproof Hosting Provider betreiben Server, die Takedown-Anfragen ignorieren
• Malware-Entwickler erstellen und aktualisieren Schadsoftware als SaaS-Produkt
• Money Mules und Krypto-Mixer waschen die Erlöse

Laut Europol war das zerschlagene Netzwerk ein zentraler Bestandteil mehrerer größerer Ransomware-Kampagnen und diente als technischer Backbone für Betrugs- und Erpressungsoperationen. Die Ermittlungen deckten auf, dass Angriffe auf Banken, Unternehmen und öffentliche Einrichtungen europaweit koordiniert wurden.

Die Industrialisierung der Cyberkriminalität

Der Fall reiht sich ein in eine Serie internationaler Takedowns: Emotet (2021), Hive Ransomware (2023), LockBit (2024, Operation Cronos) und Qakbot (2023). Jede Zerschlagung zeigt dasselbe Muster: Professionelle Organisationsstrukturen, arbeitsteilige Prozesse und globale Infrastruktur.

Der Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 bestätigt den Trend: CaaS-Plattformen sind der primäre Wachstumstreiber für Cyberkriminalität. Sie ermöglichen es technisch wenig versierten Akteuren, ausgefeilte Angriffe durchzuführen — die Eintrittsbarriere sinkt, das Angriffsvolumen steigt.

Für Unternehmen bedeutet das eine unbequeme Wahrheit: Die Gegenseite professionalisiert sich schneller als viele Verteidigungsarchitekturen. Wer seine eigene Sicherheit nicht ebenfalls industrialisiert — mit automatisierter Erkennung, 24/7-Monitoring und dokumentierten Prozessen — spielt gegen Gegner, die nach Wirtschaftlichkeitsprinzipien operieren.

Was Takedowns bewirken — und was nicht

Takedowns wie dieser sind wichtig: Sie unterbrechen kriminelle Infrastruktur, schaffen Ermittlungserkenntnisse und demonstrieren die Handlungsfähigkeit der Strafverfolgung. Aber sie lösen das Problem nicht grundsätzlich. Innerhalb von Wochen oder Monaten entstehen neue Plattformen, die die Lücke füllen.

Die Konsequenz für die Verteidigung: Nicht auf die Zerschlagung einzelner Netzwerke hoffen, sondern die eigene Resilienz aufbauen.

Handlungsempfehlungen

• Threat Intelligence nutzen: IOCs aus Europol-Berichten und CISA-Advisories in die eigene Erkennung einbinden
• SIEM mit aktuellen Detektionsregeln: Die Angriffsmuster der zerschlagenen CaaS-Plattformen sind bekannt — Detektionsregeln für die typischen TTPs (Phishing, Credential Theft, Lateral Movement, Ransomware Deployment) sollten aktuell sein
• Incident-Response-Bereitschaft: Wenn CaaS-Kunden nach einem Takedown unter Druck geraten, können hastig durchgeführte Angriffe zunehmen. Die Wochen nach einem großen Takedown sind oft besonders aktiv
• Lieferkettensicherheit: Prüfen, ob eigene Dienstleister oder Zulieferer von dem zerschlagenen Netzwerk betroffen waren

Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines Ransomware-Angriffs. Die städtische Tochtergesellschaft betreibt sieben Seniorenheime und liefert täglich Tausende Mahlzeiten aus. Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Die Täter forderten ein Lösegeld von rund 100.000 Euro.

Ablauf und Auswirkungen

Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen. Nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. Die Versorgung der Bewohner sei laut Unternehmensangaben jederzeit sichergestellt gewesen — ein Lösegeld wurde offenbar nicht gezahlt.

Unabhängige Medienberichte (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten betroffen sein könnten:

• Personenstammdaten von Bewohnern und Mitarbeitenden
• Gesundheits- und Pflegedaten
• Personalakten und Zugangsdaten

Die laufenden Ermittlungen verhinderten die Veröffentlichung technischer Details zur Angriffskette. Medienberichte deuten auf eine mögliche Beteiligung ausländischer Tätergruppen hin — eine gerichtliche Attribution stand zum Zeitpunkt der Berichterstattung noch aus.

