Cyber Security im Fokus – aktuelle Sicherheitslücken und wie ein ISMS davor schützen kann

Cyberangriffe und Sicherheitslücken nehmen stetig zu. Jedes Unternehmen ist potenziell betroffen – doch ein funktionierendes Informationssicherheits-Managementsystem (ISMS) kann Risiken frühzeitig identifizieren, Schwachstellen reduzieren und die Reaktionsfähigkeit erhöhen. Im Folgenden nehmen wir aktuelle, hochriskante Sicherheitslücken unter die Lupe und zeigen, wie ein ISMS den Schaden hätte reduzieren können.

Januar 2026

Was ist passiert?
Im vorinstallierten Support-Tool MyAsus klafft eine hochriskante Sicherheitslücke (CVE-2025-12793, CVSS 8.5), die es lokalen Angreifern ermöglicht, manipulierte DLL-Dateien einzuschleusen und Code mit erweiterten Systemrechten auszuführen. Asus stellt Sicherheitsupdates bereit, die Schwachstelle wird jedoch nur durch manuelle Aktualisierung behoben.

Wie ein ISMS helfen kann:

  • Patch- & Asset-Management: Überblick über vorinstallierte Software und zeitnahe Aktualisierung auch abseits automatischer Update-Mechanismen
  • – Baramundi
  • Least-Privilege-Prinzip: Einschränkung der Ausführungsrechte von Support- und Hilfstools – Berechtigungskonzepte und Benutzerverwaltung
  • Netzwerk-Monitoring/ Angreifererkennung:  Kontrolle unsicherer Ladepfade und Standardinstallationen  – Trend Micro Vision One EDR/XDR

Was ist passiert?
Mehrere teils kritische Schwachstellen in Veeam Backup & Replication (u. a. CVE-2025-55125, CVE-2025-59469, CVE-2025-59470) erlauben Angreifern die Ausführung von Schadcode bis hin zu Root-Rechten. Alle Versionen bis 13.0.1.180 sind betroffen, Patches stehen bereit.

Wie ein ISMS helfen kann:

  1. Kritikalitätsbewertung von Systemen: Backup-Systeme als besonders schützenswerte Infrastruktur klassifizieren und Notfallmanagement planen – IT-Service Continuity Management
  2. Patch-Management: Priorisierte Behandlung von Sicherheitsupdates für hochkritische Systeme  – Baramundi
  3. Zugriffs- & Rollenmanagement: Absicherung privilegierter Benutzerkonten wie Backup-Operatoren – 2FA/MFA; Benutzerverwaltun

Was ist passiert?
Angreifer nutzten eine kritische Sicherheitslücke im eingesetzten Shopsystem aus, manipulierten die Bezahlseite und versuchten, Kreditkarten- sowie Kundendaten abzugreifen. Der Online-Shop wurde abgeschaltet, Datenschutzbehörden sind involviert.

Wie ein ISMS helfen kann:

  1. Schwachstellenmanagement: Überprüfung eingesetzter Drittsoftware und Dienstleister – Lieferantenmanagement/ Patchmanagement
  2. Secure Development & Betrieb: Härtung von Webanwendungen und Zahlungsprozessen – Software-Entwicklungsprozesse & Change Management
  3. Incident-Response-Management: Schnelle Abschaltung, Forensik und strukturierte Kommunikation bei Angriffen – strukturiertes Incident-Management

Dezember 2025

Was ist passiert?
Im populären Packprogramm 7-Zip wurde eine Sicherheitslücke entdeckt (CVE-2025-11001, CVSS 7.0, Risiko „hoch“), die es Angreifern ermöglicht, Schadcode einzuschleusen und mit erhöhten Rechten auszuführen. Die Schwachstelle beruht auf fehlerhaftem Umgang mit symbolischen Links und „Path Traversal“. Nutzer müssen Archive aktiv entpacken, um angegriffen zu werden. Updates sind seit Version 25.00 verfügbar, werden jedoch nicht automatisch verteilt, da 7-Zip keinen integrierten Update-Mechanismus besitzt.

Wie ein ISMS helfen kann:

  1. Patch- und Release-Management:
    Zentrale Prozesse hätten sichergestellt, dass Software regelmäßig inventarisiert, analysiert und aktualisiert wird – Baramundi
  2. Risikobasierte Schwachstellenanalyse:
    Sicherheitslücken in populärer Software werden systematisch bewertet und priorisiert – regelmäßige Schwachstellenscans
  3. Awareness & End-User-Training:
    Nutzer wären über Risiken beim Entpacken potenziell manipulierter Archive informiert gewesen – KnowBe4

Was ist passiert?
Zur „Cyber-Week“ wurden Phishing-E-Mails verschickt, die sich als DHL-Sendungsverfolgung ausgeben. Die betrügerischen E-Mails führen auf gefälschte Webseiten, auf denen persönliche Daten und Kreditkarteninformationen abgefragt werden. Täter nutzen aktuelle Ereignisse, um möglichst viele Opfer anzulocken.

Wie ein ISMS helfen kann:

  1. Awareness-Programme:
    Mitarbeitende werden regelmäßig geschult, Phishing-E-Mails zu erkennen – KnowBe4
  2. Sicherheitsrichtlinien & technische Kontrollen:
    Mailfilter, Multi-Faktor-Authentifizierung und URL-Prüfungen reduzieren das Risiko, dass Daten abgegriffen werden – 2FA/MFA; Mailsecurity
  3. Incident-Response-Plan:
    Klare Abläufe für Verdachtsfälle verhindern, dass Schadsoftware oder Datendiebstahl eskalieren –  Incident Management; Business-Continuity Management

Was ist passiert?
Die IT-Systeme der Stadtverwaltung Ludwigshafen wurden abgeschaltet, nachdem ungewöhnliche Netzwerkaktivitäten festgestellt wurden. Externe IT-Spezialisten prüfen die Systeme.

Wie ein ISMS helfen kann:

  1. Kontinuierliches Monitoring & Anomalieerkennung:
    Früherkennung von ungewöhnlichen Aktivitäten im Netz  – Trend Micro Vision One EDR/XDR
  2. Notfall- und Business-Continuity-Plan:
    Strukturierte Verfahren zum Schutz der IT-Systeme und zur Aufrechterhaltung kritischer Dienste –  Business Continuity Management
  3. Risikobasierte Zugriffssteuerung:
    Minimierung der Angriffsmöglichkeiten durch restriktive Berechtigungen – Identity- & Access-Management

Was ist passiert?
Die US-Cybersicherheitsbehörde CISA warnt vor Angriffen auf Sicherheitslücken in VMware Aria Operations/Tools (CVE-2025-41244 / EUVD-2025-31589, CVSS 7.8, Risiko „hoch“) und in der Wiki-Plattform XWiki (CVE-2025-24893 / EUVD-2025-4562, CVSS 9.8, Risiko „kritisch“). Angreifer können Rechte ausweiten, Root-Zugriffe erlangen oder beliebigen Code einschleusen. Updates für alle betroffenen Versionen stehen bereit.

Wie ein ISMS helfen kann:

  1. Patch-Management & Change Control:
    Kritische Updates werden umgehend eingespielt – Baramundi
  2. Rollenbasierte Zugriffskontrolle:
    Reduzierung der Möglichkeiten, Root-Rechte auszunutzen – Identity- & Access-Management
  3. Monitoring & Schwachstellenmanagement:
    Regelmäßige Überprüfung kritischer Systeme auf bekannte Lücken – Baramundi, regelmäßige Schwachstellenscans

Ob und wie gut Ihr Unternehmen auf solche Bedrohungen vorbereitet ist, entscheidet sich nicht erst im Ernstfall. Ein strukturiertes und wirksam umgesetztes ISMS schafft Transparenz über Risiken und legt die Grundlage für nachhaltige Informationssicherheit. Wenn Sie wissen möchten, wo Ihr Unternehmen aktuell steht oder wie Sie Ihr ISMS gezielt aufbauen bzw. weiterentwickeln können, sprechen Sie uns gerne an. Über das folgende Kontaktformular nehmen wir uns Zeit für Ihr Anliegen.

Jetzt Klarheit gewinnen!

Ihr nächster Schritt zu mehr Informationssicherheit in ihrem Unternehmen.

Schreiben Sie uns, wir melden uns zeitnah bei Ihnen, um einen Termin für Ihr kostenfreies 20‑minütiges Online-Beratungsgespräch zu vereinbaren.

Ihre Kontaktdaten
Name

Neueste Beiträge

Weitersagen

Ähnliche Beiträge

Digitaler Zwilling: Simulation als Wettbewerbsvorteil (Webinar am 12.03.2026)
Gallerie

Digitaler Zwilling: Simulation als Wettbewerbsvorteil (Webinar am 12.03.2026)

19/01/2026
NIS2 wird konkret: Jetzt auf neue Cybersecurity-Pflichten vorbereiten
Gallerie

NIS2 wird konkret: Jetzt auf neue Cybersecurity-Pflichten vorbereiten

26/11/2025
Cyber Risk Exposure Management erleben – interaktiv, praxisnah, spannend am 25.11.2025
Gallerie

Cyber Risk Exposure Management erleben – interaktiv, praxisnah, spannend am 25.11.2025

03/10/2025
Kundentag am 04. November 2025 in München
Gallerie

Kundentag am 04. November 2025 in München

14/08/2025
Windows 10 Support endet am 14.10.2025
Gallerie

Windows 10 Support endet am 14.10.2025

25/06/2025
Der virtuelle Zwilling als Grundlage für effiziente Produktentwicklung und wie die 3DEXPERIENCE-Plattform dabei unterstützt
Gallerie

Der virtuelle Zwilling als Grundlage für effiziente Produktentwicklung und wie die 3DEXPERIENCE-Plattform dabei unterstützt

02/06/2025