[datensicherheit.de, 21.03.2026] Zimperiums aktueller Sicherheitsreport über Mobile-Banking hat demnach 34 Malware-Familien identifiziert, welche 1.243 Apps für Bank-, Finanz- und „Kryptogeld“-Geschäfte in 90 Ländern kompromittieren – diese neue Sicherheitsstudie zeige, dass Mobile-Banking-Apps die größte Gefahr für Finanzbetrug seien. So verbreite sich in Deutschland die neue Schadsoftware „Crocodilus“ besonders schnell – dieser „Android“-Banking-Trojaner habe sich auf die Geräteübernahme, Raub von Bankdaten und den Diebstahl von „Kryptowährungen“ spezialisiert.

Abbildung: Zimperium

„2026 Banking Heist Report“: Dokumentation einer gewachsenen Bedrohungslandschaft, welche klassische Verteidigungsmechanismen grundlegend aushebelt

Bedrohungsakteure entwickeln Angriffskampagnen kontinuierlich weiter

Im Laufe des Jahres 2025 habe das „zLabs“-Team von Zimperium 34 aktive Malware-Familien identifiziert, welche mobile Anwendungen von 1.243 Finanzinstitute in 90 Ländern gefährdeten.

• Die Zahl der mit „Android“-Malware gesteuerten Finanztransaktionen sei im Jahresvergleich um 67 Prozent gestiegen. Zimperium-Sicherheitsforscher sehen darin „keine isolierten Vorfälle“, sondern stufen solche Aktivitäten als „Bestandteil ausgeklügelter und skalierbarer Kampagnen“ ein.

Bedrohungsakteure entwickelten ihre Angriffskampagnen kontinuierlich weiter, um App-Sicherheitskontrollen zu umgehen und betroffene Organisationen sowie ihre Kunden zu schädigen.

Zentrale Ergebnisse der aktuellen Zimperium-Studie im Überblick:

• In Deutschland seien insgesamt 48 Malware-Familien aufgespürt worden – die Malware-Familie „Crocodilus“ stelle dabei eine neue Gefahr dar. Diese mobile Schadsoftware nutze „Blackout“-Modi, welche „Android“-Mobilgeräte im ausgeschalteten Zustand anzeigten, während tatsächlich heimlich Geldüberweisungen durchgeführt würden.
• Die meisten Mobilangriffe in Europa erfolgten über ausgeklügelte 2FA-Bypass-Tools wie „Teabot“ und „Godfather“.
• Hauptangriffsziel seien die USA: Dort gebe es weltweit die meisten attackierten Finanz-Apps – mittlerweile würden 162 Banking- und Fintech-Apps ins Visier genommen.
• „TsarBot“, „CopyBara“ und „Hook“: Diese drei Malware-Familien zusammen visierten mehr als 60 Prozent der weltweit untersuchten Banking- und Fintech-Apps an.
• Nach dem Betrug ist vor der Erpressung: In jedem zweiten Fall verfügten die analysierten Malware-Familien auch über Möglichkeiten zur finanziellen Erpressung – beispielsweise mit Ransomware-Funktionen zur Verschlüsselung aller Daten eines infizierten Endgeräts.

Foto: Zimperium

Krishna Vishnubhotla: KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war

Weiterentwicklung der Mobile-Banking-Malware kann zu vollständiger Kontrolle über mobile Gerät führen

Der nun vorliegende „2026 Banking Heist Report“ dokumentiert laut Zimperium „eine gewachsene Bedrohungslandschaft, die klassische Verteidigungsmechanismen grundlegend aushebelt“. Die Ergebnisse verdeutlichten, dass Betrug nicht erst auf dem Server, sondern bereits auf mobilen Endgeräten beginne. Finanzinstitute könnten skalierbare Betrugsversuche verhindern und gesetzliche Sicherheitsregularien einhalten, „indem sie Mobil-Apps gegen ,Reverse Engineering’ härten, die Laufzeit-Integrität sicherstellen und Geräterisiken analysieren“.

• „KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war. Die enorme Weiterentwicklung von Mobile-Banking-Malware bedeutet, dass nicht nur Passwörter gestohlen, sondern die vollständige Kontrolle über ein Gerät erreicht werden kann“, erläutert Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

Abschließend gibt er warnend zu bedenken: „Moderne Banktrojaner fangen Authentifizierungscodes und Telefonate ab und verbergen sich vor Sicherheitssystemen. Sie täuschen legitime Online-Banking-Verbindungen vor, die weder auf Kunden- noch Bankseite verdächtig wirken. Wird der Betrug entdeckt, ist es bereits zu spät!“

Weitere Informationen zum Thema:

Zimperium
The World Leader in Mobile Device & Application Security

Zimperium
2026 Mobile Banking Heist Report

datensicherheit.de, 29.11.2025
Sturnus: Android-Banking-Trojaner eine weitere gefährliche Eskalation beim Mobil-Betrug / „Sturnus“ führt vor Augen, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützt – aber kein kompromittiertes Gerät

datensicherheit.de, 28.09.2023
Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App / Kaspersky deckt neue Bedrohungen gegen Krypto-Wallets auf

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 20.03.2026] Illumio hat auf Basis der von der CyberEdge Group im Auftrag von Illumio durchgeführten Studie „The Containment Gap – Exploring the Distance Between Detection and Resilience” gemeldet, dass zwar 98 Prozent der deutschen Organisationen überzeugt seien, Cyberangriffe erkennen zu können – doch fast 40 Prozent hätten Schwierigkeiten, diese zu stoppen, während die Anzahl der Attacken mittels Künstlicher Intelligenz (KI) weiter zunehme. Für die vorliegende Studie wurden demnach 700 IT- und Sicherheitsentscheider aus sieben Ländern (USA, Großbritannien, Deutschland, Frankreich, Japan, Australien und Brasilien) befragt – sämtliche teilnehmenden Organisationen beschäftigten mindestens 1.000 Mitarbeiter; ein signifikanter Anteil der befragten Organisationen habe mehr als 10.000 Beschäftigte.

Abbildung: Illumio

Aktuelle Illumio-Studie: „The Containment Gap – Exploring the Distance Between Detection and Resilience”

Viele Organisationen genau dann verwundbar, wenn schnelle Reaktionen gefragt sind

Eine neue weltweite Studie der CyberEdge Group zeige eine erhebliche Lücke zwischen der Fähigkeit von Organisationen, Cyberangriffe zu erkennen, und ihrer Fähigkeit, diese einzudämmen, auf. Dadurch seien viele Organisationen genau dann verwundbar, wenn schnelle Reaktionen entscheidend sind.

• Für die von der Illumio Inc. in Auftrag gegebene Studie seien 700 IT- und Sicherheitsentscheider in Nordamerika, Europa, dem Asiatisch-Pazifischen Raum und Lateinamerika befragt worden, darunter 100 in Deutschland.

Eine zentrale Erkenntnis sei: 98 Prozent der deutschen Organisationen (global: 95%) gäben an, unautorisierte laterale Bewegungen erkennen zu können, doch zugleich räumten 38 Prozent (global: 46%) ein, Schwierigkeiten zu haben, diese zu stoppen.

