Cisco-Notfall: Nach CISA-Frist rüsten Sicherheitsteams ihre SIEM-Systeme auf

Die Weihnachtsruhe ist trügerisch: Während viele Unternehmen die Feiertage begehen, nutzen staatliche Hacker die personelle Unterbesetzung für Angriffe. Nach Ablauf der kritischen Frist der US-Cybersicherheitsbehörde CISA zur Schließung einer Cisco-Schwachstelle müssen Sicherheitsteams jetzt vor allem eines tun: ihre Überwachungssysteme scharf stellen.

Gestern, am 24. Dezember, lief die Frist der US-Behörde CISA für Bundesbehörden ab, die kritische Schwachstelle CVE-2025-20393 in Cisco Secure Email Gateways zu schließen. Für den Privatsektor verschiebt sich der Fokus nun vom Patchen zur Detektion. Die Sicherheitslücke mit dem höchsten CVSS-Risikowert von 10.0 erlaubt Angreifern die Ausführung von Code mit Root-Rechten.

Lageberichte von SOCRadar und eSentire bestätigen aktive Ausnutzung durch eine chinalastige APT-Gruppe (UAT-9686). Diese installiert die Schadsoftware AquaShell und nutzt AquaTunnel für verschleierte Kommunikation.

Passend zum Thema SIEM-Detektion und aktive Threat‑Hunting: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Dieses kostenlose E‑Book fasst aktuelle Bedrohungen, neue Gesetze (inkl. KI‑Regulierung) und praxisnahe Schutzmaßnahmen kompakt zusammen. Sie erhalten konkrete Checklisten zur SIEM‑Konfiguration, Hinweise zur Erkennung von APT‑Tools wie AquaTunnel und Handlungsempfehlungen für aussagekräftige Reports (GDPR/DORA). Ideal für CISOs und Incident‑Response‑Teams, die ihre Detektion sofort verbessern wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Konkrete Handlungsempfehlungen für SIEM-Administratoren:
* Log-Quellen prüfen: Sicherstellen, dass Cisco AsyncOS-Logs, insbesondere mail_logs und system_logs, korrekt im SIEM-System ankommen.
* IOCs integrieren: Aktuelle Indikatoren für Kompromittierung (IOCs) der Gruppe einspielen. Alarmieren bei der Ausführung von Python-Skripten in temporären Verzeichnissen oder unerwarteten ausgehenden SSH-Verbindungen (Port 22) vom E-Mail-Gateway.
* Anomalien erkennen: Ungewöhnliche Admin-Logins oder “unmögliche” Zugriffe auf die Web-Oberfläche überwachen, da das Exploit die Spam-Quarantäne-Funktion angreift.

“Wer noch nicht gepatcht hat, dessen SIEM ist jetzt das letzte Sicherheitsnetz”, fasst ein aktuelles Advisory die Lage zusammen.

Strategiewende in den USA: Neue Cyber-Richtlinien ab 2026

Parallel zu den akuten Bedrohungen zeichnet sich eine strategische Wende ab. Berichte vom 22. Dezember enthüllten Entwürfe der US-Regierung für eine neue nationale Cybersicherheitsstrategie, die im Januar 2026 veröffentlicht werden soll.

Die knappe, fünfseitige Strategie basiert auf sechs Säulen und soll per Präsidialerlass umgesetzt werden. Für deutsche und europäische Unternehmen könnte dies neue Compliance-Anforderungen bedeuten. Die Strategie betont “aktive Verteidigung” und Lieferketten-Resilienz.

Vorbereitung für CISOs: Es wird empfohlen, Assets im SIEM bereits nach den neuen Rahmenwerken zu kategorisieren. Korrelationsregeln sollten verstärkt den Zugriff von Drittanbietern überwachen – eine bekannte Schwachstelle.

KI-Revolution im SOC: Von Assistenz zu Autonomie

Ein Bericht von Cimetrics vom 22. Dezember prognostiziert für 2026 den Übergang von KI-unterstützten zu KI-nativen Sicherheitsoperationen. Das Verhältnis autonomer KI-Agenten zu menschlichen Mitarbeitern in digitalen Workflows könnte demnach bei 82 zu 1 liegen.

Das verändert die SIEM-Konfiguration grundlegend. Statt statischer Regeln (“Wenn X fünfmal in fünf Minuten passiert…”) werden zunehmend autonome KI-Agenten eingesetzt, die Alerts eigenständig priorisieren.

Budget-Impuls für 2026: Unternehmen sollten bei der Budgetplanung SIEM-Plattformen evaluieren, die solche Agenten integrieren. Ziel ist es, die Analyse von Standardvorfällen (Tier 1) vollständig an KI zu delegieren. So gewinnen Analysten Kapazitäten für komplexe Bedrohungen wie die seit Anfang Dezember aktive “React2Shell”-Schwachstelle, die weltweit noch über 160.000 Server betrifft.

Prävention versagt – Die Detektion wird entscheidend

Die Dringlichkeit, SIEM-Systeme zu optimieren, wird durch eine beunruhigende Statistik untermauert. Forschung von Picus Security zeigt, dass die durchschnittliche Präventionswirkung von Sicherheitskontrollen auf nur noch 62% gesunken ist.

Fast jeder dritte Angriff durchbricht also erste Verteidigungslinien wie Firewalls oder Endpoint Detection. Die Erkennung wird zur letzten Bastion. Besonders alarmierend: Die Präventionsrate gegen Datendiebstahl liegt bei nur 3%. Die Überwachung ausgehenden Datenverkehrs – entscheidend für die Entdeckung von Tools wie AquaTunnel – wird damit zum wichtigsten Faktor für die Einhaltung von GDPR und DORA.

Ausblick auf 2026: Saubermachen und Nachweisbarkeit

Die erste Januarwoche 2026 wird voraussichtlich von “Aufräumaktionen” geprägt sein. Unternehmen kehren mit voller Belegschaft zurück und entdecken Eindringlinge, die über die Feiertage aktiv waren. Die gleichzeitige Bedrohung durch Cisco AsyncOS– und React2Shell-Exploits verspricht einen arbeitsreichen Start ins Jahr für Incident-Response-Teams.

Hinzu kommt der regulatorische Druck: Die Digital Operational Resilience Act (DORA) der EU tritt 2025 in ihre Hauptanwendungsphase. Der Bedarf an “nachweisbarer Sicherheit” – belegt durch robuste SIEM-Reports – wird die Agenda im ersten Quartal 2026 dominieren. Die vermeintlich ruhige Zeit zwischen den Jahren sollte genutzt werden, um genau diese Reporting-Dashboards für die kommenden Prüfungen fit zu machen.

PS: Sie kehren nach den Feiertagen zurück — und finden häufig unentdeckte Eindringlinge. Holen Sie sich den kostenlosen Experten-Report, der in vier praktischen Schritten erklärt, wie Sie SIEM‑Alerts priorisieren, aussagekräftige Reporting‑Dashboards erstellen und Compliance‑Nachweise für DORA und GDPR liefern. Mit Checklisten für Incident Response und sofort anwendbaren Maßnahmen zur Überwachung ausgehenden Datenverkehrs. Perfekt für IT‑Leiter, die den Jahresstart sicher und prüfungssicher gestalten möchten. Kostenloses Cyber-Security-E-Book anfordern