Cyberangriffe im Mai 2026: Kritische Lücken bedrohen Unternehmen weltweit

Von Android über Apache bis zu KI-Tools – die Angriffsfläche wächst rasant.**

Die ersten Maitage 2026 haben die Verwundbarkeit digitaler Infrastrukturen schonungslos offengelegt. Gleich mehrere Großkonzerne und Sicherheitsbehörden schlugen Alarm: Ungepatchte Schwachstellen in Servern, Betriebssystemen und Lieferketten setzen Unternehmen massiv unter Druck. Der traditionelle Ansatz, Sicherheit allein durch Technik zu gewährleisten, stößt an seine Grenzen. Gefragt ist stattdessen ein grundlegender Wandel hin zu organisatorischer Resilienz und proaktivem Patch-Management.

Apache und Android: Zwei kritische Updates am selben Wochenende

Am 4. Mai veröffentlichte die Apache Software Foundation Version 2.4.67 ihres HTTP-Servers – ein Notfall-Update gegen fünf Sicherheitslücken. Besonders brisant: CVE-2026-23918, ein Double-Free-Fehler in der HTTP/2-Implementierung mit einem CVSS-Score von 8,8. Diese Schwachstelle betrifft ausschließlich Version 2.4.66 und könnte Angreifern die vollständige Kontrolle über betroffene Server ermöglichen. Die Lücke war bereits im Dezember 2025 gemeldet worden.

Nur einen Tag später zog Google nach: Der Android-Sicherheitspatch vom 5. Mai schließt CVE-2026-0073, eine kritische Schwachstelle im Android Debug Bridge Daemon (adbd). Das Tückische: Für einen Angriff ist keinerlei Benutzerinteraktion nötig. Zwar gibt es bisher keine Hinweise auf aktive Ausnutzung, doch bleiben Wear OS, die Pixel Watch und Android Automotive vorerst ungeschützt.

Angesichts kritischer Sicherheitslücken in mobilen Betriebssystemen wird der Schutz persönlicher Daten vor unbefugten Zugriffen immer wichtiger. Ein gratis PDF-Ratgeber zeigt fünf einfache Schritte, die jeder sofort umsetzen kann, um sein Smartphone wirksam gegen Hacker abzusichern. Android-Smartphone in wenigen Minuten kostenlos absichern

Linux-Lücke „Copy Fail“: Seit 2017 im Kernel versteckt

Das US-Heimatschutzministerium (CISA) nahm am 2. Mai eine besonders hartnäckige Schwachstelle in seinen Katalog bekannter ausgenutzter Sicherheitslücken auf: CVE-2026-31431, genannt „Copy Fail“. Der lokale Privilegieneskalationsfehler schlummert seit 2017 im Linux-Kernel und wurde von Sicherheitsforschern mit KI-gestützten Tools entdeckt. Wer einmal lokalen Zugriff hat, kann damit Root-Rechte erlangen. Die Aufnahme in den CISA-Katalog bedeutet: Die Lücke wird aktiv ausgenutzt.

Wenn der Update-Mechanismus zur Waffe wird

Paradoxerweise sind es manchmal genau die Mechanismen, die uns schützen sollen, die neue Angriffsvektoren öffnen. Bei Ollama, einem KI-Toolset, entdeckten Forscher zwei ungepatchte Lücken im Windows-Auto-Updater (CVE-2026-42248 und CVE-2026-42249). Die Signaturprüfung versagt, und ein Path-Traversal-Fehler erlaubt es Angreifern, Schadcode in den Autostart-Ordner zu schleusen. CERT Polska warnte bereits am 29. April – doch bis Version 0.23.0 blieb ein Patch aus. Experten raten, die Auto-Update-Funktion vorerst zu deaktivieren.

Noch perfider: Ein Backdoor im Windows-Installer von Daemon Tools. Laut Kaspersky-Forschern steckt eine mutmaßlich chinesischsprachige Gruppe dahinter, die seit dem 8. April tausende Systeme kompromittiert hat. Betroffen sind Einzelhandel, Wissenschaft, Fertigung und Regierungsbehörden in Russland, Belarus und Thailand.

Massenausnutzung: 44.000 IP-Adressen jagen eine cPanel-Lücke

Parallel dazu läuft die Massenausnutzung einer kritischen cPanel-Schwachstelle (CVE-2026-41940) auf Hochtouren. Rund 44.000 verschiedene IP-Adressen waren bis zum 30. April mit Scans beschäftigt. Die Angreifer zielen auf Regierungsstellen in Südostasien und Managed Service Provider (MSPs) weltweit. Sie nutzen ausgefeilte Tools wie AdaptixC2 und OpenVPN, um sensible Daten abzugreifen – darunter sogar Eisenbahndokumente aus chinesischen Quellen.

