
Die Vorfälle dieser Woche haben einen gemeinsamen Nenner: Zugangsdaten, die vor Wochen oder Monaten gestohlen wurden, öffnen noch immer Türen. Das Patchen der Schwachstelle, die den Diebstahl ermöglichte, macht bereits gestohlene Daten nicht ungültig. Drei Fälle dieser Woche verdeutlichen dies auf unterschiedliche Weise:
- FortiBleed bestätigte, dass über 15.000 verifizierte Fortinet-Admin- und VPN-Zugangsdaten (aus Firewall-Konfigurationsdateien in über 100 Ländern gesammelt) bereits im Umlauf sind. Die Botschaft von CISA war eindeutig: Nach einer Kompromittierung ist die Rotation von Zugangsdaten nicht optional, und Software-Updates allein schließen das Zeitfenster nicht.
- Operation Endgame störte die Infrastruktur hinter Amadey und StealC, zwei der aktivsten Infostealer-Familien. Europol stellte rund 27 Millionen gestohlene Zugangsdaten sicher und beschlagnahmte Hunderte von Servern. Die Infrastruktur ist abgeschaltet; die bereits im Umlauf befindlichen Zugangsdaten sind es nicht.
- Frankreichs FICOBA-Breach erforderte überhaupt keinen Exploit. Ein Angreifer nutzte einen einzigen kompromittierten Beamten-Account, um über zwei Wochen 3,5 Millionen Bankdatensätze zu durchsuchen: keine Software-Schwachstelle, nur ein nicht überwachtes Zugangsdatum, das aktiv blieb.
Die Woche brachte außerdem einen Supply-Chain-Breach bei LastPass über eine Drittanbieter-SaaS-Plattform, einen aktiv ausgenutzten Cisco-SD-WAN-Zero-Day, der Angreifern über zwei Monate Root-Zugriff und versteckte Admin-Konten ermöglichte, sowie eine mutmaßliche 200-GB-Exfiltration vom Europarat, die von ShinyHunters beansprucht wird.
Auf Branchenseite sammelte das tschechische Unternehmen Wultra 3,5 Mio. € für Post-Quantum-Authentifizierung, und WALLIX kooperierte mit Inria, um das wachsende Problem der Maschinenidentitäten anzugehen: API-Schlüssel, Token und Servicekonten, die die meisten Organisationen noch immer nicht vollständig inventarisieren können.
Dieser Digest behandelt 8 bedeutende Ereignisse vom 22. bis 29. Juni 2026.
FortiBleed: Über 15.000 Fortinet-Admin-Zugangsdaten in über 100 Ländern gestohlen, CISA fordert sofortige Rotation
Sicherheitsforscher deckten eine groß angelegte Credential-Harvesting-Kampagne namens FortiBleed auf, die mehr als 15.000 verifizierte Administrator- und SSL-VPN-Zugangsdaten für Fortinet-FortiGate-Firewalls in über 100 Ländern offenlegte. Die Zugangsdaten, die über mehrere Jahre durch kompromittierte Firewall-Konfigurationsdateien gesammelt wurden, wurden mit Organisationen wie Siemens, DHL und einem türkischen Rüstungsunternehmen in Verbindung gebracht.
Warum es wichtig ist: FortiBleed verdeutlicht eine kritische Unterscheidung: Das Patchen einer Schwachstelle beseitigt nicht das Risiko, sobald Zugangsdaten bereits gestohlen wurden. Nach der Offenlegung forderte CISA Organisationen auf, sofort zu handeln:
- Sitzungen beenden und Zugangsdaten zurücksetzen. Alle aktiven SSL-VPN- und Admin-Sitzungen beenden. Alle Fortinet-VPN- und Admin-Passwörter zurücksetzen, insbesondere auf internetexponierten Systemen.
- Sichere Speicherung von Zugangsdaten gewährleisten. Die Verwendung von PBKDF2 zur Speicherung von Administrator-Zugangsdaten bestätigen und schwächere Legacy-Hashes gemäß Fortinets Anleitung entfernen.
- Logs überprüfen. Firewall-, VPN-, Authentifizierungs- und Domain-Controller-Logs auf laterale Bewegungen, verdächtige Konten oder nicht autorisierte Konfigurationsänderungen prüfen.
- Phishing-resistente MFA aktivieren. Phishing-resistente MFA für alle Remote-Zugriffs- und Admin-Konten erforderlich machen, einschließlich aller externen Gateways und administrativen Schnittstellen.
- Angriffsfläche reduzieren und Verwaltungszugriff sperren. Die Firewall-Administration vom öffentlichen Internet fernhalten, Verwaltungsschnittstellen auf vertrauenswürdige interne Netzwerke beschränken und unnötige Konten deaktivieren.