Kritische Lücke zwischen Selbsteinschätzung und realer Handlungsfähigkeit

Diese Ergebnisse zeigten eine kritische Lücke zwischen der Selbsteinschätzung deutscher Organisationen, Cyberangriffe zu erkennen, und ihrer realen Fähigkeit, sie einzudämmen, auf. Viele Organisationen seien also weiterhin nicht in der Lage, kompromittierte Systeme schnell genug zu isolieren, um eine Eskalation zu verhindern.

Zentrale Ergebnisse der Studie für Deutschland:

1. Verborgene Angriffswege bestehen trotz Visibilität
   74 Prozent der deutschen Organisationen entdeckten bislang unbekannte Kommunikationspfade nur wöchentlich oder noch seltener. Dadurch blieben potenzielle Angriffswege unentdeckt und könnten ausgenutzt werden.
2. „Blind Spots“ in der „Cloud“ sind das schwächste Glied
   Organisationen würden Verbindungen zwischen „Cloud“ und Rechenzentrum sowie „Multi-Cloud“-Umgebungen als Bereiche mit der geringsten Visibilität nennen. Dies erschwere die Erkennung lateraler Bewegungen über dynamische Infrastrukturen hinweg.
3. Verzögerte Eindämmung erhöht das Risiko
   Nur zwölf Prozent der deutschen Organisationen könnten eine kompromittierte „Workload“ nahezu in Echtzeit isolieren. Mehr als die Hälfte (52%) benötige dafür Stunden, Tage oder sogar Wochen – wodurch das Risiko von Betriebsunterbrechungen, Datenverlust oder Erpressung steige.

„Eine verzögerte Eindämmung ist eine verlorene Eindämmung!“, kommentiert Steve Piper, Gründer und CEO der CyberEdge Group. Er führt weiter aus: „Nur eine kleine Minderheit der befragten Organisationen kann kompromittierte ,Workloads’ nahezu in Echtzeit isolieren, während mehr als die Hälfte dafür Stunden oder Tage benötigt. Diese Verzögerung schafft ein kritisches Zeitfenster, in dem Angreifer sich lateral bewegen, Privilegien ausweiten und den Schaden eines Angriffs erheblich steigern können!“

Zentrale Cyberbedrohung: KI-gestützte Cyberangriffe überholen Ransomware

Die Studie zeige außerdem, dass KI-gestützte Angriffe – darunter Deepfake-Imitationen – inzwischen zu den drei größten Cyberbedrohungen in Deutschland zählten. Als größte Bedrohung werde am häufigsten Diebstahl von Daten und Geistigem Eigentum (61%) genannt, gefolgt von den KI-gestützten Angriffen (56%).

• Erst auf Platz 3 lägen nun Ransomware und Erpressung (52%), während gezielte Angriffe auf kritische Dienste von 50 Prozent der Befragten als größte Risiko genannt würden.

Trotz dieser Entwicklung bei den Cyberbedrohungen sähen Organisationen in Deutschland ihre größten Cyberrisiken weiterhin in Defiziten bei grundlegenden Kontrollen und weniger in neuen Technologien. Als größte Risiken würden Befragte IT-Schwachstellen (63%), Diebstahl von Zugangsdaten und Rechteausweitung („Privilege Escalation“, 47%) sowie menschliche Fehler, Unachtsamkeit oder Fehlverhalten von Mitarbeitern (41%) nennen. Dagegen betrachteten nur 19 Prozent die unkontrollierte Nutzung großer Sprachmodelle (LLMs) als erhebliches Risiko.

Mikrosegmentierung: Organisationen erkennen deren Nutzen

Um Risiken zu reduzieren und die Lücke zwischen Erkennung und Eindämmung von Cyberangriffen zu schließen, setzten Organisationen in Deutschland zunehmend auf Mikrosegmentierung. Als deren wichtigste Vorteile würden die Befragten höhere Visibilität (45%), schnellere Erkennung und Reaktion auf Cyberangriffe (43%) und stärkere Eindämmung von Sicherheitsvorfällen („Breach Containment“) sowie Risikoreduktion (41%) nennen.

• Bei der Umsetzung von Mikrosegmentierung stießen die deutschen Befragten auf diese Hürden: Kosten (40%), zu viele parallel laufende Sicherheitsinitiativen (36%) sowie unklare Zuständigkeiten zwischen Security-, IT-, Applikations- und Netzwerkteams (35%).

„Die meisten Organisationen erkennen einen Angriff – ihn zu stoppen ist jedoch eine andere Herausforderung!“, erläutert Raghu Nandakumara, „Vice President of Industry Strategy“ bei Illumio. Indem Cyberangreifer KI einsetzten, erschwerten sie die Interpretation und Eindämmung von Cyberangriffen, so dass selbst kleine Sicherheitsvorfälle schnell eskalieren könnten. Nandakumara gibt abschließend zu bedenken: „Mikrosegmentierung gehört zu den wenigen Kontrollen, die sowohl die Visibilität verbessern als auch die Bewegungsfreiheit eines Eindringlings begrenzen – vorausgesetzt, sie wird präzise, skalierbar und konsistent umgesetzt.“

Weitere Informationen zum Thema:

illumio
The world leader in breach containment / Illumio is the first and only platform built for breach containment. Powered by an AI security graph. Enabling your Zero Trust journey.

illumio
Raghu Nandakumara: Vizepräsident, Industriestrategie

illumio
The Containment Gap: Exploring the Distance Between Detection and Resilience / Uncover the containment gap between detecting threats and stopping breaches, and learn why fast isolation defines modern cyber resilience today worldwide.

CYBEREDGE GROUP
Company Overview: Marketing and Research Services for Cybersecurity Vendors

CYBEREDGE GROUP
Our Team / A Wealth of Security Industry Experience

datensicherheit.de, 29.08.2025
Best Practices für Unternehmen: 8 Cohesity-Tipps zum Schutz vor Cyberangriffen / Unternehmen sollten Cohesity-Tipps als „Leitplanken für die Stärkung ihrer Cyberresilienz“ nutzen

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand / Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

Ein Kommentar von Gerald Eid, Regional Managing Director EMEA bei Getronics

[datensicherheit.de, 19.03.2026] Jüngste Medienberichte über den Energiekonzern E.ON zeichnen ein alarmierendes Bild: Dass täglich hunderte Cyberangriffe abgewehrt werden müssen und sich die Zahl der Attacken binnen fünf Jahren verzehnfacht hat, markiert einen kritischen Wendepunkt für den Wirtschaftsstandort Deutschland. Die Sicherheit unserer Energieversorgung ist kein stabiler Zustand mehr, sondern ein permanenter Abwehrkampf.

Gerald Eid, Regional Managing Director EMEA bei Getronics, Bild: Getronics

Geopolitische Spannung erzeugen Handlungsbedarf

Die aktuellen geopolitischen Spannungen verpflichten die deutsche Wirtschaft zum Handeln. Die Gefahr für die eigene Produktion kommt heute über die Steckdose: Ein erfolgreicher Angriff auf den Netzbetreiber führt unmittelbar zum Stillstand der physischen Abläufe. Jeder muss heute auf den Ernstfall einer Katastrophe wie einen langanhaltenden Stromausfall vorbereitet sein. Unternehmen, die diese Risiken nicht sehen oder gar verdrängen, handeln nicht nur fahrlässig, sondern schlichtweg nicht mehr wirtschaftlich.