Gesundheits- und Sozialsektor als systematisches Ziel

Der Angriff auf die Sozial-Holding ist kein Einzelfall. Gesundheits- und Sozialeinrichtungen sind überproportional häufig Ziel von Ransomware-Angriffen. Die Gründe sind strukturell:

• Kritische Dienstleistungen: Pflege, medizinische Versorgung und Mahlzeitenlieferung können nicht pausieren. Der Druck, schnell wieder betriebsfähig zu sein, erhöht die Bereitschaft zur Lösegeldzahlung
• Sensible Daten: Gesundheitsdaten gehören nach DSGVO zu den besonderen Kategorien personenbezogener Daten (Art. 9). Ihr Verlust oder ihre Veröffentlichung hat schwerwiegende Konsequenzen
• Begrenzte IT-Budgets: Kommunale Träger und Sozialeinrichtungen investieren vergleichsweise wenig in IT-Sicherheit
• Heterogene IT-Landschaften: Pflegedokumentation, Verwaltungssysteme, Abrechnungssoftware und Gebäudetechnik bilden eine komplexe, oft schlecht integrierte Systemlandschaft

Der BSI-Lagebericht 2024 bestätigt: Das Gesundheitswesen gehört zu den am stärksten betroffenen Sektoren. Ähnliche Vorfälle trafen in den letzten Jahren das Klinikum Lippe, die Medizinische Hochschule Hannover und zahlreiche weitere Einrichtungen.

Wahrscheinliche Angriffsvektoren

Auch ohne öffentliche forensische Details lassen sich die wahrscheinlichsten Einfallstore benennen — basierend auf den typischen Angriffsmethoden gegen den Sektor:

• Phishing und Credential Theft: Der häufigste Initialzugang, besonders in Umgebungen ohne flächendeckende MFA
• Exponierte Remote-Access-Dienste: RDP, VPN oder RMM-Tools ohne ausreichende Härtung
• Initial Access Broker: Kriminelle Marktplätze, auf denen gestohlene Zugangsdaten gehandelt werden
• Ungepatchte Software: Bekannte Schwachstellen in Internetfacing-Systemen

Handlungsempfehlungen für Sozial- und Gesundheitsträger

• MFA für alle Zugänge: Insbesondere für Remote-Access, E-Mail und Administrations-Portale — ohne Ausnahme
• Netzwerksegmentierung: Pflegedokumentation, Verwaltung und Gebäudetechnik in getrennte Segmente. Ein kompromittierter Verwaltungsrechner darf nicht die Pflegedokumentation erreichen
• Backup-Strategie: 3-2-1-Regel mit mindestens einer Offline-Kopie. Recovery regelmäßig testen — nicht nur dokumentieren
• Incident-Response-Plan: Wer wird informiert? Wer entscheidet? Wie kommuniziert die Einrichtung ohne E-Mail und Telefon? Wie wird die Pflege ohne IT-Systeme dokumentiert?
• SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Verdächtige Login-Versuche, Ransomware-Vorboten (Massenverschlüsselung, Shadow-Copy-Löschung) und laterale Bewegung erkennen

Henry Schein, ein in den Fortune 500 gelisteter US-amerikanischer Gesundheitskonzern mit Niederlassungen in 32 Ländern, wurde im Oktober 2023 zweimal innerhalb weniger Wochen von der Ransomware-Gruppe BlackCat (ALPHV) angegriffen. Der Fall zeigt, wie Angreifer nach einem ersten Einbruch im System verbleiben oder erneut eindringen können — und warum eine halbherzige Incident Response den Schaden vervielfacht.