Quellen: Dark Reading – 23. Juni 2026
LastPass-Kundensupport-Daten durch Klue-Supply-Chain-Breach gestohlen
LastPass informierte Benutzer, dass Kundensupport- und Vertriebsdaten gestohlen wurden, nachdem Angreifer Klue, eine Drittanbieter-Marktforschungsplattform, kompromittiert hatten. Die Erpressergruppe Icarus missbrauchte Berichten zufolge OAuth-Token, um auf Salesforce-Daten von rund 20 Cybersicherheitsunternehmen zuzugreifen, darunter LastPass, HackerOne und Recorded Future. LastPass erklärte, dass Passwort-Tresore nicht betroffen waren, aber die gestohlenen Daten enthielten Kundennamen, Telefonnummern, E-Mail- und physische Adressen, Support-Fall-Details und Vertriebsunterlagen.
Warum es wichtig ist: Der Vorfall zeigt, wie SaaS-Integrationen sensible Kundendaten offenlegen können, selbst wenn Kernsysteme sicher bleiben. Für Unternehmen unterstreicht der Vorfall die Notwendigkeit, den SaaS-Zugriff von Drittanbietern zu bewerten, OAuth-Berechtigungen einzuschränken, Integrationsaktivitäten zu überwachen und Lieferanten-Governance als Teil der Identitätssicherheit zu behandeln. Im Rahmen von Regelwerken wie NIS2 werden Lieferantenrisiko und Zugangskontrolle zu Sicherheitsthemen auf Vorstandsebene.
Quellen: TechCrunch – 23. Juni 2026
Operation Endgame: Europol beschlagnahmt Hunderte von Servern, stellt 27 Millionen gestohlene Zugangsdaten aus Amadey- und StealC-Netzwerken sicher
Eine internationale Strafverfolgungsoperation unter Führung von Europol störte die Infrastruktur hinter den Malware-Familien Amadey und StealC, zwei der aktivsten Credential-Stealing-Plattformen. Die Behörden beschlagnahmten Hunderte von Servern und Domains, froren Kryptowährungen der Betreiber ein und stellten rund 27 Millionen gestohlene Zugangsdaten sicher. An der Operation waren mehrere europäische Länder beteiligt, darunter Deutschland, Frankreich, die Niederlande und Großbritannien. Microsoft schätzte, dass diese Malware-Familien während der jüngsten Kampagnen weltweit Hunderttausende von Geräten infizierten.
Warum es wichtig ist: Dies ist eine der größten Störungen des Infostealer-Ökosystems in jüngster Zeit. Organisationen sollten jedoch nicht davon ausgehen, dass das Risiko verschwunden ist. Millionen von gestohlenen Passwörtern und Sitzungstoken sind bereits auf kriminellen Märkten im Umlauf und werden weiterhin Account-Takeover-Angriffe befeuern.
Quelle: The Hacker News / Europol – 24. Juni 2026
Cisco-SD-WAN-Zero-Day über 2+ Monate ausgenutzt: Angreifer erlangten Root-Zugriff und erstellten versteckte Admin-Konten
Cisco gab bekannt, dass Angreifer eine Zero-Day-Schwachstelle im Catalyst SD-WAN Manager mindestens zwei Monate vor der Offenlegung ausgenutzt hatten. Laut Mandiant erlangten die Angreifer Root-Privilegien, modifizierten Administrator-Zugangsdaten, erstellten versteckte privilegierte Konten und entfernten forensische Beweise, um langfristige Persistenz zu gewährleisten. Cisco veröffentlichte auch Informationen über eine verwandte Authentication-Bypass-Schwachstelle, die dieselbe Plattform betrifft.
Warum es wichtig ist: Viele Organisationen behandeln Netzwerkgeräte als vertrauenswürdige Infrastruktur, doch diese Geräte halten oft hoch privilegierte Zugangsdaten. Einmal kompromittiert, bieten sie Angreifern persistenten administrativen Zugriff über das gesamte Netzwerk. Patching sollte mit kontinuierlicher Überwachung privilegierter Identitäten kombiniert werden.
Quelle: The Hacker News / Google Mandiant – 25. Juni 2026
Kompromittierte Regierungszugangsdaten legen 3,5 Millionen Bankkonten bei französischem FICOBA-Registerbreach offen
Französische Behörden gaben bekannt, dass Angreifer kompromittierte Regierungszugangsdaten nutzten, um auf FICOBA, das nationale Bankkontoverzeichnis des Landes, zuzugreifen. Über einen Zeitraum von etwa zwei Wochen sahen Angreifer Informationen ein, die mit rund 3,5 Millionen Bankkonten verknüpft waren, darunter Namen, Adressen und IBAN-Nummern. Die Behörden berichteten, dass der Angreifer ein bestehendes Beamtenkonto missbrauchte, anstatt eine Software-Schwachstelle auszunutzen.
