• Beratung anfragen
  • Newsletter
  • Deutsch Deutsch Deutsch de
  • English English Englisch en
  • Italiano Italiano Italienisch it
  • Nederlands Nederlands Niederländisch nl
Greenbone
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
    • IT-Schutz anfragen
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
    • Newsletter
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Deutsch
  • Englisch
  • Italienisch
  • Niederländisch
Joseph Lee

CVE-2026-48282: CVSS-10-Sicherheitslücke in Adobe ColdFusion wird aktiv ausgenutzt

Blog

CVE-2026-48282 (CVSS 10) ist eine kritische Path-Traversal-Sicherheitslücke [CWE-22] in Adobe ColdFusion. Laut dem Sicherheitsbulletin von Adobe [APSB26-68] betrifft das Problem ColdFusion 2025 Update 9 und frühere Versionen sowie ColdFusion 2023 Update 20 und frühere Versionen. Die Ausnutzung erfolgt netzwerkbasiert, was das Risiko für exponierte ColdFusion-Instanzen erhöht, und erfordert keine Authentifizierung. Ein erfolgreicher Angriff ermöglicht die Ausführung von beliebigem Remote-Code (RCE) im Kontext des aktuellen Benutzers.

KEVIntel hat Honeypot-Angriffe erfasst, die auf CVE-2026-48282 abzielen, was darauf hindeutet, dass möglicherweise bereits aktive Ausnutzung stattfindet, und CISA hat die Schwachstelle in ihre Liste der bekannt aktiv ausgenutzten Schwachstellen (KEV) aufgenommen. Watchtowr Labs hat einen öffentlichen Proof-of-Concept (PoC)-Exploit mit einer vollständigen technischen Ursachenanalyse veröffentlicht. Für CVE-2026-48282 wurden mehrere nationale CERT-Warnungen herausgegeben, was weltweit auf große Besorgnis hindeutet [1][2][3][4][5][6][7][8].

CVE-2026-48282-adobe-coldfusion-ausgenutzt

Insgesamt wurden in Adobes APSB26-68-Sicherheitshinweis 11 CVEs veröffentlicht, von denen sechs die höchstmögliche CVSS-Schweregradbewertung erhielten. Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs, die in Adobes APSB26-68-Sicherheitshinweis veröffentlicht wurden und Adobe ColdFusion betreffen. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED – ein bewährter Weg, um einen umfassenden Einblick zu gewinnen, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

Eine Risikobewertung von CVE-2026-48282 in Adobe ColdFusion

CVSS 10 · KritischWird aktiv ausgenutztIn CISA KEVÖffentlicher PoC

Adobe hat CVE-2026-48282 die höchste CVSS-Schweregradbewertung zugewiesen. Das größte Sicherheitsrisiko besteht darin, dass eine Path-Traversal-Schwachstelle [CWE-22] in einem nach außen gerichteten Anwendungsserver es einem Angreifer ermöglichen könnte, die vorgesehenen Verzeichnisgrenzen zu überschreiten und auf sensible Ressourcen zuzugreifen. Adobe berichtet, dass CVE-2026-48282 zu beliebiger RCE im Kontext des aktuellen Benutzers führen kann. Da für die Ausnutzung weder Berechtigungen noch eine Benutzerinteraktion erforderlich sind, sind extern erreichbare Instanzen am stärksten gefährdet.

Adobe ColdFusion ist ein Unternehmensanwendungsserver, der zum Erstellen, Bereitstellen und Skalieren datengesteuerter Webanwendungen, APIs, Intranetportale, Verwaltungssysteme und cloudverbundener Geschäftsanwendungen verwendet wird. Die Meldung über diese Sicherheitslücke sollte auch ohne weitere technische Details als betrieblich bedeutsam eingestuft werden.

Abhilfe für CVE-2026-48282 in Adobe ColdFusion

CVE-2026-48282 wird durch ein Update auf ColdFusion 2025 Update 10 oder ColdFusion 2023 Update 21 behoben. Adobe bietet keine alternativen Workarounds oder kompensierende Kontrollmaßnahmen an. Bei extern erreichbaren Instanzen sollte die Behebung Priorität haben. Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung, um von CVE-2026-48282 betroffene Adobe ColdFusion-Instanzen zu identifizieren.

Starten Sie Ihre kostenlose Testversion

Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs im APSB26-68-Hinweis von Adobe. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED, um einen umfassenden Einblick zu erhalten, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

Weitere CVEs aus dem Adobe-Sicherheitshinweis APSB26-68

Das Adobe-Sicherheitsbulletin [APSB26-68] behandelte insgesamt 11 CVEs. Sechs davon wurden mit dem höchsten CVSS-Kritikalitätswert eingestuft. Es liegen keine Berichte über aktive Ausnutzung der unten beschriebenen CVEs vor, und es sind keine detaillierten technischen Analysen oder PoCs verfügbar. Alle CVEs im Sicherheitsbulletin betreffen denselben Produktumfang. Daher deckt die oben beschriebene Abhilfemaßnahme alle Schwachstellen ab.

