CISA erweitert KEV-Katalog um acht Schwachstellen: Bundesbehörden-Deadlines 23. April und 4. Mai im Überblick
7 Min. Lesezeit · Stand: 23.04.2026
Am 20. April 2026 hat die CISA acht Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Drei betreffen Cisco Catalyst SD-WAN Manager mit Patch-Frist bis 23. April. Die fünf weiteren Lücken in PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA und Synacor Zimbra haben Federal-Deadlines bis 4. Mai. Für europäische Security-Teams ist das Update mehr als US-Verwaltungs-Routine. Die CISA-Fristen werden 2026 zunehmend zur Priorisierungs-Linie für DACH-CISOs, weil das BSI keine vergleichbar harten Deadlines setzt.
Das Wichtigste in Kürze
- CISA-KEV-Update vom 20. April 2026 mit acht Schwachstellen, Patch-Deadlines am 23. April und 4. Mai 2026.
- Drei Cisco Catalyst SD-WAN Manager CVEs (2026-20122, -20128, -20133) plus PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA, Synacor Zimbra.
- Synacor Zimbra Collaboration Suite und Cisco-Catalyst-Lücken haben die kürzere Frist bis 23. April. Die anderen fünf Lücken bis 4. Mai.
- Europäische Security-Teams nutzen die CISA-Fristen als Priorisierungs-Proxy, weil BSI-Advisories selten harte Patch-Termine enthalten.
- Das Update zeigt die typische 2026-Mischung: ein neuer Vendor-Stack (Cisco SD-WAN), Re-Aktivierungen alter Lücken (PaperCut, JetBrains) und Nischen-Produkte (Kentico, KACE).
Was im Update enthalten ist
Was ist der CISA-KEV-Katalog? Der KEV-Katalog der US-Behörde Cybersecurity and Infrastructure Security Agency ist eine kuratierte Liste von Schwachstellen, für die aktive Ausnutzung dokumentiert ist. Bundesbehörden des Federal Civilian Executive Branch sind verpflichtet, gelistete Lücken in einer vorgegebenen Frist zu patchen. Der Katalog dient darüber hinaus als Referenz für Security-Teams weltweit, weil die Aufnahme bedeutet, dass eine Lücke nicht mehr theoretisches Risiko, sondern realer Angriffsvektor ist.
Das Update vom 20. April 2026 listet acht Lücken. Die Cisco-Catalyst-SD-WAN-Manager-Familie nimmt drei davon ein: CVE-2026-20122 (CVSS 5.4, unsichere API-Aufrufe), CVE-2026-20128 (CVSS 7.5, Passwortspeicher in wiederherstellbarer Form) und CVE-2026-20133 (CVSS 6.5, sensitive Information). Diese drei zusammen bilden eine Eskalationskette, die in unsegmentierten Management-Netzen kritisch wird. CISA hat dafür die kürzere Frist von 23. April 2026 angesetzt.
Die zweite Klasse umfasst PaperCut NG/MF (CVE-2023-27351, CVSS 8.2), JetBrains TeamCity (CVE-2024-27199), Kentico Xperience (CVE-2025-2749), Quest KACE SMA (CVE-2025-32975) und Synacor Zimbra Collaboration Suite (CVE-2025-48700). Auffällig ist die Mischung aus Re-Aktivierungen älterer Lücken und neueren Bugs. PaperCut-Probleme sind wir in einem separaten Artikel ausführlich behandelt. Synacor Zimbra hat ebenfalls die 23.-April-Frist, was die operative Dringlichkeit für E-Mail-Plattform-Betreiber erhöht.
Warum das Update für DACH-Security-Teams relevant ist
Drei Beobachtungen prägen die Einordnung. Die erste ist die Zusammensetzung des Vendor-Mix. Cisco Catalyst SD-WAN Manager ist in vielen DACH-Konzernen aktiv im Einsatz, vor allem in standortübergreifenden Netzwerken mit dezentralem Office-Bestand. Zimbra Collaboration Suite läuft in vielen Hochschul- und Behördenstrukturen. PaperCut findet sich in fast jedem mittelgroßen Druckumfeld. Wer eines dieser Systeme im Einsatz hat, sollte umgehend prüfen, ob die genannten Versionen betroffen sind.