Warum es wichtig ist: Der Vorfall verdeutlicht, dass kompromittierte Zugangsdaten selbst in Regierungssystemen eine große Bedrohung bleiben. Starke Identitätskontrollen sind genauso wichtig wie Infrastruktursicherheit. Da die NIS2-Durchsetzung in Europa ausgeweitet wird, zeigen Vorfälle wie dieser, warum Identitätssicherheit zu einem Compliance-Thema auf Vorstandsebene wird.
Quelle: Shattered.io – 23. Juni 2026
ShinyHunters beansprucht 200 GB Diebstahl aus HR- und Gehaltsabrechnungssystemen des Europarats
Die Gruppe ShinyHunters übernahm die Verantwortung für den Einbruch in interne Systeme des Europarats und den Diebstahl von mehr als 200 GB an HR- und Gehaltsabrechnungsinformationen. Die Organisation bestätigte einen Cybersicherheitsvorfall, schränkte den Zugriff auf betroffene Systeme ein und leitete eine forensische Untersuchung ein. Zum Zeitpunkt der Veröffentlichung war das volle Ausmaß der Kompromittierung noch nicht bestätigt.
Warum es wichtig ist: Obwohl die Zuschreibung noch untersucht wird, folgt der Vorfall einem wachsenden Muster von Angriffen auf öffentliche Institutionen unter Verwendung gestohlener Zugangsdaten oder Phishing. Europäische Organisationen sollten erwarten, dass Angreifer weiterhin Identitätssysteme und nicht nur die Infrastruktur angreifen. Starke Zugangskontrollen und schnelle Incident Response bleiben sowohl für den öffentlichen als auch für den privaten Sektor unerlässlich.
Quelle: CyPro – 26. Juni 2026
Tschechisches Unternehmen Wultra sammelt 3,5 Mio. € für Post-Quantum-, Phishing-resistente Authentifizierung für europäische Banken
Das tschechische Cybersicherheitsunternehmen Wultra kündigte eine 3,5 Millionen Euro Series-A-Finanzierungsrunde an, um seine Authentifizierungsplattform in Europa zu erweitern. Das Unternehmen entwickelt Phishing-resistente Authentifizierungstechnologien für Banken, Finanzdienstleister und Anbieter digitaler Identität. Die Investition wird die Einführung von Post-Quantum-Kryptographie und Authentifizierungsmethoden unterstützen, die kommende europäische Vorschriften erfüllen sollen, darunter PSD3, PSR und eIDAS 2.0.
Warum es wichtig ist: Europäische Organisationen bereiten sich nicht nur auf heutige Identitätsbedrohungen vor, sondern auch auf zukünftige kryptographische Risiken. Da Regulierungsbehörden zunehmend stärkere Standards für digitale Identität fördern, verschieben sich Investitionen in Richtung Phishing-resistenter und Post-Quantum-Authentifizierung. Die Finanzierung spiegelt die wachsende Nachfrage nach Authentifizierungstechnologien wider, die langfristige Compliance unterstützen und gleichzeitig die Abhängigkeit von Passwörtern und Legacy-MFA-Methoden reduzieren können.
Quelle: The Recursive – 29. Juni 2026
WALLIX und Inria kooperieren zur Sicherung von Maschinenidentitäten
Der europäische IAM/PAM-Anbieter WALLIX und das französische Forschungsinstitut Inria haben eine Partnerschaft zur Entwicklung vertrauenswürdiger KI-Lösungen zur Sicherung von Maschinenidentitäten angekündigt. Die Zusammenarbeit zielt darauf ab, die strukturellen Risiken anzugehen, die durch das schnelle Wachstum von nicht-menschlichen Identitäten entstehen, einschließlich API-Schlüssel, Servicekonten, Token und Zertifikate, die in automatisierten Workflows und CI/CD-Pipelines verwendet werden.
Warum es wichtig ist: Maschinenidentitäten übersteigen bereits die Zahl menschlicher Identitäten in den meisten Unternehmensumgebungen, und ihre Anzahl wächst mit jedem neuen Microservice und jeder Deployment-Pipeline weiter. Dennoch fehlt vielen Organisationen noch immer eine zentrale Kontrolle über diese Zugangsdaten, die über Konfigurationsdateien, Umgebungsvariablen und Source-Code-Repositories verstreut bleiben. Die wachsende Aufmerksamkeit großer europäischer Cybersicherheitsakteure bestätigt, dass das Management von Maschinenidentitäten zu einer der Top-Prioritäten für die Unternehmenssicherheit wird.