Die zehn zusätzlichen CVEs, die in Adobe APSB26-68 veröffentlicht wurden, jeweils mit ihrem CVSS-Schweregrad und CWE-Typ

CVE-2026-48276 CVSS 10 · Kritisch CWE-434

Eine Sicherheitslücke beim uneingeschränkten Hochladen von Dateien mit gefährlichem Typ ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48277 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48281 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle bei der Eingabevalidierung ermöglicht beliebige RCE im Kontext des aktuellen Benutzers.

CVE-2026-48316 CVSS 10 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48283 CVSS 10 · Kritisch CWE-434

Eine Schwachstelle beim uneingeschränkten Hochladen von Dateien mit gefährlichem Typ ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers.

CVE-2026-48313 CVSS 9.3 · Kritisch CWE-22

Eine Path-Traversal-Sicherheitslücke ermöglicht beliebigen Lesezugriff auf das Dateisystem sowie eingeschränkten Schreibzugriff. Ein Angreifer könnte auf sensible Dateien und Verzeichnisse außerhalb des vorgesehenen Zugriffsbereichs zugreifen.

CVE-2026-48315 CVSS 9.3 · Kritisch CWE-20

Eine Schwachstelle durch unsachgemäße Eingabevalidierung ermöglicht beliebige Remote-Code-Ausführung (RCE) im Kontext des aktuellen Benutzers. Ein Angreifer kann bösartige Skripte in eine Webseite einschleusen und so möglicherweise erweiterte Zugriffsrechte oder die Kontrolle über das Konto oder die Sitzung des Opfers erlangen. Für die Ausnutzung muss das Ziel eine schädliche Datei öffnen.

CVE-2026-48307 CVSS 8.8 · Hoch CWE-79

Eine reflektierte Cross-Site-Scripting-Schwachstelle (XSS) ermöglicht es einem Angreifer, bösartige Skripte in eine Webseite einzuschleusen, was möglicherweise zur Ausführung von beliebigem Code auf dem System der Opfer führt, die einen bösartigen Link öffnen.

CVE-2026-48285 CVSS 8.6 · Hoch CWE-918

Eine SSRF-Sicherheitslücke (Server-Side Request Forgery) ermöglicht es einem Angreifer, Sicherheitsmaßnahmen zu umgehen und sich unbefugten Lesezugriff zu verschaffen.

CVE-2026-48314 CVSS 6.5 · Mittel CWE-22

Eine Path-Traversal-Sicherheitslücke ermöglicht es einem Angreifer, eingeschränkten Lese- und Schreibzugriff auf nicht autorisierte Dateien oder Verzeichnisse außerhalb der vorgesehenen Beschränkungen zu erlangen.

Zusammenfassung

Das Sicherheitsbulletin von Adobe [APSB26-68] behandelte insgesamt 11 CVEs. Sechs davon erhielten die höchste CVSS-Kritikalitätsbewertung. Es wurden Ausnutzungen in freier Wildbahn für CVE-2026-48282 gemeldet, die potenziell beliebige RCE im aktuellen Benutzerkontext ermöglichen. Betroffen sind ColdFusion 2025 Update 9 und frühere Versionen sowie ColdFusion 2023 Update 20 und frühere Versionen. Adobe behebt diese Probleme mit den Versionen ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21.

Der OPENVAS ENTERPRISE FEED enthält einen remote_banner-Prüfung für CVE-2026-48282 und alle anderen CVEs, die in Adobes APSB26-68-Sicherheitshinweis veröffentlicht wurden und Adobe ColdFusion betreffen. Holen Sie sich eine Kopie von OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED – ein todsicherer Weg, um einen umfassenden Einblick zu erhalten, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

 

Kontakt Jetzt testen Hier kaufen Zurück zur Übersicht
13. Juli 2026/von Joseph Lee
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-07-13 14:55:042026-07-13 16:15:01CVE-2026-48282: CVSS-10-Sicherheitslücke in Adobe ColdFusion wird aktiv ausgenutzt
Joseph Lee

Threat Report Juni 2026: Technische Schulden erfordern Transparenz

Blog

Threat Report Juni 2026: Technische Schulden erfordern Transparenz

Welche tatsächlichen Auswirkungen eine KI mit Cybersicherheitsbewusstsein auf die globale Bedrohungslage haben wird, bleibt abzuwarten. Einigen Berichten zufolge steigt die Zahl der CVE-Einträge für Software großer Anbieter. Dieser Threat Report vom Juni 2026 kratzt nur an der Oberfläche der wichtigsten Cybersicherheitsbedrohungen dieses Monats. Der Monat brachte eine konzentrierte Welle aktiv ausgenutzter Unternehmensschwachstellen mit sich, wobei die CISA im Laufe des Monats mehrere neue Einträge in ihren Katalog „Known Exploited Vulnerabilities“ (KEV) aufnahm. Mindestens ein neuer kritischer Exploit für Perimeter-Netzwerke stand in Verbindung mit einer aktiven Ransomware-Gruppe.

