WOODLANDS ADVISORY
Woodlands Advisory · Threat Intelligence

Executive Threat Dashboard

DACH Threat Landscape · Regulatory Deadlines · Personal Risk Assessment

Request Advisory →
Live|DACH Threat Landscape|Sun, 24 May 2026
Threat Level:HIGHMultiple actively exploited vulnerabilities in core systems
Weekly Report

What happened this week?

KW 18 · 3. Mai 2026

Drei aktive Exploits, ein Durchsetzungsschock – die DACH-Bedrohungslage verschärft sich auf breiter Front.

KW 18 bringt drei gleichzeitig aktiv ausgenutzte Schwachstellen in zentraler Unternehmensinfrastruktur: CVE-2026-41940 in cPanel & WHM (CVSS 9.8, Zero-Day seit dem 23. Februar 2026 – zwei Monate vor dem Notfallpatch), CVE-2026-33824 im Windows IKE Extension Service (CVSS 9.8, unauthentifizierter SYSTEM-RCE mit Wurm-Potenzial via UDP 500) und CVE-2026-31431 "Copy Fail" im Linux-Kernel (lokale Root-Eskalation auf nahezu allen Linux-Distributionen seit 2017, PoC öffentlich verfügbar, von CISA am 1. Mai in den KEV-Katalog aufgenommen). Alle drei Schwachstellen setzen keine oder minimale Vorautorisierung voraus – ein Szenario, das Sicherheitsteams maximal unter Zeitdruck setzt. Das BSI hat für zwei der drei Schwachstellen eigene Warnmeldungen herausgegeben.

Parallel dazu beginnt das BSI mit der aktiven NIS2-Durchsetzung. Die dreimonatige Registrierungsfrist ist am 6. März 2026 abgelaufen; rund 18.500 Unternehmen haben sie versäumt. Erste Bußgeldverfahren nach §30 BSIG laufen an, persönliche Geschäftsführerhaftung nach §38 BSIG ist explizit vorgesehen. Hinzu kommt die Qilin-Ransomware-Gruppe, die mit 29 bestätigten Angriffen in Deutschland die DACH-Statistiken anführt. Seit März 2026 ist eine operative Verbindung zur nordkoreanischen staatlich gestützten Gruppe Moonstone Sleet dokumentiert – der Charakter der Angriffe verlagert sich damit von rein finanziell zu geopolitisch motiviert.

Woodlands empfiehlt für diese Woche: (1) cPanel- und Windows IKE-Systeme sofort patchen oder bis zur Patchmöglichkeit netzwerkseitig isolieren – Exposition prüfen, aktive Sessions invalidieren; (2) Linux-Server auf CVE-2026-31431 prüfen und Kernel-Updates einspielen, in Cloud- und Kubernetes-Umgebungen mit besonderer Priorität; (3) NIS2-Registrierung beim BSI nachholen und Meldeprozesse nach §32 NIS2UmsuCG dokumentieren – der Wechsel von Gnadenfrist zu aktiver Strafverfolgung ist diese Woche vollzogen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 15 · 7. April 2026

Geopolitische Eskalation trifft digitale Infrastruktur – DACH-Unternehmen im Fadenkreuz.

Die erste Aprilwoche markiert eine neue Qualität in der Bedrohungslage für den DACH-Raum: Staatlich gesteuerte Akteure aus dem osteuropäischen und ostasiatischen Raum haben ihre Angriffskapazitäten auf kritische Infrastruktur, Finanzinstitute und mittelständische Zulieferer konzentriert. Parallel dazu hat das BSI drei kritische Schwachstellen in weit verbreiteten VPN-Lösungen (Ivanti Connect Secure, Cisco ASA) als aktiv ausgenutzt eingestuft. Die Anzahl der gemeldeten Sicherheitsvorfälle im DACH-Raum ist gegenüber Vorwoche um 34% gestiegen.

Besonders auffällig ist die Zunahme von Supply-Chain-Angriffen auf Software-Dienstleister im DACH-Raum. Angreifer kompromittieren gezielt kleinere Softwarehäuser, um über deren Update-Mechanismen Zugang zu größeren Unternehmensinfrastrukturen zu erhalten – ein klassischer „Trusted-Supplier"-Angriff, der in der internen Risikobetrachtung vieler Unternehmen noch immer unterrepräsentiert ist. Drei bestätigte Vorfälle dieser Art wurden diese Woche bekannt.