Erster Angriff: 15. Oktober 2023

Henry Schein nahm mehrere Systeme als Reaktion auf den Angriff vom Netz. E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Das Unternehmen arbeitete teilweise mit Behelfsmitteln — tausende Bestellungen wurden per Telefon und Messenger entgegengenommen, was den Betrieb erheblich verlangsamte.

Die dreiwöchige forensische Untersuchung ergab, dass sich die Angreifer Zugang zu sensiblen Daten verschafft hatten: Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten. BlackCat bekannte sich zum Angriff und nahm Henry Schein auf ihre Leak-Site auf.

Zweiter Angriff: Die erneute Verschlüsselung

Henry Schein identifizierte die Ursache der Störung und begann mit der Wiederherstellung von Systemen und Daten. An diesem Punkt griff BlackCat erneut ein und verschlüsselte die Daten ein zweites Mal — die Wiederherstellungsbemühungen waren vergeblich.

Ob die Angreifer zwischen den beiden Angriffen im System verblieben waren oder sich erneut Zugang verschafften, blieb unklar. Beide Szenarien sind gravierend:

• Persistenz: Die Angreifer waren nie vollständig entfernt worden — eine häufige Konsequenz unvollständiger Incident Response
• Erneuter Einbruch: Die initialen Einfallstore wurden nicht ausreichend geschlossen, sodass ein zweiter Einbruch möglich war

BlackCat/ALPHV: Professionelle Ransomware-Gruppe

BlackCat (auch ALPHV genannt) war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service und war bekannt für die Double-Extortion-Methode: Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

Im Dezember 2023 führte das FBI eine Disruption-Operation gegen BlackCat durch und übernahm temporär deren Leak-Site. Die Gruppe stellte den Betrieb Anfang 2024 ein — allerdings nicht ohne einen letzten Exit-Scam gegen ihre eigenen Affiliates.

Lehren für Incident Response

1. Vollständige Bereinigung vor Wiederherstellung

Systeme wiederherstellen, bevor die Angreifer vollständig aus dem Netzwerk entfernt sind, ist der häufigste und teuerste Fehler in der Incident Response. Bevor ein System wieder online geht, muss sichergestellt sein, dass keine Backdoors, persistenten Zugänge oder kompromittierten Accounts verbleiben.

2. Compromise Assessment nach jedem Vorfall

Nach einem Ransomware-Angriff reicht es nicht, die verschlüsselten Systeme aus Backups wiederherzustellen. Ein vollständiges Compromise Assessment muss klären: Wie sind die Angreifer eingedrungen? Welche Systeme waren betroffen? Welche Persistenz-Mechanismen wurden installiert? Welche Daten wurden exfiltriert?

3. Isolierte Backup-Infrastruktur

Backups müssen offline oder in einem isolierten Netzwerksegment vorgehalten werden. Wenn Angreifer Zugriff auf die Backup-Infrastruktur haben, können sie Backups vor der Verschlüsselung löschen oder manipulieren — und eine Wiederherstellung unmöglich machen.

4. Getestete Recovery-Prozesse

Henry Schein brauchte Wochen für die Wiederherstellung — und wurde mittendrin erneut angegriffen. Disaster-Recovery-Prozesse müssen regelmäßig getestet werden — nicht nur dokumentiert. Die Recovery-Zeit (RTO) muss bekannt und realistisch sein.

Handlungsempfehlungen

• Incident Response Plan testen: Mindestens einmal jährlich eine Tabletop Exercise durchführen, die ein Ransomware-Szenario simuliert
• Forensik vor Recovery: Niemals Systeme wiederherstellen, bevor die forensische Analyse den Angriffsvektor und alle Persistenz-Mechanismen identifiziert hat
• Backup-Isolation: 3-2-1-Regel konsequent umsetzen — mindestens eine Kopie offline und für Angreifer unzugänglich
• 24/7-Monitoring nach Vorfällen: In den Wochen nach einem Angriff ist erhöhte Wachsamkeit geboten — Angreifer kehren zurück

Am Abend des 16. Juni 2023 traf ein schwerwiegender Cyberangriff die Mediengruppe Rheinische Post. Betroffen waren die Rheinische Post, der General-Anzeiger Bonn, die Aachener Nachrichten, die Saarbrücker Zeitung und der Trierische Volksfreund — sowohl die Online- als auch die Printausgaben. Die Verlage mussten fast eine Woche lang im eingeschränkten Notbetrieb arbeiten und nur reduzierte Ausgaben veröffentlichen.

