BeyondTrust kritisch: Schweregrad 9,2 in Fernwartungssoftware
Veröffentlicht: 08.07.2026 um 06:25 Uhr, Redaktion boerse-global.de
Gleichzeitig steigt die Zahl der gestohlenen Zugangsdaten rasant.
Dashlane-Angriff: 2FA umgangen
Am Dienstag gab Dashlane einen gezielten Brute-Force-Angriff bekannt. Die Täter konnten bei weniger als 20 Nutzern des Personal-Plans die Zwei-Faktor-Authentifizierung (2FA) umgehen und verschlüsselte Tresore herunterladen. Allerdings benötigten die Angreifer zusätzlich das jeweilige Master-Passwort, um die Daten zu entschlüsseln. Der Vorfall wirft erneut Fragen zur Sicherheit von Cloud-basierten Passwort-Tresoren auf.
ETH Zürich: Systemische Schwachstellen in der Cloud
Forscher der ETH Zürich entdeckten bereits Anfang des Jahres gravierende Sicherheitslücken in drei führenden Cloud-Passwort-Managern. Obwohl 90 Prozent der Nutzer sich bei der Verwendung dieser Tools sicher fühlen, bleibt die Infrastruktur anfällig für Master-Passwort-Diebstahl, Schadsoftware auf Endgeräten und Lecks in Browser-Erweiterungen.
Die Zahlen sprechen eine deutliche Sprache: 2025 stammten gestohlene Zugangsdaten aus 53 Prozent aller Sicherheitsverstöße. Die Forscher empfehlen lokale Verwaltungstools wie KeePass als sicherere Alternative – sie vermeiden zentrale Server-Angriffe. Wer Cloud-Dienste nutzen möchte, sollte auf etablierte Anbieter wie Bitwarden oder 1Password setzen, kombiniert mit hardwarebasierter 2FA und strikter Geräte-Hygiene.
Der Passwort-Manager, dem Datenschutz-Experten vertrauen – jetzt auch für Einsteiger verständlich erklärt. Computerwissen zeigt im kostenlosen PDF, wie auch Nicht-Techniker KeePassXC in wenigen Minuten einrichten und sicher nutzen können. Kostenlosen KeePassXC-Guide jetzt herunterladen
Kritische Lücken in Unternehmens-Hardware
BeyondTrust warnte vor schwerwiegenden Schwachstellen in seiner Fernwartungssoftware. Die als CVE-2026-40138 und CVE-2026-40139 gelisteten Lücken haben einen Schweregrad von 9,2 – die höchste Risikostufe. Nicht authentifizierte Angreifer können unter bestimmten Konfigurationen administrative Rechte erlangen. Cloud-Kunden wurden bereits am 21. April 2026 gepatcht, Selbst-Hoster müssen dringend auf Version 25.3.3 aktualisieren.
Parallel dazu entdeckten Sicherheitsforscher eine hardware-seitige Hintertür in mehreren Tenda-Router-Modellen (AC10, AC5, AC6). Die als CVE-2026-11405 katalogisierte Schwachstelle gewährt über ein verstecktes Passwort vollen Administrationszugriff. Ein Patch existiert bis heute nicht – der Hersteller hat seit dem 19. Mai 2026 nicht auf die Offenlegung reagiert. Experten raten dringend, das Remote-Management dieser Geräte zu deaktivieren.
Passkeys wachsen – aber die Lücke bleibt
Aktuelle Branchendaten vom 8. Juli zeigen einen paradoxen Trend: Über 800 Millionen Google-Konten nutzen inzwischen Passkeys, doch weniger als 10 Prozent aller Arbeitsplatz-Logins sind vollständig passwortlos. Viele Systeme fallen auf Passwörter zurück, sobald die Passkey-Authentifizierung scheitert.
Angesichts von Millionen gehackter Konten pro Quartal wird die passwortlose Anmeldung zur wichtigsten Schutzmaßnahme. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie sofort bei Diensten wie Amazon oder Microsoft einrichten und Hackerangriffe verhindern. Gratis-Report: Passkeys sicher einrichten
Diese Abhängigkeit von veralteten Zugangsdaten befeuert einen florierenden Schwarzmarkt. Erst am Dienstag wurden Details zur VECT-Ransomware bekannt, die ein Archiv mit über 500.000 gestohlenen CI/CD-Zugangsdaten nutzt. Die zwischen Februar und März 2026 von der Gruppe TeamPCP gesammelten Daten erlauben es Erpressern, gezielt hochwertige Opfer auszuwählen.
Die Künstliche Intelligenz verschärft das Problem zusätzlich: Über 40 Prozent der Geheimnisse auf Entwickler-Endgeräten stammen inzwischen aus KI-Agenten-Zwischenspeichern. Die neu entdeckte Schwachstelle GitLost in GitHub Agentic Workflows zeigt, wie Prompt-Injection dazu führen kann, dass ein KI-Agent private Repository-Daten in öffentliche Kommentare leakt. Das macht die Verwaltung von Zugangsdaten komplexer denn je.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