Die Erkennungstiefe von Greenbone zu Sicherheitslücken geht weit über die großen, Schlagzeilen machenden IT-Sicherheitsereignisse hinaus, wie sie in diesem monatlichen Threat Report beschrieben werden, und hält mit der Flut von KI-gestützten Offenlegungen Schritt. Holen Sie sich eine Kopie des OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED — ein todsicherer Weg, um tiefgreifende Einblicke zu gewinnen, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.

Hier sind einige der wichtigsten aufkommenden Bedrohungen für die IT-Sicherheit von Unternehmen ab Juni 2026.

CVE-2026-20253: Nicht authentifizierte RCE in Splunk Enterprise wird aktiv ausgenutzt

CVSS 9,8 · KritischWird aktiv ausgenutztIn CISA KEVÖffentlicher PoC

CVE-2026-20253 (CVSS 9,8, EPSS ≥ 95. Perzentil) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebige Dateien in Splunk Enterprise 10.2 vor 10.2.4 und 10.0 vor 10.0.7 zu erstellen oder zu kürzen. Die Schwachstelle ist auf eine fehlende Authentifizierung [CWE-306] am Endpunkt eines PostgreSQL-Sidecar-Dienstes zurückzuführen. Splunk bestätigte eine begrenzte Ausnutzung in der Praxis, und CISA hat die Schwachstelle in die KEV aufgenommen. Eine vollständige technische Beschreibung mit PoC-Exploit-Code wurde von WatchTowr veröffentlicht und demonstriert nicht authentifizierte RCE. Shadowserver hat mehr als 1.400 im Internet exponierte Splunk-Instanzen erfasst.

CVE-2026-20253 wurde in Splunk Enterprise 10.2.4 und 10.0.7 behoben, und Kunden sollten umgehend ein Upgrade durchführen. Ist ein Patch nicht möglich, lässt sich die Ausnutzung der Schwachstelle verhindern, indem der PostgreSQL-Sidecar-Dienst deaktiviert wird. Die Deaktivierung des Dienstes kann jedoch zu Störungen bei den Datenpipelines von Edge Processor, OpAmp oder SPL2 führen. Der OPENVAS ENTERPRISE FEED enthält einen Remote-Analyse-Test sowie einen separaten Remote-Banner-Test zur Identifizierung betroffener Instanzen.

CVE-2026-28318: SolarWinds Serv-U bei DoS-Angriffen ausgenutzt

CVSS 7,5 · HochWird aktiv ausgenutztIn CISA KEVÖffentlicher PoC

CVE-2026-28318 (CVSS 7,5, EPSS ≥ 60. Perzentil) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, einen Denial-of-Service (DoS) im SolarWinds Serv-U Managed File Transfer und FTP-Server auszulösen. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen; es wurde jedoch keine Zuordnung zu einer bestimmten Kampagne vorgenommen. Eine technische Beschreibung wurde veröffentlicht. Die Ausnutzung erfolgt durch einfaches Einfügen des Content-Encoding: deflate-Anfrage-Headers und kann zum Absturz des Serv-U-Dienstes führen. Die Schwachstelle wird durch unkontrollierten Ressourcenverbrauch [CWE-400] bei der Verarbeitung speziell gestalteter HTTP-POST-Anfragen verursacht.

Es besteht ein erhebliches Risiko von Betriebsstörungen bei exponierten Dateiübertragungsservern, die in regulierten Branchen wie dem Gesundheitswesen, dem Finanzsektor und der öffentlichen Verwaltung eingesetzt werden. Die Anzahl der exponierten Serv-U-Instanzen wurde ursprünglich von Shodan mit mehr als 12.000 und von Shadowserver mit etwa 3.000 angegeben. Die Zahl der von Shodan erfassten Instanzen ist jedoch bis Ende Juni auf weniger als 10.000 gesunken.

SolarWinds rät seinen Kunden, Serv-U 15.5.4 Hotfix 1 umgehend zu installieren. Falls die Installation des Patches nicht sofort möglich ist, können Nutzer POST-Anfragen blockieren, die den Content-Encoding: deflate-Header enthalten, ohne dabei an Funktionalität einzubüßen. Der OPENVAS ENTERPRISE FEED umfasst einen Remote-Banner-Test zur Erkennung anfälliger Instanzen.