Ablauf und Auswirkungen

Nach Bekanntwerden des Angriffs schaltete die Mediengruppe betroffene Systeme ab, um eine weitere Ausbreitung von Schadsoftware zu verhindern. Die Wiederherstellung erfolgte schrittweise — Server für Server, System für System. Während des Notbetriebs erschienen die Zeitungen in stark reduziertem Umfang. Online-Portale waren teilweise nicht erreichbar.

Die Mediengruppe erklärte zunächst, Nutzer- und Kundendaten seien „sicher”. Diese Einschätzung erwies sich als verfrüht: Wie am 30. August 2023 bekannt wurde, ergab die Überprüfung von rund 1.200 betroffenen Servern, dass doch Daten abgeflossen waren. Ob Nutzerdaten betroffen waren, ließ sich nicht mit Sicherheit ausschließen.

Nachträgliche Entdeckung: Datenabfluss nicht auszuschließen

Das Unternehmen informierte die Nutzer per Brief über die Entdeckung und empfahl, auf verdächtige Transaktionen auf Bankkonten zu achten und bei eingehenden E-Mails besonders wachsam zu sein — ein Hinweis auf die Möglichkeit gezielter Phishing-Angriffe mit den erbeuteten Daten.

Der zeitliche Ablauf verdient besondere Beachtung: Zwischen dem Angriff im Juni und der Information der Nutzer über den möglichen Datenabfluss vergingen über zwei Monate. In dieser Zeit hätten Angreifer gestohlene Daten bereits für weitere Attacken nutzen können.

Medienhäuser als Ziel: Warum die Branche besonders exponiert ist

Medienhäuser sind aus mehreren Gründen attraktive Ziele für Cyberangreifer:

• Zeitdruck als Hebel: Tageszeitungen müssen täglich erscheinen. Jeder Tag Ausfall kostet nicht nur Umsatz, sondern Leser und Abonnenten. Das erhöht die Bereitschaft, Lösegeld zu zahlen
• Große Nutzerdatenbanken: Abonnenten-Daten, E-Mail-Adressen, Zahlungsinformationen — alles in zentralen Systemen
• Komplexe IT-Landschaften: Content-Management-Systeme, Redaktionssysteme, Druckvorstufe, Verlagssoftware — viele Systeme, oft historisch gewachsen und nicht immer aktuell gepatcht
• Öffentlichkeitswirkung: Ein Angriff auf eine große Tageszeitung generiert Aufmerksamkeit — für manche Angreifer ein Ziel an sich

Lehren aus dem Vorfall

• Transparente Kommunikation von Anfang an: Die voreilige Entwarnung bezüglich der Nutzerdaten erwies sich als falsch. Besser: Offene Kommunikation über das, was bekannt ist — und was nicht
• Forensik braucht Zeit — Nutzer brauchen schnelle Information: Dass die vollständige forensische Analyse von 1.200 Servern Monate dauert, ist nachvollziehbar. Nutzer sollten dennoch frühzeitig über mögliche Risiken informiert werden — auch wenn der Umfang noch unklar ist
• Incident-Response-Plan muss Kommunikation umfassen: Nicht nur die technische Bewältigung, sondern auch die Kommunikation mit Nutzern, Datenschutzbehörden und Öffentlichkeit muss vorab geplant sein
• Netzwerksegmentierung: Wenn ein Angriff 1.200 Server erreicht, ist die Segmentierung unzureichend. Redaktionssysteme, Nutzerdatenbanken und Produktionssysteme müssen in getrennten Segmenten laufen