Das Risiko-Duo: Instabile Stromnetze und digitale Einfallstore

Wir erleben gerade eine gefährliche Zuspitzung, bei der physische Instabilität auf digitale Verwundbarkeit trifft. Während die Belastbarkeit der Stromnetze durch extreme Wetterereignisse und schwankende Lasten ohnehin an ihre Grenzen stößt, vergrößert die rasant fortschreitende Vernetzung von Industrie und Gesundheitswesen die Angriffsfläche massiv. In diesem überreizten System wird jeder neue digitale Zugangspunkt zu einem kritischen Risiko, da schon minimale Störungen ausreichen, um eine systemweite Kettenreaktion auszulösen.

Ein systemischer Kollaps beginnt dabei fast nie im Kraftwerk selbst. Er startet an den digitalen Schnittstellen. Ein kompromittierter Zugang am Arbeitsplatz kann die Brücke schlagen, über die sich ein Angreifer bis in die sensiblen Steuerungssysteme der Netze vorarbeitet. Damit wird die Büroumgebung zum potenziellen Auslöser für einen großflächigen Blackout.

Strategien für eine krisenfeste Energieversorgung:

• Eigenständige Stromversorgung durch Insel-Lösungen: Unternehmen müssen in der Lage sein, ihre Standorte autark zu betreiben. Dezentrale Anlagen mit lokaler Energieerzeugung und intelligenter Steuerung ermöglichen es, sich bei Instabilitäten sofort vom Hauptnetz abzukoppeln und kritische Prozesse unterbrechungsfrei weiterzuführen.
• Aktive Laststeuerung als Schutzschild: Durch die enge Verknüpfung von IT und Gebäudetechnik lassen sich Stromflüsse in Echtzeit steuern. Wer seinen Bedarf über digitale Kontrollinstrumente überwacht und bei Bedarf senkt, entlastet nicht nur die eigenen Kosten, sondern stabilisiert aktiv das Gesamtsystem und verhindert so eine provozierte Überlastung der Netze.
• Gesetzliche Vorgaben als strategischer Anker: Die neuen EU-Richtlinien sind weit mehr als eine reine Pflichtübung. NIS2 und die CER-Richtlinie fordern zu Recht, dass Maßnahmen zur Katastrophenhilfe und zum Schutz kritischer Anlagen fester Bestandteil der Unternehmensführung werden. Es geht darum, das Risikomanagement über die eigenen Werkstore hinaus auf die gesamte Versorgungskette auszuweiten.
• Vorsorge für extreme Ausfallszenarien: Da absolute Sicherheit nicht existiert, entscheidet die Reaktionsfähigkeit im Ernstfall. Ausgearbeitete Notfallpläne für einen langanhaltenden Stromausfall sind heute das einzige Mittel, um die massiven Kosten eines kompletten Produktionsstopps abzufedern.

Die aktuelle Bedrohungslage beweist, dass Cybersicherheit und die physische Verfügbarkeit von Energie untrennbar zusammengehören. Echte Vorsorge beginnt beim Schutz des einzelnen Nutzers und endet erst bei einer Architektur, die auch ohne externe Stromzufuhr handlungsfähig bleibt.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2026
TÜV-Verband zum Stromausfall in Berlin: Deutschlands Infrastruktur braucht mehr Resilienz

datensicherheit.de, 14.08.2023
Drohender Totalausfall: Sicherheitslücken in Rechenzentren könnten Energieversorgung lahmlegen

[datensicherheit.de, 18.03.2026] Die Qualys Threat Research Unit (TRU) hat eine hochkritische Schwachstelle (CVE-2026-3888) in Standardinstallationen von Ubuntu Desktop 24.04 und den neueren Versionen identifiziert. Die Lücke erlaubt es, einem lokal angemeldeten Angreifer mit geringen Rechten, diese auf vollständigen Root-Zugriff auszuweiten – und damit die vollständige Kontrolle über das System zu erlangen.

Schwachstelle (CVE-2026-3888) in Standardinstallationen von Ubuntu Desktop, Bild: Qualys

Schwachstelle durch Zusammenspiel zweier zentraler Systemkomponenten

Bemerkenswert an dieser Schwachstelle ist, dass sie nicht auf einen einzelnen Fehler zurückzuführen ist, sondern auf das Zusammenspiel zweier zentraler Systemkomponenten. Konkret entsteht die Lücke durch eine unbeabsichtigte Interaktion zwischen snap-confine, das mit erhöhten Rechten die Sandbox für Snap-Anwendungen aufsetzt, und systemd-tmpfiles, das für die automatische Bereinigung temporärer Verzeichnisse zuständig ist.

Unter bestimmten Bedingungen kann ein Angreifer genau diesen Mechanismus ausnutzen. Über einen Zeitraum von mehreren Tagen oder Wochen – abhängig von den Systemeinstellungen – löscht systemd-tmpfiles ein für snap-confine relevantes Verzeichnis. Wird dieses anschließend vom Angreifer mit manipulierten Inhalten neu angelegt, verarbeitet snap-confine diese Daten beim nächsten Start einer Snap-Anwendung mit Root-Rechten. Das Ergebnis ist die Ausführung beliebigen Codes mit maximalen Privilegien.

Auch wenn der Angriff aufgrund des erforderlichen Zeitfensters als technisch anspruchsvoll gilt, ist die potenzielle Auswirkung erheblich. Mit einem CVSS-Wert von 7,8 wird die Schwachstelle als „hoch“ eingestuft und unterstreicht, dass selbst etablierte Systemkomponenten zu kritischen Sicherheitsrisiken werden können, wenn ihre Interaktionen nicht vollständig berücksichtigt sind.

Aus sicherheitstechnischer Sicht verdeutlicht der Fund ein grundlegendes Problem moderner Linux-Umgebungen: Die zunehmende Modularität – etwa durch Snap, systemd oder containerisierte Architekturen – erweitert die Angriffsfläche auf eine Weise, die oft erst im Zusammenspiel einzelner Komponenten sichtbar wird. Die Schwachstelle entsteht hier nicht durch eine klassische Fehlkonfiguration, sondern durch die Kombination von Berechtigungsgrenzen und automatisierten Systemprozessen.

Patches für Ubuntu Desktop ab Version 24.04 umgehend einspielen

Unternehmen, die Ubuntu Desktop ab Version 24.04 einsetzen, sollten die verfügbaren Patches umgehend einspielen. Aktualisierte Versionen des snapd-Pakets stehen bereits bereit, und eine schnelle Behebung ist entscheidend, um potenzielle Angriffe zu verhindern.

Im Zuge der Analyse identifizierten die Forscher zudem eine weitere Schwachstelle in der Vorabprüfung von Ubuntu 25.10. Eine Race Condition im „rm“-Befehl der Rust-basierten uutils coreutils hätte es Angreifern ermöglichen können, Dateioperationen in privilegierten Cron-Jobs zu manipulieren. Diese Schwachstelle wurde noch vor der Veröffentlichung geschlossen, unter anderem durch die Rückkehr zur GNU-coreutils-Implementierung.

Unterstützung bei der Erkennung und Priorisierung betroffener Systeme bietet nach Unternehmensangaben z.B. die Qualys-Plattform, die entsprechende Assets identifizieren und gezielte Maßnahmen zur Behebung ermöglichen kann.

