Top-Level-Phishing: Klöckner, Prien, Graichen betroffen
Signal-Verifikations-Code-Diebstahl bei Klöckner, Prien, Hubertz plus Graichen-Eigentor auf X. Drei CISO-Bewegungen für 2026. Zum Artikel
Unsere News
CVE-2026-3854: GitHub-Enterprise-RCE via einzelnen Git-Push – 88 Prozent der Instanzen ungepatcht
CVE-2026-3854 (CVSS 8.7): GitHub Enterprise RCE via git push. 88% der Self-Hosted-Instanzen ungepatcht. Patches seit 10. März verfügbar. Zum Artikel
LiteLLM CVE-2026-42208 (CVSS 9.3): Warum SQL-Injection in KI-Proxy-Infrastruktur andere Incident-Response braucht als klassische Web-Apps
LiteLLM CVE-2026-42208 (CVSS 9.3): SQL-Injection in KI-Proxy exponiert Provider-API-Keys. Was DevSecOps-Teams sofort patchen müssen. Zum Artikel
BePrime-Breach April 2026: Case Study wie fehlende MFA in einer Cybersecurity-Firma 12,6 GB Daten und 2.600 Geräte exponiert hat
Fehlende MFA in einer Cybersecurity-Firma: 12,6 GB Daten gestohlen, 1.858 Meraki-Geräte übernommen. Was DACH-Teams aus dem BePrime-Breach lernen. Zum Artikel
Bitwarden CLI: Supply-Chain-Angriff via GitHub Actions
Bitwarden-CLI 22.04.2026: Die GitHub Action checkmarx/ast-github-action ist der Hebel. CI-Runner und Action-Hashes für DACH-DevSecOps jetzt prüfen. Zum Artikel
Adobe CVE-2026-34621: Federal-Frist heute, DACH-CISO-Lehre
CISA-KEV-Frist 27. April. Adobe Acrobat Prototype-Pollution-Lücke seit Dezember exploited. Warum DACH-CISOs die 14-Tage-Cadence übernehmen sollten. Zum Artikel
Bitwarden CLI Supply-Chain-Attack 22.04.2026: npm-Hook-Audit
93 Minuten malicious bw1.js im offiziellen npm-Pfad. Was der Bitwarden-CLI-Vorfall vom 22. April für das DACH-Hook-Audit bedeutet. Zum Artikel
DSGVO-Vollzug 2026: Wie die April-Fälle Renault, YOTI, Enel und Bakeca die Mittelstands-Risiko-Lage verschieben
Im April 2026 hat die rumänische Datenschutzbehörde Renault Commercial Roumanie nach einem Cyberangriff mit unzureichenden Sicherheitsmaßnahmen sanktioniert, die spanische AEPD verhängte 950.000 Euro gegen YOTI für Biometrie-Verarbeitung ohne Rechtsgrundlage, die... Zum Artikel
Adaptive MFA als NIS2-Standard 2026: Wie die ENISA-Guidance die where-appropriate-Klausel klargestellt hat
NIS2 fordert Multi-Faktor-Authentifizierung (MFA) „where appropriate“ und in Deutschland tritt das BSI-Vollzugsmandat im Mai 2026 in die operative Phase. Die zentrale Frage für Sicherheits- und Compliance-Verantwortliche ist nicht „haben wir... Zum Artikel
WhatsApp und Signal in der NIS2-Pflicht: Wie Geschäftsführungen 2026 die Messenger-Architektur sauber aufstellen
Belgien hat am 18. April 2026 die erste NIS2-Konformitätsprüfung scharfgeschaltet, Deutschland zieht im Mai nach: Wer geschäftskritische Kommunikation 2026 weiterhin über private WhatsApp- und Signal-Konten laufen lässt, riskiert nicht mehr... Zum Artikel
Patientendaten-Leak 2026: 96 Stunden bis zur Meldung
April 2026: Welle von Healthcare-Breaches. Anonymer DACH-Incident-Report mit 500k Patientendaten, 96h-Rekonstruktion, NIS2/DSGVO-Pflichten. Zum Artikel
