Executive Threat Dashboard
DACH Threat Landscape · Regulatory Deadlines · Personal Risk Assessment
What happened this week?
Drei aktiv ausgenutzte Mai-Schwachstellen treffen genau die Kontrollpunkte, die Unternehmen für „sicher" halten.
Der Mai 2026 endet mit einer ungewöhnlich dichten Folge aktiv ausgenutzter Schwachstellen, die ausgerechnet jene Komponenten betreffen, die in Risikobetrachtungen typischerweise als Kontrolle gelten – nicht als Angriffsfläche: CVE-2026-20182 im Cisco Catalyst SD-WAN Controller (CVSS 10.0, unauthentifizierter Auth-Bypass mit Admin-Zugriff, von Cisco PSIRT als aktiv ausgenutzt bestätigt, am 14. Mai von CISA in den KEV-Katalog aufgenommen); CVE-2026-6973 in Ivanti Endpoint Manager Mobile (CVSS 7.2, authentifizierter Admin-RCE, von Ivanti als Zero-Day bestätigt, BSI-Sicherheitshinweis vom 7. Mai, CISA-Frist für Bundesbehörden auf nur drei Tage gesetzt); und CVE-2026-41091 in der Microsoft Defender Malware Protection Engine (CVSS 7.8, lokale Privilegienerhöhung auf SYSTEM via Link-Following, am 20. Mai in den KEV-Katalog aufgenommen, Patch-Frist für US-Bundesbehörden: 3. Juni 2026). Parallel dazu hat CISA am 21. Mai eine in Trend Micro Apex One aktiv ausgenutzte Directory-Traversal-Schwachstelle (CVE-2026-34926) aufgenommen, die kompromittierte Apex-One-Server zur Verteilung von Schadcode an alle angeschlossenen Endpoint-Agents missbrauchen lässt.
Das gemeinsame Muster: Angegriffen werden Network-Edge (Cisco SD-WAN), Mobile-Device-Management (Ivanti EPMM), Endpoint-Protection (Microsoft Defender, Trend Micro Apex One) – also genau die Schicht, die in Audit-Reports als „Detective" oder „Preventive Control" geführt wird. Wer ein kompromittiertes EDR oder ein kompromittiertes MDM betreibt, hat keinen blinden Fleck mehr, sondern einen feindlich kontrollierten Sensor. Die Qilin-Ransomware-Gruppe bleibt nach dokumentierter Übernahme durch Moonstone Sleet (Nordkorea) der dominierende RaaS-Akteur im DACH-Raum; der Charakter der Angriffe ist nicht mehr rein finanziell motiviert. Auf regulatorischer Seite läuft die aktive NIS2-Durchsetzung durch das BSI weiter – die Registrierungsfrist ist seit dem 6. März abgelaufen, erste Bußgeldverfahren nach §30 BSIG sind in Bearbeitung.
Woodlands empfiehlt für diese Woche: (1) Cisco Catalyst SD-WAN Controller (vSmart/vManage) sofort auf die durch Cisco bereitgestellten Fixed Releases aktualisieren – bei Verdacht auf Kompromittierung NETCONF-Sessions und SD-WAN-Fabric-Konfiguration forensisch prüfen; (2) Ivanti EPMM auf 12.6.1.1 / 12.7.0.1 / 12.8.0.1 aktualisieren und Admin-Zugriffe rückwirkend auf ungewöhnliche Aktivität seit April prüfen – Zwei-Faktor und Privileged-Access-Reviews für die EPMM-Konsole sind nicht optional; (3) Microsoft Defender Malware Protection Engine ≥ 1.1.26040.8 verteilen (automatisches Update prüfen, nicht annehmen) und Link-Following-Artefakte in EDR-Telemetrie korrelieren; (4) Trend Micro Apex One On-Premise auf Build 17079/18012 patchen und das Apex-One-Key-Table-Verzeichnis auf unerlaubte Schreibzugriffe untersuchen.
Active Threats in the DACH Region
Regulatory Deadlines — Next 12 Months
Risk Heatmap by Industry & Threat Vector
Ransomware Volume · Breach Costs · Exploit Speed
Current Cyber Incidents in the DACH Region
Unlock advanced analytics
Sector heatmap, trend charts and DACH threat feed – verify once, permanent access.
Monthly Founder Statement
Wenn die Schutzsoftware selbst zur Schwachstelle wird – über die strategische Bedeutung des Mai-Patternjects.
Der Mai hat ein Muster gezeigt, das ich in meinen Gesprächen mit Vorständen immer wieder ansprechen muss: Die kritischsten aktiv ausgenutzten Schwachstellen lagen nicht in irgendeiner Schatten-IT, sondern in den Komponenten, die offiziell als „Kontrolle" geführt werden. Der Cisco Catalyst SD-WAN Controller. Ivanti EPMM, das Mobile-Device-Management. Microsoft Defender, der Endpoint-Schutz. Trend Micro Apex One, das EDR. Wer auf diese Werkzeuge als Schutz vertraut, hat im Mai 2026 einen Zustand erlebt, in dem genau diese Werkzeuge zur Angriffsfläche wurden – inklusive aktiver Ausnutzung in der Praxis.
Das eigentliche Problem ist nicht die Häufung von Schwachstellen. Das ist die Realität des Betriebs komplexer Software und wird nicht besser werden. Das Problem ist die strategische Annahme dahinter: Wenn Audit-Reports und Versicherungsfragebögen „Endpoint-Schutz: vorhanden" abhaken und damit das Restrisiko als adressiert betrachten, dann ist die nächste Stufe der Reife nicht „mehr Tools", sondern eine andere Frage: Wer prüft, ob die Tools selbst gehärtet, aktuell und unkompromittiert sind? Wenn CISA eine Drei-Tage-Patchfrist setzt – wie im Fall des Ivanti-EPMM-Zero-Days – ist das keine IT-Meldung mehr. Das ist eine Geschäftsentscheidung, weil der ungesicherte Weiterbetrieb mit bekanntem Exploit eine bewusste Risikoakzeptanz durch die Geschäftsführung darstellt, ob die Geschäftsführung das weiß oder nicht.
Meine Empfehlung für Juni: Prüfen Sie nicht, ob Ihre IT Patches einspielen kann. Prüfen Sie, ob Ihre Organisation in der Lage ist, eine Kritisch-Warnung innerhalb von 72 Stunden – und im Ausnahmefall innerhalb von 3 Tagen – durchzuziehen, inklusive Genehmigungsprozess, Kommunikation und Dokumentation. Und prüfen Sie, ob Ihre Sicherheitswerkzeuge selbst in den Patch-Zyklus eingebunden sind, nicht nur das, was sie schützen. Wenn nicht, ist das die eigentliche Schwachstelle. Und die lässt sich nicht mit einem weiteren Tool beheben.
How exposed is your company?
In which sector does your company operate?
What do these figures mean for your company?
We translate the threat landscape into concrete action recommendations for your specific situation.
The data presented here is based on public sources (BSI, ENISA, BaFin, CISA) and proprietary analysis. It does not constitute legal or compliance advice.