Living on the Edge: Neue Bedrohungen für die Perimetersicherheit

Sicherheitslücken in Geräten am Netzwerkperimeter stellen ein besonders hohes Risiko dar, da sie Angriffen durch beliebige Angreifer aus der Ferne ausgesetzt sind. Laut dem aktuellen Verizon DBIR 2026-Bericht ist die Ausnutzung öffentlich bekannter Software-Schwachstellen mittlerweile weltweit der häufigste Vektor für den Erstzugang. Hier sind einige der kritischsten neuen Bedrohungen für Perimeter-Geräte im Juni 2026 aufgeführt.

CVE-2026-50751: Check Point Security Gateway bei Ransomware-Angriffen ausgenutzt

CVSS 9,3 · KritischWird aktiv ausgenutztIn CISA KEVÖffentlicher PoCIm Zusammenhang mit Ransomware

CVE-2026-50751 (CVSS 9,3, EPSS ≥ 98. Perzentil) sowie CVE-2026-50752 (CVSS 7,4, EPSS ≥ 90. Perzentil) betreffen Check Point VPN Remote Access, Mobile Access, Security Gateways und Spark Firewalls. CVE-2026-50751 wird aktiv ausgenutzt, wobei mindestens ein Fall einer Kompromittierung nach dem Angriff mit einer Qilin-Ransomware-Gruppe in Verbindung gebracht wird. Die CISA hat CVE-2026-50751 in ihren KEV-Katalog aufgenommen. Die ersten Angriffe wurden am 7. Mai 2026 beobachtet. Weltweit waren mehrere Dutzend Organisationen betroffen. PoC-Exploit-Code und eine vollständige technische Beschreibungfür CVE-2026-50751 sind öffentlich zugänglich. CVE-2026-50752 wird nicht als aktiv ausgenutzt gemeldet.

Die CVEs werden im Folgenden beschrieben:

  • CVE-2026-50751 (CVSS 9,3, EPSS ≥ 98. Perzentil): Nicht authentifizierte Angreifer können über eine Schwachstelle im Logikablauf und bei der Zertifikatsvalidierung in IKEv1-Implementierungen einen VPN-Zugang herstellen.
  • CVE-2026-50752 (CVSS 7,4, EPSS ≥ 90. Perzentil): Könnte es nicht authentifizierten Angreifern ermöglichen, Man-in-the-Middle-Angriffe gegen VPN-Site-to-Site-Verbindungen durchzuführen.

Check Point hat Empfehlungen zur Abschaffung der Unterstützung für veraltete Protokolle und zur Aktualisierung betroffener Instanzen auf behobene Versionen veröffentlicht und gibt zusätzliche Ratschläge zur Sicherheitshärtung [1][2]. Der OPENVAS ENTERPRISE FEED enthält Remote-Banner-Erkennung für Gaia, das einheitliche Sicherheitsbetriebssystem von Check Point für Security Gateways, Sicherheitsmanagement-Produkte, Software Blades, Check-Point-Appliances sowie Open-Server. Check Point Gaia Versionen R80.20, R80.40, R81, R81.10, R81.20, R82 und R82.10 sind betroffen.

Drei CVSS-10-Schwachstellen im Ubiquiti UniFi OS ermöglichen unauthentifizierte RCE

CVSS 10 · KritischAls Zero-Day ausgenutztIn CISA KEV

Drei neue Schwachstellen mit einem CVSS-Wert von 10, die UniFi-OS-Systeme betreffen, wurden veröffentlicht und in die KEV-Liste der CISA aufgenommen. Die Schwachstellen ermöglichen es Angreifern insgesamt, Dateien und Konten des zugrunde liegenden Betriebssystems zu verändern und Befehle auszuführen. Benutzerberichte deuten darauf hin, dass die Schwachstellen wahrscheinlich als Zero-Day-Exploits ausgenutzt wurden, um betrügerische Administratorkonten zu erstellen. Das Risiko ist erhöht, da UniFi-OS-Geräte die Netzwerkinfrastruktur zentral verwalten, sodass eine erfolgreiche Kompromittierung einen potenziellen Weg für laterale Bewegungen in Unternehmensumgebungen darstellt.

Die CVEs werden im Folgenden beschrieben:

  • CVE-2026-34908 (CVSS 10): Ein Angreifer mit Netzwerkzugriff kann eine Schwachstelle bei der Zugriffskontrolle [CWE-284] in UniFi-OS-Geräten ausnutzen, um unbefugte Änderungen am System vorzunehmen.
  • CVE-2026-34909 (CVSS 10): Ein Angreifer mit Netzwerkzugriff kann eine Path-Traversal-Sicherheitslücke [CWE-22] in UniFi-OS-Geräten ausnutzen, um auf Dateien auf dem zugrunde liegenden System zuzugreifen und diese zu manipulieren und auf Konten zuzugreifen.
  • CVE-2026-34910 (CVSS 10): Ein Angreifer mit Netzwerkzugriff kann eine Schwachstelle durch unsachgemäße Eingabevalidierung [CWE-20] in UniFi-OS-Geräten ausnutzen, um Befehlsinjektionsangriffe auszuführen.