Die Entdeckung von CVE-2026-3888 zeigt einmal mehr, dass lokale Privilegieneskalation ein zentrales Risiko bleibt – und dass Sicherheitslücken zunehmend aus komplexen Wechselwirkungen innerhalb moderner IT-Umgebungen entstehen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.03.2026
„CrackArmor“: Neun Sicherheitslücken in Millionen von Linux-Systemen entdeckt

[datensicherheit.de, 17.03.2026] Karsten Hauffe, „Head of Public, Defense & Energy“ bei NTT DATA DACH, kommentiert die gegenwärtige geopolitische Situation wie folgt: „Ukraine, Grönland, Iran – die geopolitischen Umbrüche der vergangenen Tage, Wochen und Monate haben eines deutlich gemacht: Die alte Weltordnung existiert nicht mehr – Europa muss sich von Abhängigkeiten befreien und selbst für seine Sicherheit sorgen. Rüstung und Verteidigung sind daher keine Tabuthemen mehr, sondern stehen in Brüssel, Berlin und den anderen europäischen Hauptstädten inzwischen wieder ganz weit oben auf der Agenda!“

Foto: NTT DATA

Karsten Hauffe: Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können

In Europa fließen viele Milliarden in Lösungen für zuverlässige digitale Kommunikation und KI-Auswertung

„Fast alle EU-Staaten haben ihre Verteidigungsausgaben erhöht und investieren kräftig in neues Material und moderne Technologien. Viele Milliarden fließen dabei auch in Lösungen für die zuverlässige digitale Kommunikation und die KI-Auswertung von Aufklärungsdaten, in softwaregesteuerte Waffensysteme und natürlich in eine effiziente digitale Verwaltung“, so Hauffe.

• Schließlich benötige eine schlagkräftige Truppe auch schnelle und reibungslose Beschaffungs- und Versorgungsprozesse.

Mehr noch als die Wirtschaft und die öffentliche Verwaltung seien das Militär, seine Dienstleister und seine Zulieferer allerdings auf robuste, sichere und souveräne Lösungen angewiesen. Jede digitale Komponente müsse jederzeit absolut zuverlässig funktionieren, „damit die europäischen Staaten im Verteidigungs- und Bündnisfall handlungsfähig bleiben“.

Hyperscaler für Europa ungeeignet – zu großes Risiko, von anderen Mächten fremdbestimmt zu werden

Anders als in den meisten Unternehmen, in denen ein Hacker-Angriff oder der Ausfall eines „Cloud“-Dienstes vor allem finanzielle Schäden verursache und schlimmstenfalls Arbeitsplätze kosten könne, stünden bei kompromittierten oder nicht zur Verfügung stehenden Militärsystemen schnell Menschenleben und die nationale Unabhängigkeit auf dem Spiel.

• Hyperscaler sowie proprietäre Architekturen und Plattformen seien deshalb ungeeignet – „zu groß ist das Risiko, dass fremde Mächte ihre Abschaltung veranlassen, die Funktionalitäten einschränken oder auf die gespeicherten Daten zugreifen“.

„Combat Clouds“ beispielsweise, „in denen Daten von Sensoren, Verteidigungssystemen und Kommandoeinheiten zusammenfließen und in Echtzeit über Satelliten oder 5G ausgetauscht werden“, müssten daher auf Basis souveräner Plattformen als „Private Cloud“ oder sogar „Air-Gapped Cloud“ gestaltet werden.

Aufbau Souveräner Umgebungen in Europa – große Sorgfalt bei Auswahl der Anbieter sowie sicherer Implementierung

Aber auch in anderen Bereichen wie der Verwaltung sei es unerlässlich, „dass Anwendungen auf eigenen, unabhängigen Infrastrukturen laufen und wichtige Daten den Perimeter nie verlassen“.

• Dabei erfordere der Aufbau solcher Souveränen Umgebungen nicht nur große Sorgfalt bei der Auswahl der Anbieter, sondern auch bei der sicheren Implementierung – „stehen sie doch ganz besonders im Visier von (oft staatlich organisierten) Hacker-Gruppierungen“. 2025 seien nämlich Regierungs- und Militärorganisationen die am zweithäufigsten via Ransomware attackierte „Branche“ gewesen.

Der Schutz militärischer Netzwerke und Systeme erfordere weit mehr als verschlüsselte Verbindungen und Firewalls: Notwendig seien mehrstufige Sicherheitsansätze mit Echtzeit-Bedrohungsanalysen, autonomen Reaktionen und „Zero Trust“-Prinzipien – sowie der Aufbau einer modernen Sicherheitskultur. „In dieser werden alle Beteiligten mit Trainings für sicherheitsbewusstes Verhalten sensibilisiert und betrachten Fehler als Chance für Verbesserungen statt für Schuldzuweisungen.“

Europa kann nur mittels sicherer und souveräner Lösungen verteidigungsfähig werden

Anwender müssten akzeptieren, dass bei der Nutzung digitaler „Tools“ viel Disziplin notwendig sei – und übergeordnete Stellen in der Beschaffung müssten den Fokus weg von Preis- und „Feature“-Vergleichen auf Kriterienkataloge richten, welche auch Portabilität, Auditierbarkeit, Lieferketten-Transparenz und Exit-Strategien berücksichtigten.

• Letztlich könne sich Europa nur mit sicheren und souveränen Lösungen verteidigungsfähig machen. Hauffe: „Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können.“

Souveränität bedeute hingegen nicht, alles in Eigenregie stemmen zu müssen, denn dafür sei der Modernisierungsbedarf einfach zu groß und die moderne IT- und KI-Welt zu komplex. Vielmehr könne es durchaus sinnvoll sein, Expertise von außen hinzuzuziehen, „solange die Partner unabhängig und vertrauenswürdig sind“. Hauffe gibt abschließend zu bedenken: „Schließlich muss nicht nur eine robuste, sichere und souveräne Verteidigungslandschaft aufgebaut, sondern diese auch langfristig gepflegt und kontinuierlich an neue Bedrohungsszenarien sowie technologische Neuerungen angepasst werden!“

Weitere Informationen zum Thema:

NTT DATA
NTT DATA Technology Foresight 2026 / Nachhaltiges Wachstum im Zeitalter allgegenwärtiger Intelligenz

Linkedin
Karsten Hauffe

EUROPEAN DEFENCE AGENCY, 02.09.2025
EU defence spending hits €343 bln in 2024, EDA data shows

CHECK POINT
Was ist Ransomware?

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

[datensicherheit.de, 15.03.2026] CBL Datenrettung geht in einer aktuellen Stellungnahme auf den Umstand ein, dass IT-Nutzern wohl bekannt sein dürfte, dass Daten von defekten Festplatten, RAIDs, SSDs, Speicherkarten oder Smartphones von spezialisierten Dienstleistern wiederhergestellt werden können. Doch abseits der Hilfe bei „IT-Katastrophen“ gebe es eine eher noch wenig beachteten Nische: Defekte Steuerungssysteme von alten Werkzeugmaschinen oder Anlagen ohne Herstellersupport könnten in vielen Fällen rekonstruiert werden, „wenn die Ursache im Schaden an einem Datenträger liegt“. CBL Datenrettung gibt zu bedenken: „Wenn man die Kosten durch Ausfallzeiten in der Produktion und die Lieferzeiten für Maschinen bedenkt, ist Datenrettung immer ein lohnender Versuch, die Maschine wieder betriebsbereit zu machen!“

Foto: CBL Datenrettung

Conrad Heinicke: Unsere Erfolgsrate im Bereich der Maschinendatenrettung liegt bei 85 bis 90 Prozent

Erfolgsrate im Bereich der Maschinendatenrettung bei 85 bis 90%

Produktlebenszyklen industrieller Maschinen sind um ein Vielfaches länger als bei IT-Systemen und Datenträgern. Somit hat es die Datenrettung bei alten Maschinensteuerungen, „Embedded Systemen“ oder Industrie-PCs nicht nur mit alter Hardware bis zurück zur Diskette sowie proprietären Programmen und Formaten zu tun, zu denen den Anwendern die Dokumentation fehlt:

• Eine weitere Herausforderung ist demnach, dass häufig zudem Betriebssysteme bootfähig mitgerettet werden müssten – in der Datenrettung eigentlich unüblich.

