US-Behörde zwingt Behörden zu Zimbra-Update nach Hacker-Angriffen

Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, eine kritische Lücke in Zimbra Collaboration Suite zu schließen. Gleichzeitig warnen Experten vor anhaltenden Attacken auf VMware-Systeme. Diese Doppelbedrohung trifft zentrale Software für E-Mail und virtuelle Infrastrukturen – und zeigt eine neue Strategie von Cyberkriminellen auf.

Warum 73% der deutschen Unternehmen auf Cyberangriffe wie die aktuellen Wellen auf Zimbra und VMware nicht vorbereitet sind, verdeutlicht die Brisanz der Lage. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv schützen. IT-Sicherheit stärken ohne teure Investitionen

Kritische Lücke in Zimbra erlaubt Datenklau

Der akute Handlungsbedarf entstand durch eine Sicherheitslücke in der Zimbra Collaboration Suite, die als CVE-2025-66376 geführt wird. Am Mittwoch, dem 18. März 2026, nahm die US-Behörde CISA diese Schwachstelle in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf.

Bei dem Fehler handelt es sich um eine gespeicherte Cross-Site-Scripting (XSS)-Lücke in der klassischen Benutzeroberfläche der Software. Angreifer können sie ausnutzen, indem sie HTML-E-Mails manipulieren. Gelingt der Angriff, können sie im Kontext der Sitzung eines Nutzers beliebigen JavaScript-Code ausführen. Die Folgen sind schwerwiegend: Sitzungsübernahme, Umleitung von E-Mails und der Diebstahl sensibler Daten aus der Zimbra-Umgebung.

Der Hersteller Synacor hatte bereits im November 2025 mit den Versionen 10.0.18 und 10.1.13 Patches bereitgestellt. Da die Lücke nun aber aktiv von Angreifern ausgenutzt wird, griff CISA durch. Die US-Bundesbehörden müssen ihre Server bis zum 1. April 2026 absichern. Auch Unternehmen im Privatsektor werden dringend aufgefordert, die Updates sofort einzuspielen.

Parallele Angriffswelle auf VMware-Infrastrukturen

Parallel zu den Zimbra-Attacken läuft eine schwere Angriffswelle auf VMware-Infrastrukturen. Bereits am 23. Januar 2026 hatte CISA eine kritische Lücke in VMware vCenter Server (CVE-2024-37079) als aktiv ausgenutzt eingestuft. Die Schwachstelle mit dem hohen Schweregrad 9,8 ermöglicht Angreifern die Ausführung von eigenem Code.

Ein erfolgreicher Angriff auf einen vCenter Server ist besonders gefährlich: Er gewährt virtuell physischen Zugriff auf alle verbundenen Hosts, virtuellen Maschinen und Datenbanken – ohne dass eine Nutzerinteraktion nötig ist. Angreifer können sich so lateral in der Verwaltungsebene bewegen, Sicherheitseinstellungen abschalten und im schlimmsten Fall Ransomware in gesamten Datenspeichern verbreiten.

Anfang März 2026 kam eine weitere Bedrohung hinzu. CISA nahm eine Command-Injection-Lücke in VMware Aria Operations (CVE-2026-22719) in den Katalog auf. Unauthentifizierte Angreifer können diese während migrationsassistierter Prozesse für Remote Code Execution nutzen. Die Frist für US-Behörden, diese Lücke zu schließen, endete bereits am 24. März 2026.

Die aktuellen Hacker-Methoden führen zu Rekord-Schäden in deutschen Unternehmen, da Kriminelle oft einfache Schwachstellen in der Kommunikation ausnutzen. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing und anderen Cyber-Angriffen schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Strategie der Angreifer: Angriff auf das Fundament

Sicherheitsexperten deuten die parallelen Angriffe auf Zimbra und VMware als kalkulierte Strategie. Die Angreifer zielen systematisch auf Systeme ab, die als zentrale Drehscheiben für Daten und operative Kontrolle in Unternehmen dienen.

Zimbra wird von hunderten Millionen Nutzern weltweit eingesetzt, darunter viele Behörden und Großunternehmen. Als primärer Kommunikationskanal ist die Software ein lukratives Ziel für Spionage und Datendiebstahl. VMware vCenter und Aria Operations wiederum sind hochprivilegierte Assets. Managed Service Provider und große Unternehmen verwalten damit ihre gesamten Netzwerke. Die Kompromittierung einer einzigen vCenter-Instanz kann weitreichende operative Störungen ermöglichen – eine Taktik, die Ransomware-Kartelle häufig nutzen.

Die Verzögerung zwischen der Verfügbarkeit von Patches und dem Beginn der aktiven Ausnutzung – wie beim vCenter-Patch vom Juni 2024 – zeigt ein klares Muster: Angreifer durchsuchen gezielt nach ungepatchten Alt-Systemen.

Was Unternehmen jetzt tun müssen

Mit der nahenden Frist am 1. April 2026 rechnet die Sicherheitsbranche mit weiter verstärkten Angriffsversuchen. Die Empfehlungen der Experten sind klar:

Für Zimbra-Administratoren gilt: Systeme umgehend auf die neuesten Versionen updaten und die Umgebung auf ungewöhnliche E-Mail-Filterregeln oder Sitzungsanomalien überwachen.

Für VMware-Umgebungen lautet der Rat: Management-Schnittstellen strikt vom öffentlichen Internet trennen, alle relevanten Patches von Broadcom einspielen und, falls ein sofortiges Patchen nicht möglich ist, die bereitgestellten Workaround-Skripte nutzen.

Das eskalierende Tempo dieser Angriffe unterstreicht die Notwendigkeit robuster Schwachstellenmanagement-Programme. Unternehmen müssen die schnelle Beseitigung bekannter und ausgenutzter Sicherheitslücken priorisieren, um ihre kritische Infrastruktur zu schützen.

boerse | 68914019 |