Die zweite Beobachtung ist die Verbindung zu BSI-Advisories. Das BSI hat in den letzten Wochen mehrere Vorabwarnungen zu Cisco-Catalyst-Themen veröffentlicht, allerdings ohne harte Patch-Termine. CISOs in Banken, Versicherungen und KRITIS-Betreibern nutzen daher zunehmend die CISA-Fristen als interne Priorisierungs-Proxy. Wer in der internen Eskalations-Logik die CISA-Deadline als Zwangsmoment bei vergleichbar exponierten Stacks einbaut, gewinnt Geschwindigkeit ohne übertriebene Reglementierung.
Die dritte Beobachtung ist der Lifecycle-Mix. Das Update kombiniert ein 2023er-Bug (PaperCut), einen 2024er (JetBrains), zwei 2025er (Kentico, Quest, Synacor) und drei 2026er (Cisco). Das ist die Realität moderner CVE-Welten: Re-Aktivierungen schlagen zu, weil ungepatchte Bestände in der Fläche bleiben. Der PaperCut-Fall ist exemplarisch. Wer SBOM-Disziplin und Patch-Routinen nicht systematisch verankert, läuft jeder Welle hinterher.
Was Security-Teams in den nächsten 14 Tagen tun
- Inventur: Welche der acht Vendor-Stacks laufen im Haus, in welcher Version?
- Priorisierung nach Exposition (intern vs. extern erreichbar) und Geschäftskritikalität
- Patch-Roll-out für Cisco Catalyst SD-WAN und Synacor Zimbra mit höchster Dringlichkeit
- Detection-Regeln für die KEV-Lücken in SIEM und EDR aktivieren
Was nicht funktioniert
- Patches als reine IT-Aufgabe ohne Compliance-Begleitung
- Vertrauen auf „wir sind nicht in den USA, also nicht betroffen“
- Patches ohne Audit-Trail und Dokumentation für interne Revision
- Verlassen auf BSI-Advisories ohne eigenes KEV-Monitoring
Ein 14-Tage-Reaktionsplan für DACH-Security-Operations
Zwei Wochen reichen für eine saubere Reaktion, wenn Inventory, Patch-Disziplin und Detection-Layer eng verzahnt arbeiten. Die folgenden Meilensteine sind aus Gesprächen mit Security-Operations-Leitern in mittelständischen Banken und Industrie-Konzernen verdichtet.
Was 2026 strukturell aus den KEV-Wellen lernt
Drei Lessons über das einzelne Update hinaus verdienen Beachtung. Erstens: Die KEV-Cadence verdichtet sich. CISA veröffentlicht häufiger Updates mit mehr Lücken pro Update als noch 2024. Security-Teams brauchen einen wöchentlichen Routine-Slot für KEV-Bewertung, nicht eine Ad-hoc-Bearbeitung. Wer das nicht systematisch macht, wird im nächsten Quartal überfordert sein.
Zweitens: SBOM-Investitionen zahlen sich messbar aus. Wer keine vollständige Software-Stückliste seiner Anwendungen hat, kann nicht in Stunden auf KEV-Updates reagieren. Anbieter wie Anchore, Snyk und Sysdig bieten 2026 reife Tools, die SBOM-Generierung und KEV-Abgleich automatisieren. Die Investition liegt typischerweise im niedrigen bis mittleren fünfstelligen Bereich pro Jahr und amortisiert sich beim ersten ernsten Vorfall.
Drittens: Vendor-Konsolidierung ist auch ein Security-Hebel. Wer drei Druckserver-Lösungen, vier SD-WAN-Anbieter und zwei E-Mail-Plattformen parallel betreibt, hat eine Patch-Komplexität, die in jeder KEV-Welle Reibung erzeugt. Eine bewusste Konsolidierung reduziert nicht nur Lizenzkosten, sondern auch Patch-Aufwand. Diese Diskussion gehört in die nächste IT-Strategie-Sitzung, nicht in die Security-Routine.