Bishop Fox veröffentlichte eine vollständige technische Analyse, aus der hervorgeht, dass CVE-2026-34908 und CVE-2026-34909 eine Umgehung des Authentifizierungs-Gateways ermöglichen, die durch speziell gestaltete NGINX-Anfragen verursacht wird. Die Ausnutzung legt interne Routen offen und ermöglicht eine Befehlsinjektion über CVE-2026-34910.

Die Ausnutzung aller oben genannten CVEs wurde für UniFi OS Version 5.0.6 validiert. Ubiquiti hat die Schwachstellen in UniFi OS Server Version 5.0.8 behoben, die am 21. Mai 2026 veröffentlicht wurde. Es sind keine Workarounds verfügbar. Der OPENVAS ENTERPRISE FEED enthält eine Fernprüfung auf Sicherheitslücken sowie einen Remote-Banner-Test für das Ubiquiti UniFi OS auf verschiedenen Geräten, eine zusätzliche Remote-Schwachstellenprüfung und einen Remote-Banner-Test für Ubiquiti UniFi OS Server Version 5.0.6 und früher.

Squidbleed (CVE-2026-47729) Speicherleck mit öffentlichem PoC

CVSS 6,5 · MittelÖffentlicher PoCKeine ITW-Ausnutzung

CVE-2026-47729 (CVSS 6,5), auch bekannt als Squidbleed, ermöglicht es einem autorisierten Squid-Proxy-Benutzer, die HTTP-Anfragedaten eines anderen Benutzers im Klartext offenzulegen. Die Schwachstelle wird durch einen Heap-Überlesefehler im FTP-Verzeichnislisten-Parser verursacht. Zu den offengelegten Daten können Anmeldedaten, Sitzungstoken, API-Schlüssel und Autorisierungs-Header gehören. Öffentlicher Proof-of-Concept-Exploit-Code sowie eine vollständige technische Beschreibung sind öffentlich verfügbar. Es wurden jedoch noch keine Ausnutzungen in freier Wildbahn gemeldet. Überraschenderweise wurde CVE-2026-47729 trotz eines GitHub-Sicherheitshinweises, der die CVE anhand ihrer ID nennt, bis zum 1. Juli 2026 weder auf MITREs CVE.org noch im NIST NVD veröffentlicht.

Die Schwachstelle betrifft gemeinsam genutzte Proxy-Umgebungen, in denen Squid HTTP-Daten im Klartext überprüfen oder TLS vollständig beenden kann, sowie alle Squid-Versionen seit einer Änderung am FTP-Parser im Jahr 1997. Für die Ausnutzung muss die Squid-Instanz in der Lage sein, einen vom Angreifer kontrollierten FTP-Server über den TCP-Port 21 zu erreichen. Die Schwachstelle wurde in der Squid 7.6-Version vom Juni 2026 behoben, kann aber auch durch Deaktivierung der FTP-Unterstützung gemindert werden, sofern diese nicht benötigt wird. Der OPENVAS ENTERPRISE FEED enthält Erkennung auf Paketebene für Linux-Distributionen, die Sicherheitshinweise veröffentlicht haben, sowie eine Fernerkennung von Bannern für betroffene Versionen des Squid-Proxys.

CVE-2026-10520 und CVE-2026-10523 in Ivanti Sentry

CVSS 10 · KritischWird aktiv ausgenutztIn CISA KEVÖffentlicher PoC

CVE-2026-10520 (CVSS 10) sowie CVE-2026-10523 (CVSS 9,8) ermöglichen es einem entfernten, nicht authentifizierten Angreifer, RCE auf Root-Ebene zu erlangen und beliebige Administratorkonten in Ivanti Sentry anzulegen. CVE-2026-10520 wurde in den KEV-Katalog der CISA aufgenommen, nachdem Ausnutzungsversuche gegen Honeypots gemeldet worden waren. watchTowr veröffentlichte eine vollständige technische Analyse einschließlich eines öffentlichen PoC-Exploits. Shadowserver berichtete über eine groß angelegte Ausnutzung von CVE-2026-10520 und identifizierte bei seinen Scans 19 anfällige Instanzen, von denen mindestens zwei als kompromittiert eingestuft wurden.

  • CVE-2026-10520 (CVSS 10): Eine Schwachstelle durch Befehlsinjektion im Betriebssystem [CWE-78] ermöglicht es einem entfernten, nicht authentifizierten Benutzer, Remote-Code auf Root-Ebene auszuführen.
  • CVE-2026-10523 (CVSS 9,8): Eine Sicherheitslücke zur Umgehung der Authentifizierung [CWE-288] ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebige Administratorkonten zu erstellen und vollständigen Administratorzugriff zu erlangen.