„Unsere Erfolgsrate im Bereich der Maschinendatenrettung liegt bei 85 bis 90 Prozent. Doch selbst wenn man das Pech hat, zu den wenigen zu gehören, bei denen es nicht klappt: Da ein Datenrettungsauftrag bei CBL ohne finanzielles Risiko ist, lohnt es sich auf jeden Fall – selbst, wenn schon eine Ersatzmaschine bestellt wurde“, so Conrad Heinicke, Geschäftsführer bei CBL Datenrettung GmbH.

Mittels Datenrettung Ausfallzeiten verkürzen

Wenn eine Maschine für die Arbeitsfähigkeit eines Betriebes zentral ist, man auf die Lieferung einer Ersatzmaschine aber beispielsweise mindestens sechs Wochen warten muss, rechneten sich die Kosten einer Datenrettung auf jeden Fall, zumal man die Ausfallzeit mit wiederhergestellten Daten auf rund sieben Tage verkürzen könne.

• Daten zu eventuell bereits erstellte Vorlagen und entworfene Produkte ebenfalls zu retten, sei ein zusätzlicher Vorteil. Auch die Einarbeitung in die neue Maschine könne dann entspannter angegangen werden. Die durch Datenrettung wiederbelebte Altmaschine könne schließlich als Ersatz behalten oder gar verkauft werden.

Heinicke berichtet aus der Praxis: „Wir haben in diesem Bereich ungewöhnliche Fälle, wie die Steuerung einer Seilbahn, deren Hersteller nicht mehr existiert oder besonders kritische, bei denen die Existenz von Handwerks- oder kleinen Industriebetrieben gefährdet wird. Wir konnten zum Beispiel die CNC-Säge eines Steinmetzes wieder nutzbar machen. Da er nur noch zehn Jahre bis zur Rente hatte, kam für ihn die Anschaffung einer neuen Maschine wirtschaftlich nicht mehr in Frage.“

Diagnose und Kostenvoranschlag der Datenrettung kostenlos

Bereits bei Datenverlusten im IT-Bereich sei jeder Fall individuell zu betrachten, bei Datenträgern als Teil einer industriellen Steuerung umso mehr. Diagnose und Kostenvoranschlag seien deshalb bei CBL Datenrettung kostenlos.

• „Auch wenn der Kunde die Datenrettung beauftragt, hat er kein finanzielles Risiko. Dank der ,keine Daten – keine Kosten’-Garantie stellt ihm CBL nur dann eine Rechnung, wenn die benötigten Zieldaten funktionsfähig rekonstruiert wurden.“

Um diese Möglichkeit zur Rettung von Bestandsmaschinen bekannter zu machen, gewährt CBL Datenrettung nach eigenen Angaben bis Ende April 2026 zehn Prozent Rabatt auf die Kosten einer Datenrettung von Maschinendaten. Die Diagnose sei „wie immer bei CBL“ kostenlos und eine Rechnung werde nur im Erfolgsfall gestellt.

Weitere Informationen zum Thema:

CBL Datenrettung
Datenrettung und Datenwiederherstellung / CBL ist der Datenretter für professionelle Wiederherstellung von defekten Festplatten, RAID oder SSD mit eigenem Reinraum Labor in Deutschland

DIE RHEINPFALZ, Martin Kling, 12.02.2026
Die Kaiserslauterer Profis von der Firma CBL können (fast) alle Daten retten / Conrad Heinicke zeigt das Labor der CBL-Datenretter in Kaiserslautern

STORAGE INSIDER, Barbara Gribl, 24.11.2025
Licht auf der Schattenseite der IT 25 Jahre CBL Datenrettung in Deutschland

IHK Pfalz
CBL Datenrettung GmbH

datensicherheit.de, 22.05.2024
Drohender Datenverlust nach Überschwemmung – was zur Datenrettung wichtig ist / CBL benennt drei Fehler bei potenziellem Datenverlust, die nach einer Flut vermieden werden müssen

[datensicherheit.de, 15.03.2026] Thomas Sonne, „Channel Sales Director“ bei Outpost24, warnt in seiner aktuellen Stellungnahme vor „gefährlichen ,Easter Eggs’ im Postfach“ – auch die bevorstehenden Osterfeiertage bedeuten für viele Unternehmen wieder eine reduzierte Besetzung. Sonne gibt zu bedenken: „Projektabschlüsse vor dem langen Wochenende, Abwesenheitsnotizen im E-Mail-Postfach und der gedankliche Wechsel in den Urlaubsmodus sorgen für eine veränderte Aufmerksamkeitsspanne.“ Genau diese Kombination nutzten nun Cyberkriminelle gezielt aus: Phishing-Kampagnen rund um Feiertage gehörten seit Jahren zu den effektivsten Methoden, um Zugangsdaten abzugreifen oder Schadsoftware in Unternehmensnetze einzuschleusen.

Feiertags- bzw. Urlaubsmodus als Einfallstor für Phishing-Attacken

Besonders kurz vor Feiertagen steige das Aufkommen täuschend echter E-Mails deutlich an. „Dringende Zahlungsfreigaben oder Passwort-Resets wirken in Stresssituationen besonders glaubwürdig“, warnt Sonne.

• Gleichzeitig fehle Personal, um bei Rückfragen zur Verfügung zu stehen – Verantwortliche seien dann bereits im Urlaub oder nur eingeschränkt erreichbar.

„Diese Kombination sorgt dafür, dass Mitarbeiter eher auf manipulierte Links klicken oder Anhänge unbedacht öffnen!“

Phishing öffnet Zugänge – verdächtige Aktivitäten bleiben häufiger unentdeckt

„Ein erfolgreicher Phishing-Angriff endet selten mit dem bloßen Abfluss einzelner Daten. Häufig nutzen Angreifer die abgefangenen Zugangsdaten als Einstiegspunkt für weiterführende Angriffe.“

• Wiederverwendete oder einfache Passwörter ermöglichten zudem, sich unbemerkt im Netzwerk zu bewegen – oft über Tage oder Wochen hinweg.

Problematisch sei dabei, dass kompromittierte Zugangsdaten nicht immer sofort auffielen: Während der Feiertage blieben ungewöhnliche Login-Versuche oder verdächtige Aktivitäten häufiger unentdeckt.