Woodlands empfiehlt für diese Woche: (1) Ivanti Connect Secure und Cisco ASA sofort auf aktuelle Patches prüfen, (2) Software-Drittanbieter auf aktuelle Sicherheitszertifizierungen prüfen und Lieferketten-Risiko in das nächste Board-Update aufnehmen, (3) Netzwerksegmentierung überprüfen – besonders die Isolation von Produktions- und Büronetzen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 13 · 24. März 2026

Erhöhte Aktivität auf breiter Front – kein Einzelereignis, sondern ein Muster.

Die vergangene Woche war geprägt durch drei parallele Entwicklungen: die aktive Ausnutzung einer kritischen Fortinet-Schwachstelle durch staatlich gesteuerte APT-Gruppen, eine koordinierte Ransomware-Kampagne gegen den deutschen Mittelstand sowie die ersten offiziellen BSI-Bußgeldverfahren unter NIS2. Jede dieser Entwicklungen wäre für sich genommen bereits bemerkenswert – ihr gleichzeitiges Auftreten ist kein Zufall.

Für Entscheider bedeutet das: Der Zeitdruck, Sicherheitsmaßnahmen zu dokumentieren und nachweisbar zu machen, hat sich in dieser Woche spürbar erhöht. Unternehmen, die ihre Incident-Response-Prozesse noch nicht formalisiert haben, stehen vor einem doppelten Risiko: technischer Kompromittierung und regulatorischer Konsequenz.

Woodlands empfiehlt, in den nächsten zwei Wochen drei Prioritäten zu setzen: (1) Fortinet-Systeme sofort patchen oder isolieren, (2) den eigenen NIS2-Meldeprozess intern überprüfen, (3) das Board über die aktuelle Haftungslage informieren.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
Threat Radar

Active Threats in the DACH Region

Summary

CVE-2026-41940 ist ein Authentication-Bypass in cPanel & WHM via CRLF-Injection, der einem unauthentifizierten Angreifer vollständige Root-Kontrolle über den Server verschafft. Die Schwachstelle wurde seit dem 23. Februar 2026 als Zero-Day aktiv ausgenutzt – rund zwei Monate vor dem Notfallpatch vom 28. April 2026. Ein PoC-Exploit ist öffentlich verfügbar. Schätzungsweise 1,5 Millionen cPanel-Instanzen waren exponiert. Das BSI hat eine Cybersicherheitswarnung (2026-246817-1032) herausgegeben.

Woodlands Assessment

cPanel ist die dominierende Web-Hosting-Verwaltungsplattform für KMU, Agenturen und Managed-Service-Provider im DACH-Raum. Wer diese Infrastruktur betreibt oder darauf setzt, hat im schlimmsten Fall zwei Monate unbemerkt ein offenes Einfallstor gehabt. Besonders kritisch: Angreifer mit Zugriff auf das Hosting-Panel kontrollieren alle dort gehosteten Websites, Datenbanken und E-Mail-Konten – ein vollständiger Blast-Radius ohne weiteres Pivoting.

Recommendation

Sofortiges Update auf cPanel & WHM ≥ 11.122.0.8 (bzw. die neueste verfügbare Version). Bis zum Patch: externe Ports 2083, 2087, 2095 und 2096 sperren. Alle aktiven Sessions invalidieren und Serverprotokolle rückwirkend auf Zugriffe seit Februar 2026 prüfen. Hosting-Anbieter auf Patchstatus anfragen.

Summary

CVE-2026-33824 ist ein Double-Free-Speicherfehler im Windows IKE Extension Service, der unauthentifizierten Angreifern Remote Code Execution auf SYSTEM-Ebene ermöglicht. Angriff erfolgt über UDP 500/4500 ohne Nutzerinteraktion. Betroffen sind Windows Server 2016 bis 2025 sowie Windows 10/11 mit aktiviertem IKEv2. Microsoft hat den Patch am 14. April 2026 (Patch Tuesday) veröffentlicht. Das BSI hat Warnstufe Hoch vergeben (2026-246628-1032).

Woodlands Assessment

IKEv2 ist das Rückgrat von IPsec-VPNs und Windows Always-On-VPN – beides in DACH-Unternehmensinfrastrukturen flächendeckend im Einsatz. Die Tatsache, dass der Angriff über UDP 500 erfolgt, also den Standard-IKE-Port, bedeutet: Wer VPN-Endpunkte exponiert hat – und das tun praktisch alle Unternehmen mit Remote-Zugang – ist direkt angreifbar. Das Wurm-Potenzial macht das Risiko für ungesegmentierte Netzwerke besonders hoch.