Die Ausnutzung erfordert Zugriff auf den Verwaltungsport 8443. Zu den betroffenen Versionen gehören Ivanti Sentry 10.5.1, 10.6.1, 10.7.0 sowie frühere Versionen; Korrekturen sind in den Versionen 10.5.2, 10.6.2 und 10.7.1 verfügbar. Der OPENVAS ENTERPRISE FEED von Greenbone enthält einen aktiven Check sowie einen Remote-Banner-Test, die beide CVEs abdecken.

HTTP/2-Bomb: DoS-Angriff auf alle gängigen Webserver

CVSS 7,5 · HochÖffentlicher PoCHerstellerübergreifender DoS

HTTP/2-Bomb ist eine remote ausführbare, nicht authentifizierte Denial-of-Service-Technik (DoS) gegen HTTP/2-Serverimplementierungen. Die Schwachstelle betrifft die Standard-HTTP/2-Konfigurationen im Apache HTTP Server, NGINX, Microsoft IIS, Envoy Proxy und Cloudflare Pingora sowie in weiteren digitalen Produkten, die diese Komponenten enthalten. Ein ausführlicher technischer Bericht ist verfügbar, und Califs HTTP/2-Bomb-Begleit-Repository listet eigenständige, servereigene PoCs und Docker-Labore für die wichtigsten betroffenen Webserver auf, was das Risiko erhöht. HTTP/3 gilt Berichten zufolge nicht als direkt anfällig für die aktuelle HTTP/2-Bomb-Technik.

Der Exploit nutzt legitime HTTP/2-Funktionen auf eine Weise, die die HPACK-Header-Komprimierung nicht vorsieht. Betroffene Webserver haben es versäumt, die zusätzlichen Beschränkungen durchzusetzen, die erforderlich sind, um diese Funktionen sicher zu machen. Der Exploit weist Berichten zufolge eine Speicherverstärkung zwischen 70:1 und 5,7K:1 auf und ermöglicht es, innerhalb von Sekunden 32 GB bis 64 GB Server-Speicher zu verbrauchen. Die Hauptursache ist eine fehlerhafte Verarbeitung von HTTP/2-Anfragen, bei der die HPACK-gesteuerte Cookie-Erweiterung eine übermäßige Speicherzuweisung und Datenverstärkung auslöst. Calif.io gibt zudem an, dass die tiefer liegende Ursache ein Problem in der Protokollspezifikation ist. Die wichtigsten Produkte im Zusammenhang mit HTTP/2-Bomb werden im Folgenden beschrieben:

  • CVE-2026-49975 (CVSS 7,5) — Apache HTTP Server mod_http2: Apache HTTP Server Versionen 2.4.17 bis 2.4.67 sind betroffen; das Problem wurde in Apache HTTP Server Version 2.4.68 behoben.
  • CVE-2026-47774 (CVSS 7,5) — Envoy Proxy: Envoy-Versionen vor 1.35.11, 1.36.7, 1.37.3 und 1.38.1 sind betroffen.
  • CVE-2026-49160 (CVSS 7,5) — Microsoft HTTP.sys / IIS: Betrifft Microsoft HTTP.sys, den Windows-HTTP-Stack, der von IIS und anderen Windows-HTTP-Diensten verwendet wird. Microsoft hat das Problem in den Sicherheitsupdates vom 9. Juni 2026 behoben.
  • Keine CVE zugewiesen — nginx: Alle nginx-Versionen vor 1.29.8 sind betroffen; das Problem wurde in nginx 1.29.8 behoben. Red Hat gibt an, dass das nginx-Upstream-Projekt keine CVE für HTTP/2-Bomb vergeben hat.

Quang Luong von Calif.IO führt die Entdeckung von HTTP/2-Bomb auf OpenAI Codex zurück. Es ist zu erwarten, dass viele weitere CVEs auftauchen, sobald Hardware- und Softwareanbieter ihre Produkte patchen. Greenbone enthält zahlreiche Schwachstellentests zur Erkennung von HTTP/2-Bomb über eine Vielzahl von Linux-Distributionen und anderen betroffenen Produkten hinweg. Dies umfasst die Erkennung betroffener Apache-HTTP-Server-Produkte (CVE-2026-49975), Envoy Proxy (CVE-2026-47774), Microsoft IIS (CVE-2026-49160) sowie nginx trotz fehlender CVE-Abdeckung.

Mehrere kritische Schwachstellen in SAP SE und SAP NetWeaver AS ABAP sowie ABAP Platform

CVSS 9,9 · KritischKeine bekannte AusnutzungPatch verfügbar

Drei neue kritische Schwachstellen in SAP-Produkten wurden veröffentlicht. Zusammen betreffen die Schwachstellen NetWeaver AS ABAP und ABAP Platform, den SAP NetWeaver Application Server Java Web Container, SAP Commerce Cloud sowie SAP Data Hub. Das Risiko ist erhöht, da die Schwachstellen in mehreren Fällen unbefugten Zugriff, die Offenlegung sensibler Daten, Dateiänderungen, Anwendungsabstürze, Speicherbeschädigung, die Ausführung beliebigen Codes und das Kapern von Verbindungen ohne Benutzerinteraktion ermöglichen können. Eine aktive Ausnutzung in freier Wildbahn wurde nicht beobachtet. Öffentliche PoC-Exploits oder eine vollständige öffentliche Exploit-Kette sind nicht verfügbar. Zur Behebung sollten die Updates des SAP Security Patch Day vom Juni 2026 umgehend eingespielt werden.