Für CISOs und Aufsichtsräte ergibt sich aus dem Update eine konkrete Handlungs-Logik. Die KEV-Linie sollte 2026 in jedes Quartals-Reporting an den Vorstand eingebaut werden. Anzahl offener KEV-Vulnerabilities, Time-to-Patch im Vergleich zur CISA-Frist und Compliance-Status pro regulierter Branche sind drei robuste KPIs. Die ASP.NET-Core-Diskussion zu DORA und NIS2 hat exemplarisch gezeigt, wie eng die Verbindung zwischen einzelnen CVEs und regulatorischen Berichtspflichten geworden ist. Wer die KEV-Bewegung in das eigene Vorstandsbriefing übersetzt, schafft Klarheit auf Geschäftsleitungs-Ebene.
Häufige Fragen
Welche acht Lücken sind im Update vom 20. April konkret enthalten?
Drei Cisco Catalyst SD-WAN Manager CVEs (2026-20122, -20128, -20133), PaperCut NG/MF CVE-2023-27351, JetBrains TeamCity CVE-2024-27199, Kentico Xperience CVE-2025-2749, Quest KACE SMA CVE-2025-32975 und Synacor Zimbra CVE-2025-48700. Die Cisco- und Synacor-Lücken haben die 23.-April-Frist, die übrigen die 4.-Mai-Frist.
Sind die CISA-Deadlines auch für deutsche Unternehmen verbindlich?
Nicht direkt. CISA-Fristen sind verpflichtend für US-Bundesbehörden im Federal Civilian Executive Branch. Für deutsche Unternehmen sind sie eine Empfehlung mit hohem Referenzwert. NIS2-Betreiber, KRITIS-Betreiber und DORA-regulierte Häuser nutzen sie zunehmend als interne Eskalations-Proxy.
Was unterscheidet den KEV-Katalog vom BSI-Advisory-System?
Der KEV-Katalog dokumentiert ausschließlich Lücken mit aktiver Ausnutzung und gibt harte Patch-Fristen für US-Bundesbehörden vor. Das BSI veröffentlicht Advisories mit breiterer Risikobewertung, ohne verpflichtende Patch-Termine für die Privatwirtschaft. Beide Systeme ergänzen sich, der KEV-Katalog ist operativ schärfer.
Wie häufig sollte ein Security-Team KEV-Updates checken?
Mindestens wöchentlich, idealerweise mit automatisierter Benachrichtigung über RSS oder API. Bei kritischen Updates wie dem vom 20. April lohnt eine Eskalations-Routine, die das Update binnen 24 Stunden in eine interne Triage überführt.
Welche Tools eignen sich für KEV-Monitoring?
Klassische Vulnerability-Management-Tools wie Tenable, Qualys und Rapid7 integrieren KEV-Abgleich nativ. Open-Source-Alternativen wie OpenVAS und Wazuh haben KEV-Module verfügbar. Wer SBOM-basiert arbeitet, nutzt Anchore, Snyk oder Grype. Die Auswahl hängt von der bestehenden Tool-Landschaft ab.
Was bedeutet die Welle für Mittelstands-Security-Operations?
Mittelständler ohne 24×7-SOC haben es schwerer, in 14 Tagen alle acht Lücken sauber abzuarbeiten. Eine Priorisierung nach Exposition und Geschäftskritikalität ist umso wichtiger. Wer einen Managed-Security-Partner hat, sollte mit ihm den Reaktionspfad explizit abstimmen.
Lesetipps der Redaktion
PaperCut NG/MF: 2023er-Bug zurück im CISA-KEV
Mehr aus dem MBF Media Netzwerk
Cloudmagazin: SaaS-Sprawl-Audit im Mittelstand 2026
MyBusinessFuture: Fortune-Report 22. April und IT-Services-Outcome-Modelle
Digital Chiefs: CIO-Welle April 2026 mit hybriden Tech-Profilen
Quelle Titelbild: Pexels / Erik Mclean (px:6016937)