Adaptive MFA unter Beschuss: Warum Risiko-Engines die 7-Millionen-Device-Code-Welle nicht sehen
Barracuda meldet 7 Mio. Device-Code-Phishing-Angriffe in 4 Wochen. Warum Adaptive MFA in Entra/Okta/Duo umgangen wird und was jetzt greift. Zum Artikel
UK-FCA-Regeln vom 16. April 2026 und der Weg zu DORA 2.0: Was Finanzinstitute jetzt architektonisch vorbereiten
FCA-Rules vom 16.04.2026 verschärfen Incident-Reporting und Third-Party-Pflichten. ESA-Audits 2025 zeigen drei DORA-Schwachstellen. Fünf Schritte für Finanz-Security-Teams. Zum Artikel
Squidex SSRF CVE-2026-41172: 72-Stunden-Plan für Operations-Teams nach dem Patch vom 22. April
Squidex SSRF CVE-2026-41172 ist gepatcht in Version 7.23.0. Operations-Teams brauchen darüber hinaus einen 72-Stunden-Plan: Egress-Allowlist, IMDSv2-Lockdown und WAF-Profil-Review. Zum Artikel
Terrarium Sandbox-Escape CVE-2026-5752: News-Update zur Cohere-AI-Lücke und 72-Stunden-Reaktionsplan
CVE-2026-5752 in Terrarium von Cohere AI (nicht Cloudflare): CVSS 9.3, Sandbox-Escape mit Root-Code-Execution. 72-Stunden-Reaktionsplan für Edge- und Plattform-Teams. Zum Artikel
Microsoft ASP.NET Core Zero-Day CVE-2026-40372: CVSS 9.1, Patch-Welle seit 22. April
Microsoft Out-of-Band 22.04.: ASP.NET Core CVE-2026-40372 mit CVSS 9.1. Patch in DataProtection 10.0.7. 72-Stunden-Reaktionsplan für Security-Operations. Zum Artikel
CISA erweitert KEV-Katalog um acht Schwachstellen: Bundesbehörden-Deadlines 23. April und 4. Mai im Überblick
CISA-KEV-Update vom 20. April 2026 mit acht Schwachstellen, Patch-Deadlines am 23. April und 4. Mai. 14-Tage-Reaktionsplan für DACH-Security-Teams. Zum Artikel
ASP.NET Core CVE-2026-40372 (CVSS 9.1): Compliance-Folgen für Finanz- und Versicherungs-Dev-Shops unter DORA und NIS2
Microsoft ASP.NET Core CVE-2026-40372: CVSS 9.1, Privilegien-Eskalation. DORA-, NIS2- und MaRisk-Compliance-Folgen mit 21-Tage-Plan für Finanz-Dev-Shops. Zum Artikel
Squidex SSRF CVE-2026-41172: Warum Headless-CMS-Backends jetzt als Supply-Chain-Risiko auf die Security-Agenda gehören
CVE-2026-41172 in Squidex: SSRF im Asset-Upload trifft Headless-CMS-Backends. Was Patch, IMDS-Lockdown und Berechtigungs-Audit für Security-Teams 2026 leisten. Zum Artikel
Terrarium Sandbox-Escape CVE-2026-5752 (CVSS 9.3): Was der Cohere-AI-Sandbox-Bug für Content-Isolation in Enterprise-Edge-Stacks bedeutet
CVE-2026-5752 in Cohere AI Terrarium: CVSS 9.3, Root-Code-Execution im Sandbox-Container, kein Vendor-Patch. Mitigationsplan und strategische Lehren für Security-Teams. Zum Artikel
PaperCut NG/MF unter aktivem Beschuss: Warum ein 2023er-Bug ein Jahr später wieder ins CISA-KEV rutscht
PaperCut NG/MF ist seit 20. April 2026 zurück im CISA-KEV. CVE-2023-27351 wird aktiv ausgenutzt. 72-Stunden-Inventar-Sweep und Härtungsmaßnahmen für Security-Teams. Zum Artikel
CIS Benchmarks 2026: Wie Security-Teams die Hardening-Standards an Microsoft 365 Copilot anpassen
CIS Microsoft 365 Benchmark v4.0.0 bringt Copilot-spezifische Kontrollen. Managed Devices, Purview-DLP für Prompts und Graph-API-Hygiene werden Pflicht. Zum Artikel