Quelle: Industrial Cyber – 26. Juni 2026
Zusammenfassung dieser Woche
Drei Dinge fallen als konsistente Lücken bei den Vorfällen dieser Woche auf:
- Credential Rotation wird als Post-Breach-Aufgabe behandelt, nicht als Routine. In allen drei Fällen hätte die Rotation von Zugangsdaten vor oder unmittelbar nach der initialen Kompromittierung den Schaden begrenzt.
- Der SaaS-Zugriff von Drittanbietern ist weitgehend ungeprüft. Der LastPass-Breach erfolgte über eine Marktforschungsplattform mit OAuth-Zugriff auf Salesforce. Die meisten Sicherheitsteams könnten nicht auf Anhieb jede OAuth-Integration in ihrer Umgebung auflisten.
- Maschinenidentitäten bleiben die am wenigsten kontrollierte Zugangsdatenklasse. Die WALLIX/Inria-Ankündigung und der Cisco-Fall weisen auf dieselbe Lücke hin: API-Schlüssel, Servicekonten und Token in Pipelines, die niemand aktiv überwacht.
Die guten Nachrichten von Operation Endgame sind real: Die Abschaltung der Amadey- und StealC-Infrastruktur ist bedeutsam. Aber Millionen von zuvor gestohlenen Zugangsdaten sind für Angreifer noch immer verfügbar.
Effektives Zugriffsmanagement begrenzt den Wert gestohlener Zugangsdaten, selbst nachdem der ursprüngliche Angriff vorbei ist. Passwork vereint Passwort- und Secrets-Management in einer einzigen Plattform — mit einer REST API, Python SDK und CLI für Teams, die eine zentrale Kontrolle über Maschinen-Zugangsdaten ohne den Overhead traditioneller PAM-Lösungen benötigen. Kontrollieren Sie Ihre Zugangsdaten, bevor Angreifer es tun.



Inhaltsverzeichnis
- FortiBleed: Über 15.000 Fortinet-Admin-Zugangsdaten in über 100 Ländern gestohlen, CISA fordert sofortige Rotation
- LastPass-Kundensupport-Daten durch Klue-Supply-Chain-Breach gestohlen
- Operation Endgame: Europol beschlagnahmt Hunderte von Servern, stellt 27 Millionen gestohlene Zugangsdaten aus Amadey- und StealC-Netzwerken sicher
- Cisco-SD-WAN-Zero-Day über 2+ Monate ausgenutzt: Angreifer erlangten Root-Zugriff und erstellten versteckte Admin-Konten
- Kompromittierte Regierungszugangsdaten legen 3,5 Millionen Bankkonten bei französischem FICOBA-Registerbreach offen
- ShinyHunters beansprucht 200 GB Diebstahl aus HR- und Gehaltsabrechnungssystemen des Europarats
- Tschechisches Unternehmen Wultra sammelt 3,5 Mio. € für Post-Quantum-, Phishing-resistente Authentifizierung für europäische Banken
- WALLIX und Inria kooperieren zur Sicherung von Maschinenidentitäten
- Zusammenfassung dieser Woche
Inhaltsverzeichnis
- FortiBleed: Über 15.000 Fortinet-Admin-Zugangsdaten in über 100 Ländern gestohlen, CISA fordert sofortige Rotation
- LastPass-Kundensupport-Daten durch Klue-Supply-Chain-Breach gestohlen
- Operation Endgame: Europol beschlagnahmt Hunderte von Servern, stellt 27 Millionen gestohlene Zugangsdaten aus Amadey- und StealC-Netzwerken sicher
- Cisco-SD-WAN-Zero-Day über 2+ Monate ausgenutzt: Angreifer erlangten Root-Zugriff und erstellten versteckte Admin-Konten
- Kompromittierte Regierungszugangsdaten legen 3,5 Millionen Bankkonten bei französischem FICOBA-Registerbreach offen
- ShinyHunters beansprucht 200 GB Diebstahl aus HR- und Gehaltsabrechnungssystemen des Europarats
- Tschechisches Unternehmen Wultra sammelt 3,5 Mio. € für Post-Quantum-, Phishing-resistente Authentifizierung für europäische Banken
- WALLIX und Inria kooperieren zur Sicherung von Maschinenidentitäten
- Zusammenfassung dieser Woche
Self-hosted-Passwort-Manager für Ihr Unternehmen
Passwork bietet den Vorteil einer effektiven Teamarbeit mit Unternehmenspasswörtern in einer vollständig sicheren Umgebung
Mehr erfahren