Details zu den drei CVEs finden Sie nachfolgend:

  • CVE-2026-44748 (CVSS 9,9): Ein authentifizierter Angreifer mit normalen Berechtigungen kann eine gültige signierte Nachricht erlangen und modifizierte signierte XML-Dokumente an den Prüfer senden. Dies kann dazu führen, dass manipulierte Identitätsinformationen akzeptiert werden, was unbefugten Zugriff auf sensible Benutzerdaten und eine Störung der normalen Systemnutzung ermöglicht. Betroffen sind SAP NetWeaver AS ABAP Version 7.02, 7.31, 7.40, 7.50, 7.51, 7.52, 7.53, 7.54, 7.55, 7.56, 7.57, 7.58, 8.16, 9.18 und 9.19. Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Test zur Identifizierung betroffener Instanzen.
  • CVE-2026-27671 (CVSS 9,8): Aufgrund einer unzureichenden RFC-Protokollvalidierung im SAP-Kernel kann ein nicht authentifizierter Angreifer eine speziell gestaltete RFC-Anfrage senden, die logische Fehler in der Speicherverwaltung ausnutzt und zu einer Speicherbeschädigung führt. Betroffen sind SAP NetWeaver AS ABAP Version 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 und 9.19. Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Test zur Identifizierung betroffener Instanzen.
  • CVE-2026-40128 (CVSS 9,0): Ein nicht authentifizierter Angreifer kann eine bösartige HTTP-Anmeldeanfrage erstellen, die Parameter zur Dateieinbindung manipuliert. Die Ausnutzung ermöglicht Path Traversal und die Verarbeitung der eingebundenen Datei und erlaubt es dem Angreifer, sensible Informationen einzusehen oder zu verändern oder beliebige Teile des lokalen Systems unverfügbar zu machen. Betroffen ist SAP NetWeaver AS Java Version 7.50. Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Test zur Identifizierung betroffener Instanzen.

Zusammenfassung

Der Juni 2026 verdeutlichte das zunehmende Unternehmensrisiko durch aktiv ausgenutzte Schwachstellen in Splunk, SolarWinds Serv-U, Check-Point-Gateways, Ubiquiti UniFi OS, Ivanti Sentry, Squid, HTTP/2-Implementierungen und SAP-Plattformen. Öffentliche PoCs, KEV-Einträge, Ransomware-Verbindungen und exponierte, mit dem Internet verbundene Assets unterstreichen die Notwendigkeit von schnellem Patchen, kompensierenden Kontrollen und kontinuierlicher Schwachstellenerkennung über Perimeter- und Kerninfrastruktur hinweg.

Greenbones OPENVAS BASIC ist kostenlos verfügbar und beinhaltet eine zweiwöchige Testversion des OPENVAS ENTERPRISE FEED — damit erhält Ihr Sicherheitsteam sofortigen Zugang zur automatisierten Schwachstellenerkennung für die in diesem Report behandelten CVEs und Zehntausende weitere. Starten Sie noch heute Ihre kostenlose Testversion.

Kontakt Jetzt testen Hier kaufen Zurück zur Übersicht
9. Juli 2026/von Joseph Lee
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-07-09 15:02:412026-07-09 15:42:15Threat Report Juni 2026: Technische Schulden erfordern Transparenz
Greenbone AG

Souveränität war ein Versprechen. Jetzt wird sie zum Prüfkriterium.

Blog

EU-Gebäude als Symbol digitaler Souveränität – Greenbone erklärt die CADA-Souveränitätsstufen

Am 3. Juni 2026 hat die Europäische Kommission das Cloud and AI Development Act (CADA) vorgeschlagen – das Herzstück ihres neuen Tech Sovereignty Package. Im Kern: ein vierstufiges Modell, mit dem öffentliche Auftraggeber künftig bewerten sollen, wie souverän ein Cloud-Anbieter wirklich ist. Nicht nur, wo die Daten liegen. Sondern wem der Anbieter gehört, wer ihn kontrolliert, und welchem Rechtssystem er unterliegt.