Technische Schutzmaßnahmen gegen Phishing notwendig – doch der Mensch muss mitwirken

Sonne führt aus: „Moderne Sicherheitslösungen erkennen viele Phishing-Versuche automatisiert. Dennoch bleibt der Mensch ein entscheidender Faktor. Kurz vor Feiertagen sinkt die Aufmerksamkeit, und dieser Faktor lässt sich technisch nur begrenzt kompensieren.“

Entscheidend sei ein Zusammenspiel aus technischen Kontrollen, klaren Prozessen und einer realistischen Einschätzung typischer Angriffsszenarien.

Dazu zählten unter anderem:

• mehrstufige Authentifizierungsverfahren für kritische Systeme
• regelmäßige Überprüfung kompromittierter Zugangsdaten
• Sensibilisierung für saisonale Phishing-Muster

Feiertage in Cyberabwehr-Strategie einbinden, um Phishing und Folge-Attacken abzuwehren

Cyberangriffe orientierten sich zunehmend an menschlichen Routinen – Feiertage eingeschlossen. Unternehmen, welche Sicherheitsstrategien auch auf solche Zeiträume ausrichteten, reduzierten ihr Risiko erheblich.

• „Gerade Ostern, Weihnachten oder die Sommerferien sind planbare Stress- und Abwesenheitsphasen, die sich gezielt absichern lassen!“, so Sonnes Fazit.

Auch in „Awareness“-Trainings im Alltag oder als „Reminder“ vor solchen Feiertagen sollten diese Themen noch einmal explizit aufgenommen werden.

Weitere Informationen zum Thema:

Outpost24
Volle Transparenz. Klare Prioritäten. Professionelle Sicherheit. / Behalten Sie Ihre Angriffsfläche kontinuierlich im Blick und erhalten Sie verwertbare Informationen, um schneller auf gezielte Bedrohungen gegen Ihre Organisation zu reagieren.

heise business services, Experten
Thomas Sonne / Channel Sales Director DACH, Outpost24

datensicherheit.de, 22.12.2025
Phishing-Hochsaison Weihnachten – Bitdefender-Analyse zu E-Mail-Spam / Jede zweite E-Mail mit Bezug auf Weihnachten bzw. den Weihnachtsurlaub ist bösartig – Deutschland als Adressaten- und Absenderland spielt eine nicht ganz unbedeutende Rolle

datensicherheit.de, 24.10.2025
Trick and Threat: Halloween auch in Deutschland Köder für saisonalen Internetbetrug / Deutschland laut Bitdefender-Telemetrie auf Rang 2 als Zielland für Spambetrug – 63 Prozent des Spams mit „Halloween“-Bezug sind bösartig und beabsichtigen, Malware zu implementieren oder Zugangsdaten oder Geld zu stehlen

datensicherheit.de, 05.08.2025
Ferienzeit als Hochsaison für Angreifer – DNS kann bei pre-emptive Security und Zero Trust für Entlastung sorgen / Da nahezu die gesamte Kommunikation über das „Domain Name System“ (DNS) läuft, ist es der ideale Ansatzpunkt für eine Sicherheitslösung

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

datensicherheit.de, 28.06.2024
Betrugs-Hochsaison während der Sommerferien: KnowBe4 warnt und gibt Sicherheitstipps / Cyber-Kriminelle sind unerbittlich und missbrauchen oft entspannte Ferienstimmung

[datensicherheit.de, 14.03.2026] Datensicherungen gehören in nahezu allen Unternehmen heute zum festen Bestandteil der IT-Strategie: Daten werden regelmäßig auf definierte Zielsysteme gesichert, Sicherungsläufe werden überwacht und ein erfolgreich abgeschlossenes Backup vermittelt zunächst ein Gefühl von Sicherheit. Indes gibt Serhan Berikol, Vertriebsleiter der Cristie Data GmbH, in seinem aktuellen Kommentar zu bedenken: „Doch in der Praxis zeigt sich immer wieder: Der eigentliche geschäftliche Mehrwert entsteht nicht durch die Sicherung selbst, sondern durch die Fähigkeit zur schnellen und vollständigen Wiederherstellung geschäftskritischer Daten und Systeme.“

Geschäftskritischer Faktor: Datenverfügbarkeit mittels Backups

Ein Backup, welches im Ernstfall nicht innerhalb der erforderlichen Zeit wiederhergestellt werden kann, erfüllt offensichtlich seinen Zweck allenfalls eingeschränkt. „Entscheidend ist daher nicht allein, ob Daten gesichert wurden – sondern ob die Wiederherstellbarkeit zuverlässig und regelmäßig überprüft wird!“, unterstreicht Berikol.

• Er warnt: „Ein Cyberangriff, ein Hardwareausfall oder auch ein einfacher Bedienfehler können jederzeit dazu führen, dass zentrale Datenbestände plötzlich nicht mehr verfügbar sind.“

Die Auswirkungen würden dann nicht nur die IT betreffen, sondern unmittelbar die operativen Geschäftsprozesse: „Produktionsabläufe kommen zum Stillstand, Kundenaufträge können nicht weiterbearbeitet werden und Mitarbeiter verlieren den Zugriff auf zentrale Anwendungen.“ Was zunächst wie ein technisches Problem erscheine, entwickele sich schnell zu einem unternehmerischen Risiko mit direkten wirtschaftlichen Folgen.

Chefsache: Backup und Recovery als unternehmerische Risikovorsorge

Der jährlich stattfindende „World Backup Day“ – der nächste ist der 31. März 2026 – soll daran erinnern, wie stark moderne Unternehmen inzwischen von der Verfügbarkeit ihrer Daten abhängig sind. „Ohne Zugriff auf Systeme und Daten ist ein stabiler Geschäftsbetrieb in vielen Organisationen heute kaum noch möglich.“

• Vor diesem Hintergrund sei Datensicherung längst kein rein technisches IT-Thema mehr. Berikol führt aus: „Vielmehr ist sie ein zentraler Bestandteil der unternehmerischen Risikovorsorge und der Cyberresilienz-Strategie – und damit auch ein Thema auf C-Level!“

Ein wirksames Backup- und Recovery-Konzept stelle sicher, dass Unternehmen auch nach einem Cyberangriff, einem technischen Defekt oder menschlichen Fehlern handlungsfähig blieben und geschäftskritische Systeme schnell wieder verfügbar seien.

Schnelle Wiederherstellung nur auf Basis funktionierender Backups

Viele Organisationen verließen sich primär auf präventive Schutzmaßnahmen wie Firewalls, Endpoint-Security oder Virenschutz. Diese seien zweifellos essenziell – dennoch könne kein System vollständige Immunität gegen Cyberangriffe oder technische Ausfälle garantieren.

• „Gerade bei Sicherheitsvorfällen spielt der Faktor Zeit eine entscheidende Rolle! Je länger Systeme und Daten nicht verfügbar sind, desto größer werden die wirtschaftlichen Schäden.“

Ohne verlässliche Backups fehle häufig die Grundlage für eine schnelle und kontrollierte Wiederherstellung der IT-Umgebung. Jedoch gelte auch: „Ein Backup allein garantiert jedoch noch keine Sicherheit!“

Unternehmen sollten ihre Backup-Strategie regelmäßig betreiben und systematisch überprüfen

Entscheidend sei, „dass die gesicherten Daten im Ernstfall vollständig, konsistent und innerhalb der definierten Wiederherstellungszeiten (RTO/RPO) verfügbar sind“. In der Praxis zeige sich jedoch immer wieder, „dass Backups unvollständig sind, beschädigt wurden oder sich nicht in der erwarteten Geschwindigkeit wiederherstellen lassen“.