Recommendation

Microsoft April 2026 Patch Tuesday für alle betroffenen Windows-Systeme sofort einspielen. Priorität auf VPN-Konzentratoren, Edge-Server und Systeme mit IKEv2-Exposition. Falls Patching nicht sofort möglich: IKEv2 temporär deaktivieren oder UDP 500/4500 auf Firewall-Ebene einschränken. Netzwerksegmentierung als Fallback-Kontrolle überprüfen.

Summary

CVE-2026-31431 ("Copy Fail") ist eine Local Privilege Escalation im Linux-Kernel-Cryptographic-Subsystem (algif_aead). Ein lokaler Nutzer ohne Root-Rechte kann via 732-Byte-Python-Exploit vollständige Root-Privilegien erlangen. Betroffen sind nahezu alle Linux-Distributionen mit Kerneln ab 2017 (Ubuntu, RHEL, Debian, Amazon Linux, SUSE). CISA hat die Schwachstelle am 1. Mai 2026 in den KEV-Katalog aufgenommen, Bundesbehörden müssen bis 15. Mai patchen. CVSS 7.8.

Woodlands Assessment

Der CVSS-Score von 7.8 unterschätzt die reale Gefahr: In Cloud-Umgebungen, CI/CD-Pipelines und Kubernetes-Clustern bedeutet "lokaler Nutzer" oft ein kompromittierter Container oder ein Entwickler-Account. Container-Breakout, laterale Bewegung innerhalb von Shared-Hosting-Umgebungen und Multi-Tenant-Kompromittierung sind direkte Konsequenzen. In SaaS-Infrastrukturen, die mehrere Kundendaten auf denselben Linux-Hosts verwalten, ist das ein Worst-Case-Szenario.

Recommendation

Kernel-Patches von Distribution-Vendor sofort einspielen. Für Systeme ohne sofortigen Patch-Zugang: algif_aead-Modul explizit deaktivieren (modprobe -r algif_aead). Cloud- und Container-Umgebungen mit Priorität behandeln. Privilege-Escalation-Detection in SIEM/EDR prüfen.

Summary

Die Qilin-Ransomware-Gruppe (Ransomware-as-a-Service) führt die globalen Ransomware-Statistiken 2026 an und ist für 15 % aller veröffentlichten Angriffe verantwortlich. In Deutschland wurden 29 bestätigte Vorfälle registriert, darunter die Kanzlei Harte-Bavendamm und die Partei Die Linke. Seit März 2026 ist eine operative Übernahme durch die nordkoreanische staatlich gestützte Gruppe Moonstone Sleet dokumentiert – was den Charakter von rein finanziell zu geopolitisch motivierten Angriffen verschiebt.

Woodlands Assessment

Die Verbindung zu Moonstone Sleet ist ein Paradigmenwechsel: Qilin ist damit nicht mehr nur eine kriminelle RaaS-Gruppe, sondern ein Werkzeug staatlich gesteuerter Spionage und Destabilisierung. Für DACH-Unternehmen bedeutet das, dass die klassische Ransomware-Reaktion (Zahlen oder Restore) die eigentliche Gefahr – nämlich Datenexfiltration für nachrichtendienstliche Zwecke – nicht adressiert. Wer betroffen ist, muss von einer vollständigen Kompromittierung ausgehen.

Recommendation

Ransomware-Incident-Response-Playbook auf Double-Extortion-Szenarien (Verschlüsselung + Exfiltration) aktualisieren. Offline-Backups verifizieren. Endpoint Detection auf Qilin-IoCs (LSASS-Dumping, VSS-Deletion, Rclone-Aktivität) testen. Bei Verdacht auf Kompromittierung: vor Zahlung immer forensische Analyse des Exfiltrations-Umfangs.

Summary

Die dreimonatige NIS2-Registrierungsfrist ist am 6. März 2026 abgelaufen. Nach BSI-Schätzungen haben rund 18.500 Unternehmen die Frist nicht eingehalten. Das BSI hat mit Mai 2026 den Übergang von der Registrierungsphase zur aktiven Durchsetzung vollzogen. Erste Bußgeldverfahren nach §30 BSIG laufen an. Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen; persönliche Geschäftsführerhaftung nach §38 BSIG.

