DATEV-Ausfall: Cyberangriffswelle erschüttert Zahlungsverkehr

Innerhalb weiniger Tage erschütterten mehrere spektakuläre Datenlecks die Finanzbranche – und der deutsche Steuerberater-Dienstleister DATEV kämpfte mit einem großflächigen Ausfall seiner Systeme.

Europol warnt vor KI-gesteuerter Cyberkriminalität

Der am Dienstag veröffentlichte IOCTA-Bericht der europäischen Polizeibehörde zeichnet ein düsteres Bild: Kriminelle Netzwerke haben sich zu einem hochautomatisierten Ökosystem entwickelt, in dem die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren zunehmend verschwimmen. Künstliche Intelligenz treibt diese Entwicklung maßgeblich voran – sie ermöglicht die Automatisierung von Großangriffen und die blitzschnelle Identifizierung von Sicherheitslücken.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Check für Unternehmen jetzt gratis sichern

Allein im vergangenen Jahr überwachten Ermittler über 120 aktive Ransomware-Varianten, von denen viele KI zur Optimierung ihrer Abläufe nutzten. Das „Crime-as-a-Service"-Modell macht es selbst technisch weniger versierten Kriminellen leicht, professionelle Angriffswerkzeuge zu mieten.

Auch die US-Regierung reagiert. Am Dienstag gaben Vertreter von OpenAI und Anthropic eine vertrauliche Unterrichtung vor dem Heimatschutzausschuss des Repräsentantenhauses – es ging um die Cyber-Gefahren ihrer neuesten Modelle, darunter GPT-5.4-Cyber und eine Vorschauversion von Mythos. Anthropic hat die Veröffentlichung von Mythos eigenen Angaben zufolge verschoben, weil die Fähigkeiten des Modells zur Identifizierung von Sicherheitslücken zu weit fortgeschritten sind.

Ryanair, Medtronic und Robinhood im Visier

Die Verwundbarkeit von Zahlungs- und Identitätsdaten zeigte sich gleich mehrfach in den letzten Apriltagen. Am Dienstag wurde bekannt, dass Hacker bei einem Angriff auf die Fluggesellschaft Ryanair IBAN-Daten von Passagieren gestohlen und zum Verkauf angeboten hatten. Der Vorfall reiht sich ein in eine Serie von Attacken auf große Verbraucherdatenbanken.

Am selben Tag bestätigten der Smart-Meter-Hersteller Itron und der Medizintechnikkonzern Medtronic separate Sicherheitsvorfälle. Im Fall von Medtronic erbeuteten die Angreifer rund 9 Millionen Datensätze.

Besonders perfide: Eine Phishing-Kampagne gegen Robinhood-Nutzer zwischen dem 26. und 28. April. Die Angreifer nutzten eine Kombination aus dem sogenannten „Gmail-Punkt-Trick" und einer HTML-Injection-Schwachstelle im Kontoerstellungsprozess. So konnten sie betrügerische E-Mails von der offiziellen Adresse „noreply@robinhood.com" versenden – die Nachrichten umgingen selbst gängige Spam-Filter und zielten auf den Diebstahl von Kryptowährungen ab. Robinhood bestätigte den Missbrauch seiner Systeme, betonte jedoch, dass kein direkter Systemeinbruch stattgefunden habe.

Solche Phishing-Aktivitäten verursachten im ersten Quartal 2026 branchenweit geschätzte 306 Millionen US-Dollar Schaden – umgerechnet rund 280 Millionen Euro.

DATEV-Ausfall legt Steuerberater lahm

Auch die deutsche Wirtschaft blieb nicht verschont. Am Dienstagnachmittag kam es bei Anwendungen des deutschen Dienstleisters DATEV zu weitreichenden Ausfällen. Das Unternehmen arbeitete fieberhaft an der Lösung des Problems, das sich auf einen Knoten in seinem Rechenzentrum konzentrierte. Ob ein gezielter IT-Angriff oder ein Konfigurationsfehler die Ursache war, blieb zunächst unklar.

CEO-Fraud und manipulierte E-Mails — warum selbst erfahrene Mitarbeiter auf Phishing-Tricks hereinfallen, zeigt dieser kostenlose Report über die psychologischen Taktiken der Hacker. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen

Parallel dazu bestätigte die Videoplattform Vimeo am Dienstag, dass technische Daten und E-Mail-Adressen von Nutzern nach einem Einbruch bei ihrem Analysepartner Anodot offengelegt wurden. Die Hackergruppe ShinyHunters bekannte sich zu dem Vorfall und drohte mit der Veröffentlichung der Daten bis zum 30. April.

CrowdStrike startet „Project QuiltWorks"

Die schiere Geschwindigkeit, mit der KI-Modelle heute Systemschwachstellen aufspüren, zwingt die Branche zum Umdenken. Am heutigen Mittwoch startete CrowdStrike die Initiative „Project QuiltWorks". Das Bündnis bringt Branchengrößen wie Accenture, EY, IBM, Kroll und OpenAI zusammen, um Strategien für den Umgang mit der explodierenden Zahl KI-entdeckter Schwachstellen zu entwickeln.

Parallel dazu wurde ein neuer „Frontier AI Readiness and Resilience Service" vorgestellt, der Unternehmen auf die nächste Generation digitaler Bedrohungen vorbereiten soll.

Sicherheitsforscher beobachten derzeit die aktive Ausnutzung von CVE-2026-42208, einer kritischen SQL-Injection-Lücke in LiteLLM. Der Exploit begann rund 36 Stunden nach der Offenlegung der Schwachstelle am 24. April. Angreifer nutzen den Fehler, um API-Schlüssel und Anbieter-Zugangsdaten für verschiedene KI-Dienste zu stehlen. Ein Patch steht in Version 1.83.7 der Software bereit.

„Firestarter"-Malware attackiert Cisco-Firewalls

Behörden wie die US-Cybersicherheitsbehörde CISA und das britische NCSC haben vor „Firestarter" gewarnt – einer hartnäckigen Schadsoftware, die auf Cisco-Firewalls abzielt. Besonders tückisch: Der Hintertür-Programmcode überlebt selbst Systemneustarts und Software-Updates. Technische Experten stellten fest, dass die Beseitigung der Infektion eine physische Trennung von der Stromversorgung für mindestens eine Minute erfordert. Die Kampagne wird der Bedrohungsgruppe UAT-4356 (auch bekannt als Storm-1849) zugeschrieben.

Angreifer verlagern Fokus auf Client-Seite

Die aktuelle Angriffswelle zeigt einen deutlichen Trend zu Client-Seiten- und Lieferketten-Schwachstellen. Auf der Konferenz Black Hat Asia 2026 wiesen Sicherheitsexperten darauf hin, dass Angreifer zunehmend die Client-Seite ins Visier nehmen, um die End-to-End-Verschlüsselung auf Servern zu umgehen. Zero-Click-Spyware und die Ausnutzung von Metadaten mobiler Apps sind zu bevorzugten Methoden geworden.

Ein Bericht von Quokka, basierend auf der Analyse von über 150.000 mobilen Anwendungen, ergab alarmierende Zahlen: 94,3 Prozent der Android-Apps und 61,7 Prozent der iOS-Apps nutzen weiterhin unverschlüsselte HTTP-URLs – und sind damit abhörgefährdet.

Auch Lieferkettenangriffe bleiben eine kritische Bedrohung. Checkmarx bestätigte am Dienstag, Opfer eines solchen Angriffs geworden zu sein, bei dem Quellcode und Mitarbeiterdatenbanken gestohlen wurden. Der Vorfall, der Ende März begann, umfasste mehrere Angriffswellen, darunter die Kompromittierung eines Bitwarden CLI-Pakets. Die Vorfälle zeigen: Selbst Cybersicherheits-Unternehmen sind nicht immun gegen die komplexen, mehrstufigen Kampagnen organisierter Krimineller.

Deutsche Regierung prüft Wechsel zu alternativen Messenger-Diensten

Die Häufigkeit prominenter Angriffe zwingt Regierungen und Unternehmen zum Umdenken. In Deutschland war das Bundeskabinett kürzlich selbst Ziel einer Signal-Phishing-Kampagne, die mehrere Minister traf. Nach Warnungen des BSI und des Bundesamts für Verfassungsschutz erwägt die Bundesregierung nun den Umstieg auf alternative, sichere Kommunikationsplattformen wie Wire. Konsultationen dazu sind für Anfang Mai 2026 geplant.

Die Branche bewegt sich insgesamt hin zu robusteren Authentifizierungsmethoden. Empfehlungen von Sicherheitsfirmen umfassen die Einführung von Passkeys, DNS-Filterung und häufigere Sicherheitsupdates. Angesichts der von Marktforschern beschriebenen „Phishing-Epidemie 2026" werden Unternehmen Sicherheitstests voraussichtlich noch tiefer in den Entwicklungszyklus mobiler und finanzieller Anwendungen integrieren müssen. Die kommenden Wochen werden zeigen, ob die neuen Branchenkoalitionen ihre Wirkung entfalten – und wie schnell Unternehmen die derzeit aktiv ausgenutzten Schwachstellen schließen können.

de | wissenschaft | 69260423 |