Beim SAP Patch Day im November 2025 stehen erneut schwerwiegende Sicherheitslücken im Fokus. Insgesamt 26 neue und aktualisierte Sicherheitshinweise wurden veröffentlicht – darunter vier als HotNews und zwei mit High Priority. Besonders kritisch: Fest codierte Anmeldedaten im SQL Anywhere Monitor und eine Code-Injection-Lücke in SAP Solution Manager. Onapsis Research Labs war erneut maßgeblich an der Entdeckung und Behebung mehrerer Schwachstellen beteiligt.
Sicherheitsforscher von Unit 42 haben eine bislang unbekannte Android‑Spyware‑Familie entdeckt, die sie „LANDFALL“ nennen. Die Schadsoftware zielte gezielt auf Samsung‑Geräte und wurde offenbar über manipulierte Bilddateien verteilt, die eine bislang unbehobene Schwachstelle in Samsungs Bildverarbeitungsbibliothek ausnutzten (CVE‑2025‑21042). Den Erkenntnissen zufolge verwendeten die Angreifer bösartige DNG‑Bilddateien, die per WhatsApp verschickt wurden. Die kompromittierten Dateien enthielten einen Exploit für die Samsung‑Bibliothek, der bereits Mitte 2024 aktiv eingesetzt wurde — Monate bevor Samsung den Fehler im April 2025 schloss. Unit 42 stellte außerdem fest, dass die verwendete Schwachstelle Teil eines Musters ähnlicher Probleme ist, die auf mehreren mobilen Plattformen identifiziert wurden.
Wie das Cybersicherheitsunternehmen Onapsis aktuell berichtet, haben Angreifer im vergangenen Jahr ihren Fokus deutlich verschoben und verstärkt geschäftskritische Unternehmensanwendungen ins Visier genommen. Eine Welle gezielter Cyberangriffe traf Systeme von SAP, Salesforce und Oracle – mit gravierenden Folgen für Hunderte von Großunternehmen weltweit. Die Angriffe reichten von der massenhaften Ausnutzung von SAP-Schwachstellen über den Diebstahl von rund einer Milliarde Salesforce-Datensätzen bis hin zu Ransomware-Angriffen auf Oracle E-Business-Suite-Umgebungen. Die Auswirkungen: Datendiebstahl, Betriebsunterbrechungen und erhebliche finanzielle Schäden. Laut Onapsis zeigt diese Entwicklung, dass die Absicherung solcher Kernsysteme eine geschäftskritische Priorität geworden ist.
Google warnt vor rasant wachsenden Cyberrisiken: Künstliche Intelligenz (KI) werde die Angriffe bis 2026 schneller, intelligenter und weit verbreiteter machen. Der neue Bericht „Cybersecurity Forecast 2026“ bietet einen umfassenden Einblick in die Sicherheitslage der kommenden Jahre. Die Analyse stützt sich auf handfeste Daten und Erkenntnisse von Google Cloud-Sicherheitsexperten sowie Dutzenden von Analysten, Forschern und Einsatzkräften an vorderster Front. Spekulationen spielen …
Eine aktuelle Analyse von The Conference Board und ESGAUGE zeigt: 72 Prozent der Unternehmen im S&P 500 stufen Künstliche Intelligenz inzwischen als wesentliches Risiko in ihren öffentlichen Offenlegungen ein. 2023 waren es noch 12 Prozent. Der deutliche Anstieg verdeutlicht, wie rasant sich KI von Pilotprojekten zu geschäftskritischen Systemen entwickelt hat und wie stark Vorstände und Führungskräfte auf Reputations-, Regulierungs- und Betriebsrisiken reagieren.
39 Prozent der IT-Geräte im Active Directory verfügen über keinen aktiven EDR- oder XDR-Schutz, darunter firmeneigene Computer und Server. 77,8 Prozent der Netzwerke sind schlecht segmentiert: Niedrigsichere Geräte wie Kaffeemaschinen teilen sich Netzwerke mit hochsensiblen Systemen wie Finanzservern.
Privilegierte Zugriffe zählen zu den kritischsten Angriffsvektoren in der heutigen IT-Sicherheitslandschaft. Sie ermöglichen den Zugriff auf sensible Systeme und Daten – ihr Schutz ist daher zentral für die Widerstandsfähigkeit von Unternehmen. Mit der zunehmenden Cloud-Nutzung wächst die Zahl menschlicher und nicht-menschlicher Identitäten, etwa von virtuellen Maschinen, Containern und serverlosen Funktionen. Dadurch vergrößert sich die Angriffsfläche und das Identitäts- sowie Zugriffsmanagement wird komplexer. Laut dem M-Trends-Bericht 2025 von Mandiant haben gestohlene Zugangsdaten E-Mail-Phishing als zweithäufigste Einstiegsmethode abgelöst und sind für 16 % aller Eindringversuche verantwortlich. Infostealer-Malware und Social-Engineering-Kampagnen – teils unterstützt durch generative KI – tragen wesentlich dazu bei. Gestohlene Anmeldedaten ermöglichen Angreifern nicht nur den Erstzugriff, sondern auch laterale Bewegungen im Netzwerk und verdeckte Operationen.