Woodlands Assessment

Der Wechsel von Gnadenfrist zu aktiver Strafverfolgung ist die relevante Entwicklung dieser Woche – nicht die Schwachstellen. Viele Unternehmen haben NIS2 als IT-Thema behandelt und die Registrierung verpasst, weil niemand in der Geschäftsführung das Datum auf dem Schirm hatte. Jetzt ist Nachregistrierung möglich, aber der Nachweis, dass man die Frist "gutgläubig" verpasst hat, wird schwer zu führen sein – erst recht, wenn gleichzeitig ein Sicherheitsvorfall bekannt wird.

Recommendation

NIS2-Registrierung beim BSI unverzüglich nachholen (registrierung.bsi.bund.de). Dreistufigen Meldeprozess nach §32 NIS2UmsuCG dokumentieren: Frühwarnung 24h, Folgemeldung 72h, Abschlussbericht 1 Monat. Geschäftsführung formal über Haftungsrisiko nach §38 BSIG informieren und dies schriftlich festhalten.

Compliance Calendar

Regulatory Deadlines — Next 12 Months

May 26JunJulAugSeptOctNovDecJan 27FebMarAprMay
Today
NIS2May 26
DORAJul 26
AI ActAug 26
ISOOct 26
NIS2Nov 26
DSGVOJan 27
Sector Analysis

Risk Heatmap by Industry & Threat Vector

Gated
Low
Medium
High
Critical
Ransomware
Supply Chain
Phishing / BEC
Regulation
Data Breach
Insider Threat
SaaS
FinTech
HealthTech
Manufacturing
Retail
Critical Infra
Historical Trends

Ransomware Volume · Breach Costs · Exploit Speed

Gated
94Vorfälle Q1 2026Quelle: BSI Lagebericht + BleepingComputer
94.066.038.0Q1'24Q2'24Q3'24Q4'24Q1'25Q2'25Q3'25Q4'25Q1'2694
DACH Threat Feed

Current Cyber Incidents in the DACH Region

Gated
Critical09:15

CVE-2026-41940 cPanel & WHM: PoC öffentlich, Zero-Day seit Feb. 2026 – sofort patchen

BSI / BleepingComputer
Critical08:42

CVE-2026-33824 Windows IKE: Unauthentifizierter SYSTEM-RCE via UDP 500 – Patch April 2026

BSI CERT-Bund
High07:30

Linux "Copy Fail" CVE-2026-31431 in CISA KEV aufgenommen – Bundesbehörden: Patch bis 15. Mai

CISA KEV
HighGestern

Qilin-Ransomware: 29 bestätigte Angriffe in Deutschland, nun mit Moonstone-Sleet-Verbindung

datensicherheit.de
MediumGestern

BSI startet aktive NIS2-Durchsetzung – 18.500 Firmen haben Registrierungsfrist verpasst

BSI
HighFr, 01.05.

KI-gestützte Phishing-Plattformen: 8,3 Mrd. Phishing-Mails allein in Q1 2026 (Microsoft)

Microsoft Security
MediumSo, 27.04.

OpenVPN: Mehrere Schwachstellen gemeldet – BSI Sicherheitshinweis vom 27. April 2026

BSI
MediumDo, 24.04.

DORA: BaFin-Prüfungen laufen – ICT-Risikomanagement und Drittanbieter-Register im Fokus

BaFin

Unlock advanced analytics

Sector heatmap, trend charts and DACH threat feed – verify once, permanent access.

Woodlands Assessment

Monthly Founder Statement

FH
Mai 2026

Warum drei parallele Zero-Days zeigen, dass Patch-Management keine IT-Frage ist.

Diese Woche kommen drei kritische Schwachstellen gleichzeitig auf den Tisch: cPanel, Windows IKE, Linux-Kernel. Jede einzelne reicht aus, um vollständige Kontrolle über Server zu erlangen. Und jedes Mal, wenn ich solche Lagen beobachte, führe ich dieselben Gespräche mit Entscheidern: "Unsere IT macht das schon." Ich sage dann: Vielleicht. Aber kann Ihre IT in 24 Stunden patchen – wenn Genehmigungswege, Change-Freeze und Wartungsfenster das strukturell verhindern?

Das eigentliche Problem ist nicht die Häufung von Schwachstellen. Das ist die Realität des Betriebs komplexer Software – und wird nicht besser werden. Das Problem ist, dass Patch-Management in vielen Organisationen als operativer IT-Prozess mit niedriger Eskalationsstufe behandelt wird. Wenn CISA eine Remediation-Frist von 14 Tagen setzt und das BSI eine Warnstufe Hoch vergibt, ist das keine IT-Meldung mehr. Das ist eine Geschäftsentscheidung, weil der ungesicherte Weiterbetrieb mit bekanntem Exploit eine bewusste Risikoakzeptanz durch die Geschäftsführung darstellt – ob die Geschäftsführung das weiß oder nicht.

