Sehr geehrte Leserinnen und Leser,
im heutigen täglichen IT-Security-Lagebericht für den 20. Februar 2026 werfen wir einen Blick auf die kritischsten Schwachstellen, die aktuelle Bedrohungslage und wichtige Entwicklungen im Bereich Datenschutz. Mehrere hochkritische CVEs erfordern Ihre umgehende Aufmerksamkeit, insbesondere in Bezug auf Acronis Cyber Protect und den KI-Assistenten OpenClaw. Zudem sehen wir eine weiterhin aggressive Ausnutzung bekannter Schwachstellen und neue Datenlecks bei etablierten Diensten.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet eine Auswahl der kritischsten und aktuell relevantesten Schwachstellen auf, die in den letzten Tagen bekannt wurden oder besondere Beachtung verdienen:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2025-30411 (Acronis Cyber Protect) | Sensitive Datenoffenlegung und -manipulation aufgrund unsachgemäßer Authentifizierung in Acronis Cyber Protect 15 und 16. |
| CRITICAL (10.0) | CVE-2025-30412 (Acronis Cyber Protect) | Sensitive Datenoffenlegung und -manipulation aufgrund unsachgemäßer Authentifizierung in Acronis Cyber Protect 15 und 16. |
| CRITICAL (10.0) | CVE-2025-30416 (Acronis Cyber Protect) | Sensitive Datenoffenlegung und -manipulation aufgrund fehlender Autorisierung in Acronis Cyber Protect 15 und 16. |
| CRITICAL (10.0) | CVE-2021-35402 (PROLiNK PRC2402M) | OS Command Injection über Shell-Metazeichen in PROLiNK PRC2402M Routern. |
| CRITICAL (9.8) | CVE-2026-27002 (OpenClaw AI Assistant) | Konfigurationsinjektion in der Docker-Sandbox von OpenClaw AI Assistant ermöglicht Container-Escape oder Host-Datenzugriff. |
| CRITICAL (9.8) | CVE-2025-30410 (Acronis Cyber Protect Cloud Agent) | Sensitive Datenoffenlegung und -manipulation aufgrund fehlender Authentifizierung in Acronis Cyber Protect Cloud Agent und Cyber Protect 15/16. |
| CRITICAL (9.8) | CVE-2025-10970 (Kolay Software Talentics) | Blind SQL-Injection-Schwachstelle in Kolay Software Inc. Talentics. |
| CRITICAL (9.8) | CVE-2026-25715 (Generisches Webmanagement) | Deaktivierung der Authentifizierung über Web-Management-Interface und Telnet durch leere Anmeldeinformationen. |
| CRITICAL (9.8) | CVE-2019-25441 (thesystem 1.0) | Command Injection in „thesystem 1.0“ ermöglicht unauthentifizierten Angreifern die Ausführung beliebiger Systembefehle. |
| CRITICAL (9.8) | CVE-2026-2635 (MLflow) | Authentifizierungs-Bypass in MLflow aufgrund hartkodierter Standardanmeldeinformationen. |
| CRITICAL (9.4) | CVE-2026-26980 (Ghost CMS) | Unauthentifizierte Datenbank-Lesezugriffe in Ghost CMS Versionen 3.24.0 bis 6.19.0. |
| CRITICAL (9.3) | CVE-2026-25896 (fast-xml-parser) | XSS-Schwachstelle durch DOCTYPE-Entitäten-Shadowing in fast-xml-parser. |
| CRITICAL (9.1) | CVE-2026-26988 (LibreNMS) | SQL-Injection in LibreNMS über den ajax_table.php Endpunkt bei IPv6-Suchen. |
| HIGH (8.8) | CVE-2026-26975 (Music Assistant) | Remote Code Execution in Music Assistant durch Umgehung der Dateierweiterungsprüfung und Schreiben von Dateien auf dem Dateisystem. |
| HIGH (8.8) | CVE-2026-26064 (calibre) | Path Traversal in calibre ermöglicht beliebige Dateischreibvorgänge, potenziell Remote Code Execution unter Windows. |
2. Bedrohungsanalysen und Angriffskampagnen
Die Bedrohungslage bleibt dynamisch, mit mehreren kritischen Entwicklungen:
-
Aggressive Ausnutzung der Ivanti EPMM-Lücke
Das BSI warnt weiterhin eindringlich vor der verbreiteten und aggressiven Ausnutzung einer kritischen Schwachstelle in Ivanti EPMM (früher MobileIron Core). Angreifer nutzen diese Lücke aktiv, um in Systeme einzudringen. Organisationen, die Ivanti EPMM einsetzen, müssen dringend die entsprechenden Patches und mitigierenden Maßnahmen prüfen und anwenden, da die Ausnutzung dieser Lücke zu schwerwiegenden Kompromittierungen führen kann.