Atroposia ist ein neuer Remote‑Access‑Trojaner (RAT), den Varonis entdeckt hat. Das Schadprogramm bietet verschlüsselte Befehlskanäle, versteckten Fernzugriff, den Diebstahl von Anmeldedaten und Kryptowallets sowie dateilose Exfiltration. Zum Funktionsumfang gehören außerdem HRDP, DNS‑Hijacking, lokales Schwachstellenscanning, UAC‑Bypass zur Rechteeskalation und mehrere Mechanismen zur Persistenz, mit denen sich die Malware nach Neustarts im System hält. Varonis weist darauf hin, dass Atroposia Teil eines wachsenden Markts schlüsselfertiger, Plug‑and‑Play‑Toolkits ist. Zu ähnlichen Angeboten zählen demnach SpamGPT, eine KI‑gestützte „Spam‑as‑a‑Service“‑Plattform für das Erstellen von Phishing‑Kampagnen inklusive SMTP/IMAP‑Cracking und Zustellbarkeits‑Tools, sowie MatrixPDF, ein bösartiger PDF‑Builder, der durch Overlays, Weiterleitungen und eingebettete Aktionen normale PDFs für Phishing und Malware‑Verteilung nutzbar macht.
KI-Agenten übernehmen zunehmend Aufgaben in Unternehmen – doch wer behält den Überblick über Zugriffe und Berechtigungen? Bertram Dorn, Principal im Office of the CISO bei Amazon Web Services (AWS), erklärt im Podcast, wie Identity and Access Management (IAM) fit fürs KI-Zeitalter wird und welche Sicherheitsprinzipien entscheidend sind. Warum IAM jetzt kritisch ist – Laut Okta-Umfrage bewerten 85 % der Führungskräfte IAM als „wichtig“ oder „sehr wichtig“ für die Integration von KI. Autonome Agenten versprechen Effizienz, Automatisierung und transparente Zugriffsrechte. Für IT-Entscheider ist IAM längst kein „nice to have“ mehr, sondern Grundvoraussetzung für den sicheren KI-Betrieb.
Amazon hat Details zu einer großflächigen Störung des DynamoDB-Dienstes in der AWS-Region Nord-Virginia (US-EAST-1) veröffentlicht. Das Ereignis ereignete sich am 19. und 20. Oktober 2025 und dauerte von 23:48 Uhr PDT am 19. Oktober bis 14:20 Uhr PDT am 20. Oktober. Die Störung gliederte sich in drei Hauptphasen:
Die mit Nordkorea verbundene Hackergruppe Lazarus setzt gefälschte Stellenanzeigen ein, um europäische Unternehmen im Bereich unbemannter Luftfahrzeuge (UAV) anzugreifen. ESET-Forscher beobachteten in ihrer aktuellen Analyse der Kampagne „Operation DreamJob“, dass gezielt Unternehmen aus Verteidigung und Luftfahrt ins Visier genommen wurden. Ziel ist offenbar der Diebstahl sensibler Informationen und Fertigungs-Know-how. Die Angriffe nutzen Social-Engineering-Techniken, Trojanisierung von Open-Source-Projekten auf GitHub und die Malware ScoringMathTea. Neue Bibliotheken für DLL-Proxying und gezielt infizierte Open-Source-Projekte erschweren die Erkennung.
51 Prozent der europäischen IT- und Cybersicherheitsexperten geben an, dass KI-gestützte Cyber-Bedrohungen und Deepfakes ihre größte Sorge für das Jahr 2026 sind + Nur 14 Prozent fühlen sich sehr gut darauf vorbereitet, die mit generativer KI verbundenen Risiken zu managen + Weitere Herausforderungen für das kommende Jahr sind die Komplexität der Regulierungen, Ransomware-Angriffe und die mangelnde Fähigkeit, Sicherheitsverletzungen zu erkennen und darauf zu reagieren, was zu irreparablen Schäden für das Unternehmen führen kann + Weniger als die Hälfte der Unternehmen plant, mehr Fachkräfte einzustellen, um diese Bedenken zu bewältigen und zu mindern
Die staatlich unterstützte russische Bedrohungsgruppe COLDRIVER, bekannt für Angriffe auf hochrangige Mitarbeiter von NGOs, politische Berater und Dissidenten, hat nach der öffentlichen Enthüllung ihrer LOSTKEYS-Malware im Mai 2025 rasch umgeschaltet: Nur fünf Tage nach der Veröffentlichung setzte die Gruppe neue Malware-Familien ein. Wie lange COLDRIVER an dieser neuen Malware gearbeitet hat, bleibt unklar; seit der Veröffentlichung wurden von der Google Threat Intelligence Group (GTIG) keine weiteren Fälle von LOSTKEYS dokumentiert. Stattdessen beobachtete die GTIG neue, deutlich aggressiver eingesetzte Malware, als sie es von COLDRIVER (auch bekannt als UNC4057, Star Blizzard und Callisto) kannte.