Der Fahrrad- und E-Bike-Hersteller Prophete aus Rheda-Wiedenbrück mit den weiteren Marken Kreidler, VSF Fahrradmanufaktur, Cycle Union und E-Bikemanufaktur hat Konkurs angemeldet. Dieser Enthüllung war ein Cyberangriff vorausgegangen, der die Produktion fast einen Monat lang lahmlegte. Eine so lange Unterbrechung der Produktion wirkte sich auf den Absatz aus und führte zu einem Mangel an finanziellen Mitteln.

Prophete ist ein deutscher Hersteller von Fahrrädern, Elektrofahrrädern und Mopeds. Zu dem Unternehmen gehören auch die Marken VSF Fahrradmanufaktur, Rabeneick und Kreidler. Außerdem besitzt sie ein Tochterunternehmen, die Cycle Union. Das Unternehmen hat etwa 400-450 Beschäftigte und verfügt über 4 Produktionsstätten. Im vergangenen Jahr sah sich das Unternehmen mit mehreren Herausforderungen konfrontiert, die sich erheblich auf seine Finanzlage auswirkten. Probleme in der Lieferkette, bei der Planung und ein unter den Erwartungen liegender Umsatz belasteten das Unternehmen.

Deshalb hat das Unternehmen im vergangenen Jahr eine Finanzierungsrunde mit Gläubigern und Aktionären eingeleitet. Und alles hätte gut sein können, doch dann gab es einen Cyberangriff. Dadurch wurde nicht nur der Betrieb gestört, sondern auch die Finanzierungsrunde zum Scheitern gebracht. Leider ist über den Angriff selbst nicht viel bekannt. Nach Angaben des Unternehmens gab es Probleme bei der Rechnungsstellung, die die Probleme bei der Lieferung von Ersatzteilen noch verschärften.

Dies kann auf einen Phishing-Angriff hindeuten, der höchstwahrscheinlich auf privilegierte Konten abzielt. Solche Angriffe auf Unternehmen werden per E-Mail verbreitet, weshalb sichere E-Mails für alle Unternehmen von entscheidender Bedeutung sind. Es ist unklar, warum die Strafverfolgungsbehörden erst einen Monat später benachrichtigt wurden. Im Falle eines Cyberangriffs muss das BSI innerhalb von 72 Stunden kontaktiert werden und alle betroffenen Kunden müssen über den Vorfall informiert werden.

Der Cyberangriff war zwar nicht der einzige Faktor für die Insolvenz des Unternehmens, aber der letzte Strohhalm. Wer weiß, wie sich das Schicksal nach erfolgreichen zusätzlichen Finanzierungsrunden entwickelt hätte. Höchstwahrscheinlich wird das Unternehmen seine Aktivitäten mit neuen Eigentümern fortsetzen. Das hängt auch von den Schlussfolgerungen der Prüfung und der Untersuchung der wahren Folgen des Cyberangriffs ab, vielleicht ist alles schlimmer als wir denken.

Unbestreitbare Investitionen in die Cybersicherheit des Unternehmens führen zu einem kontinuierlichen Betrieb. Sie macht das Unternehmen berechenbarer und widerstandsfähiger, verbessert den Ruf und kostet letztlich weniger. Es gibt keinen guten Zeitpunkt, um von Angreifern gehackt zu werden, aber in Zeiten finanzieller Not ist es besonders kritisch. Zögern Sie nicht, Ihr digitales Vermögen zu schützen, kontaktieren Sie https://neosec.eu/!

Malware-Forscher von Cyble haben einen neuen Malware-as-a-Service namens DuckLogs online entdeckt. Die Webseite behauptet, dass sie bereits über zweitausend Kunden hat, die über sechstausend erfolgreiche Angriffe durchgeführt haben.

