BeyondTrust, Schweregrad

BeyondTrust kritisch: Schweregrad 9,2 in Fernwartungssoftware

Veröffentlicht: 08.07.2026 um 06:25 Uhr, Redaktion boerse-global.de

Neue Angriffe auf Dashlane und kritische Lücken in Firmen-Hardware zeigen wachsende Bedrohung für Zugangsdaten.

Sicherheitsstudie: Cloud-Passwort-Manager im Visier von Hackern
BeyondTrust - Verschattete Gestalt im Hoodie tippt auf Laptop, umgeben von leuchtendem Code und digitalen Schlosssymbolen, die Cyberbedrohungen symbolisieren. 08.07.2026 - Bild: über boerse-global.de

Gleichzeitig steigt die Zahl der gestohlenen Zugangsdaten rasant.

Dashlane-Angriff: 2FA umgangen

Am Dienstag gab Dashlane einen gezielten Brute-Force-Angriff bekannt. Die Täter konnten bei weniger als 20 Nutzern des Personal-Plans die Zwei-Faktor-Authentifizierung (2FA) umgehen und verschlüsselte Tresore herunterladen. Allerdings benötigten die Angreifer zusätzlich das jeweilige Master-Passwort, um die Daten zu entschlüsseln. Der Vorfall wirft erneut Fragen zur Sicherheit von Cloud-basierten Passwort-Tresoren auf.

ETH Zürich: Systemische Schwachstellen in der Cloud

Forscher der ETH Zürich entdeckten bereits Anfang des Jahres gravierende Sicherheitslücken in drei führenden Cloud-Passwort-Managern. Obwohl 90 Prozent der Nutzer sich bei der Verwendung dieser Tools sicher fühlen, bleibt die Infrastruktur anfällig für Master-Passwort-Diebstahl, Schadsoftware auf Endgeräten und Lecks in Browser-Erweiterungen.

Die Zahlen sprechen eine deutliche Sprache: 2025 stammten gestohlene Zugangsdaten aus 53 Prozent aller Sicherheitsverstöße. Die Forscher empfehlen lokale Verwaltungstools wie KeePass als sicherere Alternative – sie vermeiden zentrale Server-Angriffe. Wer Cloud-Dienste nutzen möchte, sollte auf etablierte Anbieter wie Bitwarden oder 1Password setzen, kombiniert mit hardwarebasierter 2FA und strikter Geräte-Hygiene.

Anzeige

Der Passwort-Manager, dem Datenschutz-Experten vertrauen – jetzt auch für Einsteiger verständlich erklärt. Computerwissen zeigt im kostenlosen PDF, wie auch Nicht-Techniker KeePassXC in wenigen Minuten einrichten und sicher nutzen können. Kostenlosen KeePassXC-Guide jetzt herunterladen

Kritische Lücken in Unternehmens-Hardware

BeyondTrust warnte vor schwerwiegenden Schwachstellen in seiner Fernwartungssoftware. Die als CVE-2026-40138 und CVE-2026-40139 gelisteten Lücken haben einen Schweregrad von 9,2 – die höchste Risikostufe. Nicht authentifizierte Angreifer können unter bestimmten Konfigurationen administrative Rechte erlangen. Cloud-Kunden wurden bereits am 21. April 2026 gepatcht, Selbst-Hoster müssen dringend auf Version 25.3.3 aktualisieren.

Parallel dazu entdeckten Sicherheitsforscher eine hardware-seitige Hintertür in mehreren Tenda-Router-Modellen (AC10, AC5, AC6). Die als CVE-2026-11405 katalogisierte Schwachstelle gewährt über ein verstecktes Passwort vollen Administrationszugriff. Ein Patch existiert bis heute nicht – der Hersteller hat seit dem 19. Mai 2026 nicht auf die Offenlegung reagiert. Experten raten dringend, das Remote-Management dieser Geräte zu deaktivieren.

Passkeys wachsen – aber die Lücke bleibt

Aktuelle Branchendaten vom 8. Juli zeigen einen paradoxen Trend: Über 800 Millionen Google-Konten nutzen inzwischen Passkeys, doch weniger als 10 Prozent aller Arbeitsplatz-Logins sind vollständig passwortlos. Viele Systeme fallen auf Passwörter zurück, sobald die Passkey-Authentifizierung scheitert.

Anzeige

Angesichts von Millionen gehackter Konten pro Quartal wird die passwortlose Anmeldung zur wichtigsten Schutzmaßnahme. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie sofort bei Diensten wie Amazon oder Microsoft einrichten und Hackerangriffe verhindern. Gratis-Report: Passkeys sicher einrichten

Diese Abhängigkeit von veralteten Zugangsdaten befeuert einen florierenden Schwarzmarkt. Erst am Dienstag wurden Details zur VECT-Ransomware bekannt, die ein Archiv mit über 500.000 gestohlenen CI/CD-Zugangsdaten nutzt. Die zwischen Februar und März 2026 von der Gruppe TeamPCP gesammelten Daten erlauben es Erpressern, gezielt hochwertige Opfer auszuwählen.

Die Künstliche Intelligenz verschärft das Problem zusätzlich: Über 40 Prozent der Geheimnisse auf Entwickler-Endgeräten stammen inzwischen aus KI-Agenten-Zwischenspeichern. Die neu entdeckte Schwachstelle GitLost in GitHub Agentic Workflows zeigt, wie Prompt-Injection dazu führen kann, dass ein KI-Agent private Repository-Daten in öffentliche Kommentare leakt. Das macht die Verwaltung von Zugangsdaten komplexer denn je.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69719493 |