Ransomware bleibt auch im dritten Quartal 2025 eine der größten Cyberbedrohungen. Nach Daten des Cybersicherheitsunternehmens NordStellar wurden zwischen Januar und September 6.330 Fälle im Dark Web registriert – 47 Prozent mehr als im Vorjahreszeitraum. Besonders US-Unternehmen sowie kleine und mittlere Betriebe geraten ins Visier von Cyberkriminellen. Am stärksten betroffen war die Fertigungsindustrie mit 245 dokumentierten Angriffen. „In den USA gibt es viele profitable, börsennotierte Unternehmen, die aufgrund regulatorischer Anforderungen und hoher Gewinnmargen ein attraktives Ziel darstellen“, erklärt Vakaris Noreika, Cybersicherheitsexperte bei NordStellar.
Sicherheitsforscher haben eine neue, ausgeklügelte Angriffsmethode namens „Pixnapping“ vorgestellt. Demnach lässt sich mit dem Verfahren die Zwei‑Faktor‑Authentifizierung (2FA) aus Google Authenticator sowie aus anderen empfindlichen mobilen Anwendungen in unter 30 Sekunden auslesen. Pixnapping nutzt grundlegende Mechanismen des Grafik‑Rendering‑Systems von Android und erzeugt so einen Seitenkanal, mit dem Pixeldaten aus den Apps der Betroffenen entwendet werden können. Anders als klassische, browserbasierte Pixel‑Stealing‑Angriffe — die auf iframes und SVG‑Filter setzen — greift die neue Technik auf Android‑Intents zurück: Angreifer starten gezielt Aktivitäten der Zielanwendung und legen darüber halbtransparente, vom Angreifer kontrollierte Aktivitäten. Die Forschenden beschreiben ihr Framework als eine Art Pixel‑Stealing für Android, das die Schutzmechanismen moderner Browser umgeht und nicht nur Inhalte aus Webseiten, sondern auch Geheimnisse aus Nicht‑Browser‑Apps extrahieren kann. Entscheidend sei, dass Android‑APIs es ermöglichen, Pixel in die Rendering‑Pipeline zu zwingen und diese mittels einer Reihe halbtransparenter Aktivitäten zu berechnen — so können lokal gespeicherte Geheimnisse wie 2FA‑Codes oder die Google‑Maps‑Timeline abgegriffen werden, die für klassische Pixel‑Stealing‑Methoden bislang unzugänglich waren.
Microsoft hat im Rahmen des Patch Tuesday im Oktober 2025 Updates veröffentlicht, mit denen insgesamt 172 Sicherheitslücken in Windows-Betriebssystemen geschlossen werden. Mindestens zwei der Schwachstellen werden laut dem Unternehmen bereits aktiv ausgenutzt. Zudem markiert dieser Patch Tuesday das letzte Mal, dass Microsoft Sicherheitsupdates für Windows 10 bereitstellt. Der erste in diesem Monat behobene Zero-Day-Fehler (CVE-2025-24990) betrifft einen Modemtreiber des Drittanbieters Agere Modem, der seit rund zwanzig Jahren Bestandteil von Windows ist. Aufgrund aktiver Angriffe auf diese Schwachstelle entfernte Microsoft den anfälligen Treiber vollständig aus dem Betriebssystem. Die zweite Zero-Day-Schwachstelle, CVE-2025-59230, steckt im Windows-Dienst Remote Access Connection Manager (RasMan), der für die Verwaltung von Remote-Netzwerkverbindungen über VPNs und Einwahlnetzwerke zuständig ist.
SAP hat im Rahmen des Patch Days im Oktober 2025 insgesamt 23 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich sechs HotNews-Hinweise sowie zwei Hinweise mit hoher Priorität. Besonders hervorgehoben wird ein HotNews-Hinweis zur unsicheren Deserialisierung, der in Zusammenarbeit mit den Onapsis Research Labs erstellt wurde und zusätzliche Empfehlungen zur Verbesserung der Systemsicherheit enthält. Die Onapsis Research Labs haben SAP zudem bei der Behebung von drei neuen Sicherheitslücken unterstützt, die in zwei HotNews-Hinweisen und einem Hinweis mittlerer Priorität behandelt werden.
Ivanti hat im Oktober 2025 insgesamt 13 Sicherheitslücken im Endpoint Manager (EPM) bekannt gegeben. Zwei davon stuft das Unternehmen als kritisch ein, da sie eine Rechteausweitung und die Ausführung von Remote-Code ermöglichen könnten. Die übrigen elf Schwachstellen betreffen SQL-Injections mittlerer Schwere. Laut Ivanti gibt es derzeit keine Hinweise auf eine aktive Ausnutzung. Das Unternehmen fordert seine Kunden jedoch auf, auf die neueste unterstützte Version umzusteigen und empfohlene Schutzmaßnahmen umzusetzen, da sich die Patches noch in Entwicklung befinden. EPM 2022 hat im Oktober 2025 das Ende seiner Lebensdauer erreicht. Ivanti betont, dass die Version EPM 2024 wesentliche Sicherheitsverbesserungen enthält, die das Risiko deutlich reduzieren.
Sie sehen gerade einen Platzhalterinhalt von reCAPTCHA. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen