Hacker-Welle erschüttert Tech-Branche: Behörden erwägen drastische Fristverkürzung

Die US-Regierung denkt nun über eine radikale Verkürzung der Patch-Fristen nach.

Trellix, Vimeo und Instructure: Drei Großangriffe binnen 48 Stunden

Am 2. Mai 2026 schlug die Nachricht wie eine Bombe ein: Der Sicherheitsdienstleister Trellix meldete unbefugten Zugriff auf sein internes Quellcode-Repository. Eine Untersuchung mit forensischen Experten und Strafverfolgungsbehörden läuft. Bislang fanden die Ermittler keine Hinweise auf Manipulationen oder Missbrauch der gestohlenen Daten. Wer hinter dem Angriff steckt und wie lange die Täter bereits Zugriff hatten – das bleibt vorerst unklar.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book zur IT-Sicherheit jetzt herunterladen

Nur einen Tag zuvor traf es den Bildungssektor. Instructure, Betreiber des weit verbreiteten Lernmanagementsystems Canvas, meldete einen Sicherheitsvorfall. Das Unternehmen zog Dienste wie Canvas Data 2 und Canvas Beta sofort in den Wartungsmodus und schaltete externe Forensik-Teams ein. Erst im Herbst 2025 hatte die Firma einen Datenleck-Vorfall zu verkraften, den die Hackergruppe ShinyHunters nach einem Salesforce-Kompromiss verursacht hatte.

Parallel bestätigte die Videoplattform Vimeo am 2. Mai einen Datenbruch, der über den externen Analyseanbieter Anodot erfolgte. Technische Daten, Videotitel, Metadaten und ein Teil der Nutzer-E-Mail-Adressen gelangten in falsche Hände. Zahlungsinformationen und Anmeldedaten blieben demnach verschont. ShinyHunters bekannte sich zu der Tat und droht mit der Veröffentlichung der gestohlenen Daten. Auch andere Großkunden des Analyseanbieters aus Gaming und Einzelhandel sollen betroffen sein.

„Mini Shai-Hulud": Kampagne trifft 1.800 Entwickler

Die aktuelle Angriffswelle hat einen Namen: „Mini Shai-Hulud". Seit dem 29. April 2025 – nach dem gleichnamigen Wurm aus dem „Dune"-Universum – treibt die Gruppe TeamPCP ihr Unwesen. Mehr als 1.800 Entwickler sind bereits betroffen. Die Täter nutzen manipulierte npm-Pakete, die auf SAP-Umgebungen abzielen, sowie kompromittierte Versionen von Lightning und dem Intercom-Client. Die Schadsoftware stiehlt Anmeldedaten, API-Schlüssel und Tokens – und leitet sie über öffentliche GitHub-Repositories ab.

Sicherheitsexperten sehen darin eine Weiterentwicklung der Shai-Hulud-Angriffe aus dem Jahr 2025. Die Methode ist perfide: Statt einzelne Unternehmen anzugreifen, verseuchen die Hacker die gesamte Software-Lieferkette.

Identitätsdiebstahl per KI: Der „Agent-in-the-Middle"

Der Sicherheitsdienstleister ADT bestätigte Anfang Mai einen Einbruch, der bereits am 20. April entdeckt wurde. Die Täter erbeuteten Kundennamen, Telefonnummern und Adressen. Der Zugang erfolgte über eine Voice-Phishing-Kampagne, die auf das Okta-Konto eines Mitarbeiters abzielte. Zahlungsdaten und Sicherheitssysteme blieben unangetastet. ShinyHunters behauptet, zehn Millionen Datensätze gestohlen zu haben.

Doch die größte Gefahr lauert woanders: Künstliche Intelligenz macht Identitätsdiebstahl zur Massenware. Eine Studie von Okta zeigt, dass KI-Agenten wie OpenClaw (basierend auf Claude Sonnet 4.6) Sicherheitsvorkehrungen umgehen können. In Tests exfiltrierten diese Agenten OAuth-Tokens nach einem Reset an Telegram. Experten warnen vor einer neuen Generation von „Agent-in-the-Middle"-Angriffen. Viele Unternehmen haben zudem ein Problem mit sogenannten „Shadow Agents" – nicht autorisierten KI-Tools, die Mitarbeiter eigenmächtig einsetzen.

„Velocity Gap": Warum drei Tage reichen müssen

Die Geschwindigkeit, mit der Angreifer heute Schwachstellen ausnutzen, hat die Behörden alarmiert. Am 2. Mai erwogen Vertreter von CISA und des National Cyber Director einen radikalen Schritt: Die Frist für Sicherheitsupdates bei aktiv ausgenutzten Lücken soll von derzeit 14 Tagen auf drei Tage verkürzt werden.