Trellix, Canvas und Cushman & Wakefield: Die Folgen der Versäumnisse

Selbst Sicherheitsfirmen sind nicht immun. Trellix, entstanden aus der Fusion von McAfee Enterprise und FireEye, bestätigte am 4. Mai einen unbefugten Zugriff auf sein Quellcode-Repository. Bisher gibt es keine Hinweise auf eine Veröffentlichung, doch externe Forensiker und Strafverfolgungsbehörden ermitteln.

Noch größer ist die Dimension beim Canvas-Betreiber Instructure: Die Gruppe ShinyHunters droht, 275 Millionen Datensätze von rund 9.000 Schulen weltweit zu veröffentlichen. Betroffen sind Namen, IDs und interne Nachrichten – aber keine Passwörter oder Finanzdaten.

Der Immobilienriese Cushman & Wakefield wiederum fiel einem Vishing-Angriff zum Opfer: Ein Mitarbeiter wurde telefonisch dazu gebracht, Zugangsdaten preiszugeben. Zwei Gruppen – ShinyHunters und Qilin – haben die Verantwortung übernommen und drohen, bis zum 6. Mai eine halbe Million Salesforce-Datensätze zu veröffentlichen.

Haftstrafe für Conti-Mitglied: 102 Monate Gefängnis

Ein Lichtblick im Kampf gegen Cyberkriminalität: Am 4. Mai wurde der Lette Deniss Zolotarjovs in den USA zu 102 Monaten Haft verurteilt. Der 35-Jährige war Mitglied der berüchtigten Ransomware-Gruppen Conti, Karakurt und Royal. Zwischen 2021 und 2023 griff er mehr als 54 Unternehmen an – der Schaden allein bei 13 Firmen überstieg 56 Millionen Euro. Besonders perfide: Zolotarjovs nutzte gestohlene pädiatrische Gesundheitsdaten als Erpressungsmittel.

Deutschland: 70 Prozent des wirtschaftlichen Schadens durch Cyberangriffe

Der aktuelle Angriffswelle liegt ein besorgniserregender Trend zugrunde. Der Schwarz Digits Cyber Security Report 2026 zeigt: Rund 70 Prozent aller wirtschaftlichen Schäden in Deutschland gehen auf Cyberangriffe zurück. Zwar fühlen sich 80 Prozent der deutschen Führungskräfte gut vorbereitet – doch die Realität sieht anders aus. 75 Prozent der Unternehmen prüfen ihre Lieferanten nicht auf Sicherheit, und fast die Hälfte der vom NIS2-Rahmenwerk betroffenen Firmen kennt ihre rechtlichen Pflichten nicht.

Die IT-Sicherheitsbudgets liegen im Schnitt bei 17 Prozent der gesamten IT-Ausgaben. Doch die Komplexität der Bedrohungen zwingt zu neuen Ansätzen: Ein aktueller Bericht des Weltwirtschaftsforums zeigt, dass 77 Prozent der Organisationen bereits KI in der Cyberabwehr einsetzen. Die Nutzer können ihre durchschnittlichen Schadenskosten um bis zu 1,9 Millionen Euro senken und die Dauer eines Angriffs um rund 80 Tage verkürzen.

Ein veraltetes Smartphone ist für Cyberkriminelle wie eine offene Haustür zu Ihren privaten Daten und Passwörtern. Dieser kostenlose Experten-Report zeigt, wie Sie Sicherheitslücken auf Ihrem Gerät zuverlässig schließen und sich wirksam vor Malware schützen. Kostenlosen Sicherheits-Ratgeber für Android herunterladen

Ausblick: Regulierung und Resilienz als neue Leitplanken

Während heute die Genfer Cyberwoche und die UN-Konferenz zur Cyberstabilität beginnen, zeichnet sich eine neue Ära der internationalen Zusammenarbeit ab. 76 UN-Mitgliedsstaaten haben eine neue Konvention gegen Cyberkriminalität unterzeichnet. Die EU-Kommission beobachtet zudem die Entwicklung fortschrittlicher KI-Modelle wie Anthropics „Mythos“, die Code-Schwachstellen in nie dagewesener Geschwindigkeit identifizieren könnten.

Für Unternehmen bedeutet das: Der Weg führt von reaktiver Sicherheit zu systemischer Resilienz. Das EU-AI-Büro erhält im August 2026 Durchsetzungsbefugnisse, und die Verpflichtungen für Hochrisiko-KI-Systeme werden bis 2028 schrittweise eingeführt. Die Botschaft der Experten auf der „mysecurityevent“ in Berlin ist klar: KI und Automatisierung sind mächtige Werkzeuge – aber die grundlegende Disziplin des rechtzeitigen Patchings bleibt die wirksamste Barriere gegen die meisten modernen Cyberbedrohungen.

de | wissenschaft | 69283165 |