• Aus diesem Grund sollten Unternehmen ihre Backup-Strategie nicht nur regelmäßig betreiben, sondern auch systematisch überprüfen.

Regelmäßige Restore-Tests seien ein zentraler Bestandteil moderner Cyberresilienz-Konzepte. Nur so lasse sich sicherstellen, „dass Systeme im Notfall tatsächlich schnell wieder produktiv genutzt werden können“.

Der „World Backup Day“ als Mahnung: Backup- und Recovery-Strategie auf dem Prüfstand

Der alljährliche „World Backup Day“ biete Unternehmen eine gute Gelegenheit, die eigene Backup- und Recovery-Strategie kritisch zu hinterfragen und potenzielle Risiken frühzeitig zu erkennen. Berikol unterstreicht: „Dabei geht es nicht nur um die Frage, ob Backups existieren, sondern vor allem darum, ob sie im Ernstfall auch tatsächlich funktionieren.“

Organisationen sollten sich daher regelmäßig mit folgenden zentralen Fragestellungen auseinandersetzen:

• „Werden alle geschäftskritischen Daten konsistent und regelmäßig gesichert?“
• „Sind Backup-Systeme selbst ausreichend gegen Cyberangriffe geschützt?“
• „Wann wurde die Wiederherstellung von Daten und Systemen zuletzt getestet?“

Berikols Fazit: „Denn letztlich entscheidet nicht die bloße Existenz eines Backups über die Sicherheit eines Unternehmens – sondern die Gewissheit, dass Daten und Systeme im entscheidenden Moment schnell und zuverlässig wiederhergestellt werden können!“

Weitere Informationen zum Thema:

christie
ÜBER CRISTIE DATA: Cristie Data steht seit über 50 Jahren für zuverlässige Speicher-, Backup- und Disaster-Recovery-Lösungen.

christie, 05.05.2025
Cristie News: Cristie Data ernennt Serhan Berikol zum Vertriebsleiter

WORLD BACKUP DAY
Schützen Sie Ihre Daten: Seien Sie vorbereitet gegen Datenverlust und Datendiebstahl. Sichern Sie Ihre Daten am 31. März.

datensicherheit.de, 01.01.2026
Zur erfolgreichen Digitalen Transformation muss 2026 IT-Sicherheit endlich Chefsache werden / ERP-Systeme bleiben begehrte Cyberangriffsziele – KI, Automatisierung und „Zero-Days“ verändern die Spielregeln für die IT und auch die Chefetage

datensicherheit.de, 30.03.2025
World Backup Day 2025 als Anlass für Überlegungen zu einer resilienten Datenschutzstrategie / Unternehmen sollte klar sein, in der heutigen digitalen Geschäftslandschaft ihre Daten nicht ungeschützt lassen zu können

datensicherheit.de, 27.03.2025
World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar / Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – etwa durch technische Defekte, Cyber-Angriffe oder Unfälle

datensicherheit.de, 25.03.2025
World Backup Day: Datensicherung zum Schutz vor Cyber-Angriffen unzureichend / Backups sind zweifellos ein essenzieller Bestandteil jeder IT-Sicherheitsstrategie – gleichzeitig vermitteln sie oft eine trügerische Sicherheit

[datensicherheit.de, 13.03.2026] Die Qualys Threat Research Unit (TRU) gab heute bekannt, dass sie „CrackArmor“ entdeckt hat, eine Reihe von neun Schwachstellen in AppArmor, einem weit verbreiteten Sicherheitsmodul im Linux-Kernel. Diese Schwachstellen haben seit 2017 über 12 Millionen Unternehmenssysteme, auf denen Ubuntu-, Debian- und SUSE-Distributionen laufen, angreifbar gemacht, sodass lokale Angreifer vollständigen Root-Zugriff erlangen, Container-Ausbrüche ausführen und systemweite Abstürze verursachen können.

„CrackAmor“, Bild: Qualys

CrackArmor-Sicherheitslücken nutzen eine „Confused Deputy”-Schwachstelle aus

Die CrackArmor-Sicherheitslücken nutzen eine „Confused Deputy”-Schwachstelle aus, die ein vertrauenswürdiges Programm mit höheren Berechtigungen dazu manipuliert, seine Befugnisse zu missbrauchen. Angreifer können Systemprozesse dazu verleiten, böswillige Aktionen in ihrem Namen auszuführen, wodurch sie Sicherheitskontrollen effektiv umgehen und sich unbefugten Zugriff verschaffen oder Berechtigungen eskalieren können, ohne dass sie über Administratorrechte verfügen müssen.

Erhebliches Risiko für zahlreiche Branchen

Die Entdeckung verdeutlicht ein erhebliches Risiko für zahlreiche Branchen. Zu den am stärksten betroffenen Branchen gehören Cloud Computing, Bank- und Finanzwesen, Fertigung, Gesundheitswesen und Behörden.

„Diese Entdeckungen zeigen kritische Lücken in der Art und Weise auf, wie wir uns auf Standard-Sicherheitsannahmen verlassen“, sagte Dilip Bachwani, Chief Technology Officer bei Qualys. „CrackArmor beweist, dass selbst die am besten etablierten Schutzmaßnahmen ohne Administratoranmeldedaten umgangen werden können. Für CISOs bedeutet dies, dass Patches allein nicht ausreichen. Wir müssen unsere gesamte Annahme darüber, was „Standardkonfigurationen“ für unsere Infrastruktur bedeuten, überdenken.“

Die Forscher von Qualys haben festgestellt, dass die einzige zuverlässige Methode zur Minderung der CrackArmor-Schwachstellen das sofortige Patchen des Kernels ist. Unternehmen werden dringend aufgefordert, die erforderlichen Sicherheitsupdates zu installieren, um ihre Systeme vor potenziellen Angriffen zu schützen.

Im Einklang mit dem Prozess der verantwortungsvollen Offenlegung hat das Qualys TRU-Team mehrere Monate lang mit den Upstream-Maintainern koordiniert und kommuniziert, um sicherzustellen, dass die Korrekturen vor der öffentlichen Veröffentlichung für alle Linux-Distributionen robust und stabil sind. Qualys arbeitet nach eigenen Angaben weiterhin mit der Community zusammen, um diese kritischen Sicherheitsprobleme zu beheben.

Weitere Informationen zum Thema:

blog.qualys.com
CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation to Root

datensicherheit.de, 20.07.2025
Fehlender Geschäftskontext: Trotz erhöhter Investitionen ausgebremstes Cyberrisiko-Management

Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 12.03.2026] Zero Trust hat sich als Prinzip einer Sicherheitsarchitektur in vielen Unternehmen etabliert: Vertrauen wird nicht vorausgesetzt, sondern fortlaufend überprüft mit dem Ziel, Zugriffe und Datenflüsse konsequent nach dem „Least-Privilege“-Prinzip abzusichern. In klassischen IT-Umgebungen ist dieser Sicherheitsansatz angekommen, aber in Produktionsumgebungen oder Systemen mit mobilem IoT-Datenverkehr besteht noch Nachholbedarf.