Meine Empfehlung für Mai: Prüfen Sie nicht, ob Ihre IT Patches einspielen kann. Prüfen Sie, ob Ihre Organisation überhaupt in der Lage ist, auf eine Kritisch-Warnung innerhalb von 24 Stunden zu reagieren – inklusive Genehmigungsprozess, Kommunikation und Dokumentation. Wenn nicht, ist das die eigentliche Schwachstelle. Und die lässt sich nicht mit einem Kernel-Update beheben.

Fabian Hausner · Founder & CEO, Woodlands AdvisoryStrategiegespräch vereinbaren →
April 2026

Warum die makroökonomische Volatilität Cybersecurity-Budgets zerstört – und was Entscheider jetzt tun müssen.

Die geopolitische Unsicherheit des ersten Quartals 2026 hat eine paradoxe Situation erzeugt: Unternehmen, die angesichts wirtschaftlicher Unsicherheit Budgets kürzen, tun das häufig zuerst bei Sicherheitsausgaben – während genau diese Unsicherheit die Angriffsfläche dramatisch vergrößert. Staatlich gesteuerte Akteure nutzen wirtschaftliche Instabilität gezielt aus, weil sie wissen, dass Unternehmen in Konsolidierungsphasen organisatorisch und technisch verwundbarer werden.

Hinzu kommt ein strukturelles Problem: In einem Umfeld steigender Finanzierungskosten und rückläufiger Bewertungsmultiplikatoren gerät IT-Security in Budgetverhandlungen systematisch unter Druck. Die klassische Argumentation – „wir investieren in Security, weil wir es müssen" – verfängt in Board-Diskussionen über Kostensenkung immer weniger. Was verfängt: die Sprache der Werterhaltung. Ein nicht behobenes Sicherheitsrisiko ist kein IT-Problem. Es ist ein Abwertungsrisiko für das Unternehmen – und das ist genau die Sprache, die PE-Investoren und Kreditgeber sprechen.

Meine Empfehlung für April: Wenn Sie in einem Budget-Review-Gespräch sitzen und Security-Ausgaben verteidigen müssen – rahmen Sie die Frage nicht als Kostendebatte, sondern als Bewertungsfrage. Ein ungesichertes Unternehmen wird bei der nächsten Due Diligence abgewertet. Das ist keine Theorie – das ist der Markt, der seit 2024 Sicherheitsreife systematisch bepreist.

März 2026

Warum NIS2 kein IT-Thema ist – und warum das entscheidend ist.

In den letzten Wochen führe ich auffällig viele Gespräche mit Geschäftsführern, die dasselbe sagen: „Das macht meine IT." Wenn es um NIS2 geht. Wenn es um Lieferkettensicherheit geht. Wenn es um Incident Response geht. Und jedes Mal denke ich: Das ist das eigentliche Risiko.

NIS2 ist kein Technik-Gesetz. Es ist ein Governance-Gesetz. Es regelt, wer persönlich haftet, wenn ein Unternehmen seiner Sorgfaltspflicht nicht nachkommt – und das ist nicht der IT-Leiter. Die erste Welle der BSI-Bußgeldverfahren, die wir gerade sehen, richtet sich gezielt gegen Unternehmen, bei denen die Geschäftsführung nachweislich keine Kenntnis von den eigenen Sicherheitsprozessen hatte. Das ist keine Fahrlässigkeit. Das ist Gleichgültigkeit vor dem Gesetz.

Meine Empfehlung für den März: Setzen Sie sich mit Ihrer IT zusammen und beantworten Sie drei Fragen schriftlich: (1) Was würde in unserem Unternehmen passieren, wenn wir morgen einen Ransomware-Angriff erleben? (2) Wer ist verantwortlich, das BSI zu informieren, und in welchem Zeitfenster? (3) Können wir das belegen? Wenn Sie auf eine dieser Fragen keine klare Antwort haben – sprechen Sie mit uns.

Self-Assessment

How exposed is your company?

RISK
Question 1 of 5

In which sector does your company operate?

Woodlands Advisory

What do these figures mean for your company?

We translate the threat landscape into concrete action recommendations for your specific situation.

Schedule Consultation →Read Insights

The data presented here is based on public sources (BSI, ENISA, BaFin, CISA) and proprietary analysis. It does not constitute legal or compliance advice.