-
BeyondTrust RCE wird in Ransomware-Angriffen missbraucht
Die CISA hat bestätigt, dass eine Remote Code Execution (RCE)-Schwachstelle in BeyondTrust-Produkten aktiv in Ransomware-Angriffen ausgenutzt wird. Dies unterstreicht die Dringlichkeit, Sicherheitsupdates für solche privilegierten Zugriffsmanagement-Systeme unverzüglich einzuspielen, um das Risiko einer Kompromittierung des gesamten Netzwerks zu minimieren.
-
Ransomware-Angriff auf japanischen Tech-Riesen Advantest
Der japanische Tech-Riese Advantest wurde Ziel eines Ransomware-Angriffs. Dieser Vorfall reiht sich ein in eine Serie von Angriffen auf Unternehmen der Technologiebranche und verdeutlicht die anhaltende Bedrohung durch Ransomware-Gruppen. Solche Angriffe können zu Betriebsunterbrechungen, erheblichen finanziellen Verlusten und dem Diebstahl sensibler Daten führen.
-
KI-Tools als potenzielles Einfallstor
Die zunehmende Verbreitung von KI-Tools birgt neue Risiken. Nvidia-KI-Tools wie Megatron Bridge und NeMo Framework werden als potenzielle Einfallstore für Angreifer diskutiert. Dies erfordert eine erhöhte Aufmerksamkeit bei der Integration und Konfiguration von KI-Systemen in Unternehmensnetzwerken, um Sicherheitslücken präventiv zu adressieren.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz gab es zwei signifikante Vorfälle, die die Notwendigkeit robuster Sicherheitsmaßnahmen unterstreichen:
-
Datenleck bei französischem Bankenregister
Ein Datenleck beim französischen Bankenregister hat rund 1,2 Millionen Konten betroffen. Solche Vorfälle unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen bei der Speicherung hochsensibler Finanzdaten und die Bedeutung einer schnellen und transparenten Kommunikation bei Datenpannen. Betroffene sollten umgehend informiert und zu Schutzmaßnahmen angehalten werden.
-
PayPal legt Datenleck offen
PayPal hat ein Datenleck offengelegt, das Benutzerinformationen über einen Zeitraum von sechs Monaten offengelegt hat. Dies ist ein weiteres Beispiel dafür, wie selbst große und etablierte Unternehmen von Datenpannen betroffen sein können. Nutzer sollten auf ungewöhnliche Aktivitäten achten und gegebenenfalls Passwörter ändern und Multi-Faktor-Authentifizierung (MFA) aktivieren, wo immer möglich.
4. Handlungsempfehlungen
Auf Basis der aktuellen Lage und der identifizierten Schwachstellen empfehlen wir folgende Maßnahmen zur Stärkung Ihrer IT-Sicherheit:
- Umgehende Patch-Implementierung:
- Priorisieren Sie das Einspielen von Updates für Acronis Cyber Protect (15, 16, Cloud Agent), um die kritischen Authentifizierungs- und Autorisierungsschwachstellen (CVE-2025-30410, CVE-2025-30411, CVE-2025-30412, CVE-2025-30416) zu schließen.
- Patchen Sie OpenClaw AI Assistant auf Version 2026.2.15 oder höher, um Konfigurationsinjektionen in der Docker-Sandbox zu verhindern (CVE-2026-27002). Überprüfen Sie als Workaround kritische Docker-Sandbox-Einstellungen (Bind-Mounts, Host-Networking, unconfined Profiles).
- Sorgen Sie für Updates für MLflow, um die Authentifizierungs-Bypass-Schwachstelle durch Standard-Passwörter (CVE-2026-2635) zu beheben.
- Aktualisieren Sie Ghost CMS auf Version 6.19.1 und LibreNMS auf Version 26.2.0, um kritische Schwachstellen zu beheben (CVE-2026-26980, CVE-2026-26988).
- Führen Sie Sicherheitsupdates für Dell PowerProtect Data Manager, Atlassian Bamboo/Confluence und Notepad++ durch, wie in den Nachrichten erwähnt.
- Patchen Sie Ivanti EPMM und BeyondTrust-Produkte umgehend, da diese aktiv in Angriffen ausgenutzt werden.
- Für PROLiNK PRC2402M, Kolay Software Talentics, „thesystem 1.0“, fast-xml-parser, Music Assistant und calibre prüfen Sie die Verfügbarkeit von Patches und wenden Sie diese an oder implementieren Sie die empfohlenen Workarounds.
- Überprüfung der Authentifizierungskonfiguration: Stellen Sie sicher, dass keine Systeme leere oder Standard-Anmeldeinformationen akzeptieren (insbesondere angesichts CVE-2026-25715 und CVE-2026-2635). Erzwingen Sie starke, komplexe Passwörter und Multi-Faktor-Authentifizierung (MFA) überall dort, wo dies möglich und sinnvoll ist.
- Netzwerksegmentierung und Least Privilege: Implementieren Sie eine strikte Netzwerksegmentierung, um die Ausbreitung von Ransomware-Angriffen (wie bei Advantest gesehen) zu begrenzen. Wenden Sie das Prinzip der geringsten Rechte (Least Privilege) auf alle Benutzer und Systeme an.
- Sicherheitsbewusstsein und Monitoring: Schulen Sie Ihre Mitarbeiter regelmäßig zum Erkennen von Phishing-Angriffen und verdächtigen E-Mails. Implementieren Sie robustes Monitoring und SIEM-Lösungen, um ungewöhnliche Aktivitäten und potenzielle Kompromittierungen frühzeitig zu erkennen und zu reagieren.
- Sichere Konfiguration von KI-Systemen: Bei der Implementierung von KI-Tools wie Nvidia Megatron Bridge oder NeMo Framework, achten Sie auf eine sichere Konfiguration, insbesondere im Hinblick auf Sandbox-Umgebungen, Netzwerkzugriffe und die Integrität der Trainingsdaten.
- Notfallplanung bei Datenlecks: Überprüfen und aktualisieren Sie Ihre Notfallpläne für den Umgang mit Datenlecks, einschließlich der Kommunikationsstrategie und der Maßnahmen zur Schadensbegrenzung, wie im Falle von PayPal und dem französischen Bankenregister.
Fazit
Der heutige Lagebericht zeigt, dass die Bedrohung durch gezielte Angriffe auf bekannte Schwachstellen und Ransomware weiterhin hoch ist. Die Vielzahl kritischer CVEs, insbesondere in weit verbreiteten Produkten wie Acronis, unterstreicht die Notwendigkeit eines proaktiven Patch-Managements. Gleichzeitig fordern Datenlecks bei großen Dienstleistern erhöhte Wachsamkeit bei der Sicherung von sensiblen Informationen und der Sensibilisierung der Nutzer. Eine kontinuierliche Überwachung, schnelle Reaktion und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um die Integrität und Vertraulichkeit Ihrer IT-Systeme zu gewährleisten.