Es wird eine breite Palette von Funktionen angegeben, die es Ihnen ermöglichen, Dateien, E-Mails, Passwörter, Browserverläufe, Krypto-Wallets zu stehlen, die Fernsteuerung von Geräten zu übernehmen und vieles mehr.

Cyberkriminelle verwenden zahlreiche Techniken, um die Entdeckung zu erschweren. Die Forscher gehen davon aus, dass die Verbreitung dieser Malware über E-Mails erfolgt, aber die Verbreitungskanäle sind nicht darauf beschränkt.

Wie ähnliche Dienste bieten sie eine breite Palette von Funktionen, die verschiedene Arten von ausgeklügelten Angriffen zu relativ geringen Kosten ermöglichen, selbst für Angreifer ohne ein hohes Maß an Wissen in der Cyberkriminalität. Dadurch erhöht sich die Wahrscheinlichkeit, dass auch Ihr Gerät, Ihr Netzwerk oder Ihr Unternehmen kompromittiert wird, erheblich. Denn jetzt kann jeder ein Hacker werden, der raffinierte Angriffsmethoden anwendet.

Ein weiteres Merkmal dieses Services ist eine noch größere Funktionserweiterung. Das ist ein Problem, denn wenn ein Hacker die erste Schwelle überwunden hat, kann er fast alle sensiblen Informationen stehlen, vollen Zugriff auf das Gerät erhalten und Sie sogar daran hindern, den Computer zu benutzen.

Daher ist der Schutz vor dieser Malware äußerst wichtig. Nach den vorliegenden Informationen gibt es mehrere Stellen, an denen Sie sich schützen können.

Denn es scheint, dass die Verbreitung durch Phishing erfolgt. So kann eine E-Mail mit Malware gefiltert oder ein bösartiger Anhang blockiert werden.

Dateien, die DuckLogs enthalten oder enthalten könnten, werden untersucht und in die Datenbank aufgenommen, damit sie von Antivirenprogrammen überprüft werden können. Das Problem ist jedoch, dass Angreifer den Code ständig verbessern und verändern können, was die Wirksamkeit dieser Maßnahmen verringert. Selbst wenn ein Antivirenprogramm über eine Datenbank mit allen früheren Versionen dieser Malware verfügt, kann es sein, dass es eine neue Version nicht erkennt.

Der Virus kann auch durch das Verhalten von Dateien erkannt werden, aber in diesem Fall haben wir eine breite Funktionalität, und daher sehr variables Verhalten. Um diese Malware zu erkennen, muss man daher ein Dutzend Anwendungen konfigurieren, die verschiedene Aspekte des Programmverhaltens auf Verdachtsmomente hin überwachen. Der Vorteil dieses Ansatzes besteht darin, dass die Einrichtung solcher Maßnahmen, ähnlich wie bei der E-Mail-Filterung, weniger von Viren-Updates abhängig ist und auch einen Schutz vor anderen Cyberangriffen bietet.

Im Gegensatz zu Ransomware kann diese Malware die vollständige Kontrolle über das infizierte Gerät übernehmen. Das macht es viel schwieriger, diese Software zu entfernen, Daten wiederherzustellen und den normalen Betrieb des Geräts zu gewährleisten. Daher ist die Verhinderung der Infizierung eine wichtige Aufgabe.

Leider nimmt die Anzahl und Raffinessen von Malware nicht ab, was eine höhere Komplexität und eine Ausweitung der Cyberabwehr erfordert. Zum Glück haben Sie uns, wir überwachen die neueste Malware, wenden die wirksamsten Schutzinstrumente an und implementieren sie für Sie.