In diesen Bereichen ist der Datenverkehr bislang nur schwer oder mit großem Aufwand zu kontrollieren. Dazu zählen insbesondere OT- und IoT-Systeme, bei denen Mobilität in vielen Einsatzbereichen eine Rolle spielt. Gerade hier wächst die Anzahl der Anwendungsfälle rasant und mit ihr die Notwendigkeit, Zero Trust so zu erweitern, dass auch diese Umgebungen zuverlässig und praktikabel abgedeckt werden.

Christoph Schuhwerk, CISO in Residence bei Zscaler, Foto: Zscaler

Achillesferse der Datensicherheit

Im Zuge der Digitalisierung von großen Teilen der Industrie wird Flexibilität für Systeme und Mitarbeiter zunehmend zur Grundanforderung. Ein Beispiel sind Scanner im Warehouse-Management: Oft laufen diese Geräte nicht mit einem vollständigen Android-System, sondern mit einem stark reduzierten, geschlossenen System. Häufig kommen SIM-Karten zum Einsatz, über die das Gerät mit einem Gateway kommuniziert.

In der Praxis entstehen dadurch komplexe Kommunikationswege: Der Datenverkehr läuft beispielsweise beim Drucken von Labels über das Mobilfunknetz zu den Gateways der Mobilfunkbetreiber, von dort weiter zum Firmennetzwerk, dann zu einem Druckserver an einem anderen Standort und anschließend zum Drucker. Genau die Kommunikationskette kann zur Angriffsfläche werden. Nicht unbedingt weil einzelne Komponenten per se unsicher sind, sondern weil die Kette nur so stark ist wie ihr schwächstes Glied.

Ein weiteres typisches Szenario betrifft Maschinen, die nach der Inbetriebnahme weiterhin vom Hersteller überwacht und gewartet werden. Dafür werden beispielsweise Telemetriedaten oder Firmware-Updates übertragen. In der Vergangenheit wurden Zugriffsanforderungen oft mit eher improvisierten Methoden gelöst wie beispielsweise mit separaten Wartungs-Ports, die physisch verplombt wurden, oder über Fernwartungs-Zugänge, die zwar nur temporär geöffnet wurden, aber nicht durchgehend Ende-zu-Ende abgesichert waren. Denn irgendwo muss es immer eine Instanz geben, die den Traffic passieren lässt. Und genau dort ist die Achillesferse: eine kleine, aber entscheidende Schwachstelle, die immer wieder aufs Neue gefunden und geschlossen werden muss, wenn sichere Kommunikation gewährleistet sein soll.

Die SIM-Karte als Ausgangspunkt für Sicherheit

Viele der beschriebenen Use Cases entstehen dort, wo Geräte oder Dinge beweglich eingesetzt werden und über Mobilfunk kommunizieren müssen. In solchen Szenarien rückt die SIM-Karte als technischer Ankerpunkt in den Fokus: Genau hier findet der relevante und potenziell angreifbare Datenverkehr statt, den Angreifer als Einfallstor in weitere Netzbereiche nutzen könnten. Der Ansatz von Zero Trust Everywhere setzt deshalb möglichst nah am Gerät an und verschiebt den Beginn der Absicherung bis an den Kommunikationsursprung.

Konkret bedeutet das: Die SIM-Karte wird Bestandteil des Sicherheitskonzepts und der Datenverkehr wird direkt dort zu einem Microtunnel gebündelt und anschließend verschlüsselt Ende-zu-Ende übertragen. Auch der Mobilfunkanbieter kann den Traffic in diesem Modell nur verschlüsselt sehen, nicht jedoch die Inhalte. Geht ein Gerät verloren oder wird ein Gerät entwendet, kann es einzeln gesperrt werden. Dank Überprüfung des Gerätekontexts wird auch der Zugriff durch unautorisierte Parteien unterbunden. Umgekehrt fällt auch der Versuch der Manipulation der SIM-Karte auf und kann zur Sperrung des Geräts führen. Über einen Zero Trust-Ansatz z.B. mit Zscaler Cellular wird die Absicherung der Identität und des Datenflusses auch für mobile Endgeräte oder mobile und fahrbare Gegenstände einfach möglich.

Policies bleiben zentral, Netze werden austauschbar

Ein zentrales Ziel moderner Produktion ist eine weitgehend automatisierte Fertigung (Stichwort: „Dark Factory“). Teil- oder voll-autonome Roboter, Komponenten und Geräte müssen dabei kontinuierlich überwacht und kontrolliert werden, ohne die betriebliche Flexibilität zu verlieren. Genau hier stoßen klassische Netzwerkmodelle häufig an ihre Grenzen: Wenn ein Gerät den Standort wechselt, ist es oft zu aufwändig, Netzwerk-Policies immer wieder neu anzupassen und am alten Ort sauber zurück zu bauen.

Das Zero Trust Everywhere-Prinzip eliminiert diesen Aufwand, indem es die Security vom darunterliegenden Transportnetz entkoppelt: Die Policy wird Cloud-basiert vorgehalten und überwacht, während das Netzwerk selbst nur als Transportmedium fungiert. Damit spielt es für die Durchsetzung der Sicherheitsregeln keine entscheidende Rolle, ob ein Gerät über WLAN, 5G oder eine andere Technologie kommuniziert, wo es sich befindet oder wie schnell die Anbindung ist – solange eine Internetverbindung besteht.

Entscheidend dabei ist es, die starke Sicherheitskette möglichst früh zu beginnen und möglichst spät – also so nah wie möglich am anfragenden Gerät und am Datensatz – zu beenden und zwischen den Punkten eine durchgehende Verschlüsselung aufrechtzuerhalten. Auf diese Weise wird Zero Trust auf Teile des Ökosystems ausgedehnt, die bisher nur eingeschränkt erreichbar waren.

In solchen Anwendungsbereichen erkennen Unternehmen, dass Cybersicherheit nicht bei klassischen IT-Endpunkten enden darf. Eine stärker automatisierte und mobilere Industrie muss den Schutz konsequent auf Geräte ausweiten, die in OT-/IoT-Umgebungen betrieben werden und über SIM-Karten kommunizieren. Wird die SIM-Karte als Beginn der Verschlüsselung und Policy-Durchsetzung verstanden, lassen sich auch bislang schwer greifbare Datenflüsse kontrolliert gestalten. Ein solches Umdenken geht mit einem weiteren Schritt in Richtung allumfassender Cyber-Resilienz einher.

Zero Trust – Executive Overview

• Zero Trust muss über klassische IT hinaus gedacht werden, weil mobile OT- und IoT-Systeme zunehmend kritische Datenflüsse erzeugen.
• In verteilten Kommunikationsketten entsteht ein Risiko dort, wo Datenverkehr durchgelassen oder nur teilweise abgesichert wird.
• Zero Trust Everywhere setzt möglichst nahe am Gerät an und nutzt die SIM-Karte als technischen Anker, damit Verschlüsselung frühestmöglich beginnt.
• Der gesamte Traffic wird über einen Microtunnel Ende-zu-Ende verschlüsselt übertragen, sodass auch Netzbetreiber nur verschlüsselte Daten sehen.
• Cloud-basiert werden Policies über einen Sicherheitsbroker umgesetzt, während das Transportnetz austauschbar wird.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2026
Post-Quantum-Readiness: Akuter Anspruch für die Datensicherheit der Zukunft

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion