NCSC warnt CNI-Betreiber vor schweren Cyberbedrohungen

Das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre) hat eine deutliche Warnung an die Betreiber kritischer nationaler Infrastrukturen im Vereinigten Königreich herausgegeben und drängt auf sofortige Maßnahmen zur Abwehr der von ihm als "schwerwiegend" bezeichneten Cyber-Bedrohungen. Die Warnung folgt auf koordinierte Cyberangriffe im Dezember, die mit Hilfe von Schadsoftware auf die polnische Energieinfrastruktur abzielten und das reale Risiko für wesentliche Dienste unterstrichen.

Jonathan Ellison, NCSC-Direktor für nationale Widerstandsfähigkeit, betonte, dass die Unterbrechung alltäglicher Dienste keine entfernte Möglichkeit, sondern eine aktive und wachsende Bedrohung sei. Er rief die Betreiber von Energie-, Wasser-, Verkehrs-, Gesundheits- und Telekommunikationsdiensten dazu auf, ihre Cyberabwehr und ihre Widerstandsfähigkeit unverzüglich zu verbessern.

Schwere Bedrohungen sind definiert als vorsätzliche, stark störende oder zerstörerische Angriffe, die darauf abzielen, den Betrieb stillzulegen, industrielle Kontrollsysteme zu beschädigen oder Daten zu löschen, um eine Wiederherstellung zu verhindern. Als Reaktion darauf rät die NCSC den Unternehmen, die Überwachung der Bedrohungen zu verbessern, das Situationsbewusstsein zu erhöhen und die Netzwerke durch bewährte Verfahren wie Patches, Zugangskontrollen und Multi-Faktor-Authentifizierung zu schützen.

Ellison hob auch das Gesetz über Cybersicherheit und Widerstandsfähigkeit (Cyber Security and Resilience Bill) als wichtigen Schritt zur Stärkung der kollektiven Verteidigung des Vereinigten Königreichs gegen moderne Cyberbedrohungen hervor.

Deutschland strebt die Legalisierung offensiver Cyberoperationen an

Berichten zufolge bereitet Deutschland eine neue Gesetzgebung vor, die seine Nachrichtendienste offiziell ermächtigen würde, offensive Cyberoperationen gegen feindliche Akteure durchzuführen. Damit würde sich Berlin stärker an Großbritannien und den USA orientieren, die beide bereits über einen klareren Rechtsrahmen für Cyber-Gegenmaßnahmen verfügen.

Die vorgeschlagenen Maßnahmen würden es deutschen Behörden ermöglichen, fortschrittliche, KI-gesteuerte Cyber-Fähigkeiten einzusetzen, um auf Angriffe zu reagieren und Gegner in einer zunehmend komplexen Bedrohungslandschaft abzuschrecken. Das deutsche Militär würde auch erweiterte Befugnisse erhalten, um auf "hybride Bedrohungen" zu reagieren, bei denen Cyberoperationen, Desinformation und digitale Störungen mit konventionellen militärischen Aktivitäten kombiniert werden.

Offizielle Vertreter argumentieren, dass moderne Konflikte nicht mehr auf physische Schlachtfelder beschränkt sind und dass sich die nationalen Verteidigungsstrategien entsprechend weiterentwickeln müssen. Bei Cyberangriffen auf kritische Infrastrukturen wie Energie-, Verkehrs- und Luftfahrtsysteme wird eine Null-Toleranz-Haltung erwartet.

Das Thema dürfte auf der bevorstehenden Münchner Sicherheitskonferenz eine wichtige Rolle spielen, da die europäischen Staats- und Regierungschefs weiterhin ein Gleichgewicht zwischen der Abschreckung durch Cyberangriffe und der Sorge um eine Eskalation und ein verantwortungsbewusstes Verhalten der Staaten im Cyberspace finden wollen.

Microsoft Patch Tuesday behebt sechs ausgenutzte Zero-Days

Der Microsoft Patch Tuesday im Februar 2026 bietet Sicherheitsupdates für 58 Schwachstellen, darunter sechs aktiv ausgenutzte Zero-Days und drei, die öffentlich bekannt wurden, bevor Fixes verfügbar waren. Fünf der Schwachstellen werden als "kritisch" eingestuft. Sie umfassen die Risiken der Erhöhung von Berechtigungen und der Offenlegung von Informationen, wobei die Probleme der Erhöhung von Berechtigungen in diesem Monat die größte Gesamtkategorie darstellen.

Besonders besorgniserregend sind mehrere Schwachstellen zur Umgehung von Sicherheitsfunktionen, die Windows Shell, MSHTML und Microsoft Word betreffen, sowie ausgenutzte Schwachstellen im Desktop Window Manager und in den Remotedesktopdiensten, die es Angreifern ermöglichen könnten, Zugriff auf SYSTEM-Ebene zu erhalten. Microsoft hat nur wenige technische Details zur Verfügung gestellt, aber mehrere der Schwachstellen wurden von professionellen Angreifern in der realen Welt ausgenutzt.

Neben der Behebung von Sicherheitslücken hat Microsoft mit der schrittweisen Einführung neuer Secure Boot-Zertifikate begonnen, die Zertifikate aus dem Jahr 2011 ersetzen, die im Juni 2026 auslaufen. Das Update stützt sich auf Gerätezustandssignale, um das Bereitstellungsrisiko zu verringern.

Unternehmen wird dringend empfohlen, Patches vorrangig zu installieren, Kontrollen für den privilegierten Zugriff zu überprüfen und auf Anzeichen einer Ausnutzung zu achten, insbesondere bei Windows-Endgeräten und Fernzugriffsdiensten.

Ransomware-Gruppe missbraucht Tools zur Mitarbeiterüberwachung

Forscher haben einen Ransomware-Einbruch aufgedeckt, bei dem ein Mitglied der Crazy-Ransomware-Bande legitime Überwachungs- und Fernsupport-Software für Mitarbeiter missbrauchte, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Die Angreifer setzten Net Monitor for Employees Professional zusammen mit dem Fernsupport-Tool SimpleHelp ein, wodurch sie sich in die normalen Verwaltungsaktivitäten einfügen konnten, während sie in aller Stille den Einsatz der Ransomware vorbereiteten.

Bei den analysierten Vorfällen installierten die Angreifer die Überwachungssoftware direkt von der Website des Anbieters mithilfe von Standard-Windows-Dienstprogrammen und erhielten so die Möglichkeit, Desktops einzusehen, Dateien zu übertragen und Befehle aus der Ferne auszuführen. Um die Persistenz zu erhöhen, wurde SimpleHelp mit PowerShell installiert und mit Dateinamen getarnt, die vertrauenswürdigen Anwendungen, einschließlich OneDrive-Komponenten, ähneln. Dadurch wurde sichergestellt, dass der Zugriff auch dann noch möglich war, wenn ein Tool entfernt wurde.

Die Forscher beobachteten auch Versuche, WindowsDefender zu deaktivieren und Warnungen für Kryptowährungs-Wallet-Aktivitäten zu konfigurieren, was auf Vorbereitungen für Ransomware und Diebstahl hindeutet. Die Aktivitäten verdeutlichen einen wachsenden Trend bei Ransomware-Operationen, bei denen legitime Tools missbraucht werden. Dies unterstreicht die Notwendigkeit, Fernzugriffssoftware zu überwachen und MFA bei allen VPN-Diensten durchzusetzen.

Staatlich unterstützte Hacker nutzen KI als Waffe für Cyberangriffe

Staatlich unterstützte Bedrohungsakteure setzen zunehmend generative KI ein, um Cyberoperationen von Anfang bis Ende zu unterstützen, so die neuen Erkenntnisse der Threat Intelligence Group von Google. Gruppen, die mit China, dem Iran, Nordkorea und Russland in Verbindung stehen, wurden dabei beobachtet, wie sie das Gemini-Modell von Google für die Aufklärung, die Erstellung von Zielprofilen, die Erstellung von Phishing-Ködern, die Entwicklung von Malware und die Aktivitäten nach der Kompromittierung verwendeten.

Die Forscher fanden heraus, dass einige Akteure KI zur Analyse von Schwachstellen, zum Testen von Exploits, zur Übersetzung von Inhalten und zur Fehlerbehebung bei bösartigem Code einsetzten, während andere sie zur Beschleunigung von Social-Engineering-Kampagnen nutzten. In mehreren Fällen waren KI-gestützte Tools mit Phishing-Kits und Malware-Frameworks verbunden, die darauf abzielten, Anmeldeinformationen zu stehlen, Nutzdaten der zweiten Stufe zu verteilen und die Erkennung zu umgehen.

Google warnte auch vor Versuchen, KI-Modelle in großem Maßstab durch automatisierte Eingabeaufforderungen und Wissensdestillation zu extrahieren und zu replizieren, und bezeichnete dies als wachsendes Risiko für geistiges Eigentum und Sicherheit. Google erwartet jedoch, dass KI zunehmend in die Arbeitsabläufe von Angreifern eingebettet wird, was die Notwendigkeit einer stärkeren Erkennung, Identitätssicherheit und eines stärkeren Nutzerbewusstseins unterstreicht, wenn KI-gesteuerte Bedrohungen heranreifen.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.