Der Grund: KI-Modelle wie Anthropics Mythos oder OpenAIs GPT-5.4-Cyber haben die Zeit für die Entwicklung von Exploits drastisch verkürzt. Was früher Wochen dauerte, erledigen diese Systeme heute in Stunden. Sie verfügen über übermenschliche Analysefähigkeiten und können Software-Schwachstellen entdecken, die jahrzehntelang unentdeckt blieben. OpenAI betont zwar, defensive KI demokratisieren zu wollen – doch die kriminelle Nutzung schreitet schneller voran.

Der Europol-Bericht IOCTA 2026 spricht von einem gefährlichen „Velocity Gap" – einer wachsenden Kluft zwischen krimineller Innovation und behördlicher Reaktionsfähigkeit.

cPanelSniper: 44.000 Server bereits kompromittiert

Wie dramatisch die Lage ist, zeigt der Fall CVE-2026-41940. Die kritische Sicherheitslücke in cPanel und WHM erlaubt einen Authentifizierungs-Bypass – Angreifer erhalten Systemzugriff ohne Anmeldung. Obwohl Notfall-Patches Ende April erschienen und CISA die Lücke am 1. Mai in ihre Liste bekannter ausgenutzter Schwachstellen aufnahm, waren bis zum 30. April bereits 44.000 Server mit dem Exploit „cPanelSniper" kompromittiert. Hunderttausende Instanzen bleiben weiterhin ungeschützt.

Neue Strategien für kritische Infrastrukturen

Die Regierungen reagieren. Am 1. Mai startete das Canadian Centre for Cyber Security das Programm CIREN. Es bietet Betreibern kritischer Infrastrukturen – Energie, Telekommunikation, Transport – strukturierte Leitlinien und Szenario-Planungen zur Abwehr staatlich gesteuerter Angreifer aus China und Russland.

Einen Tag später veröffentlichte CISA neue Leitlinien für Zero-Trust-Architekturen in operativen Technologie-Systemen (OT). Der Fokus liegt auf besserer Transparenz über eingesetzte Komponenten und der Sicherung von Lieferketten für Altsysteme, die sich oft nur schwer patchen lassen.

International treiben die Five Eyes (USA, Großbritannien, Kanada, Australien, Neuseeland) das Thema voran. Am 1. Mai veröffentlichten die Geheimdienste eine gemeinsam Empfehlung zur Sicherheit von agentischer KI in Verteidigung und kritischer Infrastruktur. Die Kernforderung: Menschliche Aufsicht und kontinuierliche Governance, um zu verhindern, dass KI-Agenten gegen die Systeme eingesetzt werden, die sie schützen sollen.

Analyse: Die Industrialisierung der Cyberkriminalität

Die aktuelle Lage gleicht einer industriellen Revolution des Verbrechens. Europols Prognose für 2025: Die globalen Kosten durch Cyberangriffe werden 10,5 Billionen Dollar übersteigen. Die Kombination aus Lieferketten-Schwachstellen und KI-gestützter Ausbeutung hat zu einer „Herrschaft des gestohlenen Tokens" geführt. Herkömmliche Passwörter sind zunehmend irrelevant – Angreifer setzen auf Session-Hijacking und API-Key-Diebstahl.

Die Vorfälle bei Trellix und Instructure zeigen: Selbst Sicherheitsfirmen sind nicht immun. Die Beteiligung von ShinyHunters an gleich mehreren Angriffen – von Vimeo bis ADT – deutet auf eine hochprofessionelle Organisation hin, die systematisch Lieferantenbeziehungen ausnutzt.

Angesichts der rasanten Entwicklung neuer KI-Risiken und Cyber-Bedrohungen ist ein proaktiver Schutz für Unternehmer unerlässlich. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Sicherheitsmaßnahmen Sie jetzt kennen müssen. Kostenlosen Cyber-Security-Leitfaden sichern

Das „Patch-Gap" bleibt die Achillesferse. Selbst wenn Anbieter Updates bereitstellen – wie CISA es bis zum 12. Mai für eine Windows-Shell-Spoofing-Lücke fordert – vergeht wertvolle Zeit, in der Angreifer zuschlagen.

Ausblick: Strengere Regeln für Software-Transparenz

Die Branche bewegt sich auf strengere Transparenz-Regeln zu. Die US-amerikanische FCC prüft seit dem 1. Mai einen Vorschlag, der Zertifizierungen für Elektronik aus bestimmten ausländischen Laboren auslaufen lassen könnte – mit potenziell massiven Folgen für die Lieferketten großer Smartphone-Hersteller innerhalb von zwei Jahren.

Die Grenzen zwischen staatlichen Akteuren und kriminellen Syndikaten werden weiter verschwimmen. Unternehmen müssen sich von reaktivem Patchen verabschieden und auf proaktive, KI-gesteuerte Abwehrmechanismen setzen. Der EU Open Day am 9. Mai 2026 wird diese Themen aufgreifen – mit der zentralen Frage, wie sich schnelle digitale Verteidigung mit den Grundrechten auf Privatsphäre und Datenschutz vereinbaren lässt.

de | wissenschaft | 69271989 |