Im November 2022 wurde die Universität Duisburg-Essen (UDE) Opfer eines schwerwiegenden Ransomware-Angriffs. Die Angreifer verschlüsselten große Teile der IT-Infrastruktur, woraufhin die Universität sämtliche Systeme vom Netz nahm. Betroffen waren Büroanwendungen, interne Verwaltungssysteme, E-Mail-Verkehr und Telefonkommunikation — der gesamte digitale Betrieb stand still.

Hochschulen als systematisches Ziel

Die UDE war kein Einzelfall. Im gleichen Zeitraum wurden mehrere deutsche Hochschulen angegriffen. Die HAW Hamburg meldete im Dezember 2022 einen Ransomware-Vorfall, die Hochschule Karlsruhe im September 2022 und die Universität Gießen hatte bereits 2019 einen monatelangen IT-Ausfall nach einem Cyberangriff erlitten.

Das BSI stufte die Bedrohungslage für den Bildungssektor in seinem Lagebericht 2022 als erhöht ein. Der Grund: Hochschulen vereinen mehrere Risikofaktoren:

• Große, heterogene IT-Landschaften: Tausende Endgeräte, dezentrale Verwaltung, Forschungsnetze mit speziellen Anforderungen
• Offene Netzwerk-Kultur: Akademische Freiheit bedeutet oft liberale Zugriffsrichtlinien — ein Gegensatz zu Enterprise-Security
• Begrenzte Security-Budgets: IT-Sicherheit konkurriert mit Forschungs- und Lehrbudgets und ist chronisch unterfinanziert
• Wertvolle Daten: Forschungsdaten, Personaldaten von tausenden Mitarbeitern und Studierenden, Prüfungsdaten, Finanzdaten

Der Angriff auf die UDE im Detail

Die Universität informierte am 27. November 2022 über den Vorfall. Die gesamte IT-Infrastruktur wurde als Sofortmaßnahme abgeschaltet — ein Schritt, der den laufenden Lehrbetrieb massiv beeinträchtigte. E-Mail-Kommunikation war über Wochen nicht möglich, Prüfungen mussten verschoben werden, Verwaltungsprozesse liefen nur noch analog.

Die Wiederherstellung dauerte Monate. Die UDE setzte Notfall-Kommunikationskanäle ein und arbeitete mit externen IT-Forensikern und dem BSI zusammen. Der Vorfall verdeutlichte, wie abhängig moderne Hochschulen von ihrer digitalen Infrastruktur sind — und wie wenig Resilienz in vielen Fällen vorhanden ist.

Einordnung: Öffentliche Einrichtungen im Fadenkreuz

Hochschulen stehen exemplarisch für ein breiteres Problem: Öffentliche Einrichtungen mit begrenzten IT-Budgets sind systematisch unterbewacht. Kommunen, Krankenhäuser, Schulen und Universitäten bilden einen wachsenden Anteil der Ransomware-Opfer in Deutschland.

Der Angriff auf den IT-Dienstleister Südwestfalen-IT im Oktober 2023 zeigte die Dimension: Über 100 Kommunen waren gleichzeitig betroffen, Bürgerservices fielen monatelang aus. Die Parallele zu Hochschulen: In beiden Fällen führt ein einzelner erfolgreicher Angriff zum Ausfall von Diensten, die Tausende oder Zehntausende Menschen betreffen.

Handlungsempfehlungen für den Bildungssektor

• Netzwerksegmentierung: Verwaltungsnetz, Forschungsnetz und Studierendennetz trennen. Ein kompromittiertes Studierenden-Gerät darf nicht das Verwaltungssystem erreichen
• Backup-Strategie nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine offline. Regelmäßig getestete Wiederherstellung — nicht nur dokumentierte
• SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Open-Source-Lösungen wie Wazuh bieten Enterprise-Funktionalität ohne Lizenzkosten
• Incident-Response-Plan: Wer wird informiert? Wer entscheidet über Abschaltung? Wie kommuniziert die Hochschule ohne E-Mail? Diese Fragen müssen vor dem Ernstfall geklärt sein