Noch ist CADA ein Vorschlag, kein geltendes Recht, aber die Richtung ist bemerkenswert klar formuliert. Kommissions-Vizepräsidentin Henna Virkkunen hat es öffentlich benannt: Anbieter, die dem US CLOUD Act unterliegen, werden es strukturell schwer haben, die oberen beiden Level zu erreichen – unabhängig davon, wo ihre Rechenzentren in Europa stehen. Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen, egal wo auf der Welt diese Daten liegen. Wer diesem Gesetz unterliegt, kann „keine Einflussnahme durch einen Drittstaat“ kaum glaubhaft versprechen. Genau das ist der Test für Level 4.

Die vier Level, kurz erklärt

Die vier CADA-Souveränitätsstufen im Überblick

L1

Standort EU

Daten und Infrastruktur liegen in der EU. Keine weiteren Anforderungen an Eigentum, Personal oder Software-Lieferkette.

✓ Für US-Hyperscaler mit EU-Region erreichbar

L2

Unabhängigkeit & Transparenz

Zusätzlich: nachweisbare Unabhängigkeit von Drittstaaten und Transparenz über die gesamte Software-Lieferkette.

⚠ Abhängig von Eigentümerstruktur und Transparenzpflichten

L3

EU-Eigentum & EU-Kontrolle

Der Anbieter muss in der EU ansässig, im EU-Eigentum und unter EU-Kontrolle stehen – inklusive Anforderungen an die Staatsbürgerschaft des Personals.

✗ Unter US CLOUD Act strukturell nicht erreichbar

L4

Vollständige digitale Souveränität

Volle Transparenz und Kontrolle über die gesamte Software-Lieferkette, keine Einflussnahme durch Drittstaaten. Der höchste Grad an digitaler Unabhängigkeit, den das Regelwerk kennt.

✗ Unter US CLOUD Act strukturell nicht erreichbar

Warum das nicht bei Cloud-Infrastruktur endet

CADA ist explizit für die öffentliche Beschaffung von Cloud-Diensten geschrieben. Aber die Frage, die dahintersteckt, ist keine Cloud-spezifische Frage. Sie lautet: Wer kontrolliert die Software, die in kritischer Infrastruktur läuft – und welchem Rechtssystem ist derjenige rechenschaftspflichtig?

Diese Frage stellt sich mit derselben Berechtigung für jede sicherheitskritische Softwarekomponente. Und kaum eine Komponente sitzt tiefer im Herzen der IT-Sicherheitsarchitektur als das Vulnerability-Management-System, das weiß, wo jede Schwachstelle in der Infrastruktur eines Landes liegt.

Wer diese Software liefert, wer sie kontrolliert, wer im Zweifel gezwungen werden könnte, Zugriff zu gewähren oder zu schweigen – das ist keine akademische Frage mehr. Es ist die Frage, die CADA für Cloud-Anbieter gerade verbindlich macht.

Legt man diesen Maßstab an: Wo steht Greenbone?

Wir sind kein Cloud-Anbieter im Sinne von CADA und werden entsprechend nicht „CADA-zertifiziert“. Aber legt man dieselben Kriterien an ein IT-Sicherheitssystem an, zeigt sich ein klares Bild:

  • Kontrolle & Rechtssystem: Greenbone ist ein in Deutschland gegründetes, europäisch verankertes Unternehmen. Wir unterliegen deutschem und europäischem Recht, nicht dem US CLOUD Act.
  • Personal: Unser Entwicklungs- und Betriebsteam sitzt in Deutschland und der EU.
  • Software-Lieferkette: OPENVAS ist Open Source. Nicht „auditierbar auf Anfrage“ – sondern vollständig einsehbar, für jeden, jederzeit. Das ist eine stärkere Position als „auditable software“, wie es CADA für Level 2/3 verlangt.
  • Offenlegungspflichten: Weil wir keinem US-Recht unterliegen, gibt es keine rechtliche Konstruktion, über die wir zu stillschweigender Zusammenarbeit mit Drittstaats-Behörden gezwungen werden könnten – die Art von „hidden disclosure“, vor der CADA schützen will.

Viele etablierte Namen sind in den USA beheimatet. Diese strukturelle Tatsache macht CADA gerade zum ersten Mal messbar. Eine EU-Rechenzentrumsregion ändert daran nichts, solange das Mutterunternehmen dem CLOUD Act unterliegt.

Was das für Sie bedeutet

CADA ist noch nicht in Kraft. Aber die Kommission hat zum ersten Mal präzise definiert, was „digitale Souveränität“ konkret bedeutet – in vier überprüfbaren Stufen statt in Marketingsprache. Für Behörden, KRITIS-Betreiber und öffentliche Auftraggeber wird das absehbar zur Frage im Lastenheft.

Wer heute schon auf diesem Fundament steht, muss morgen nicht migrieren.

 

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
8. Juli 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-07-08 11:27:502026-07-08 11:27:50Souveränität war ein Versprechen. Jetzt wird sie zum Prüfkriterium.
Greenbone AG

Das fehlende Handoff: Wie KIX und Greenbone Schwachstellenscans in konkrete Maßnahmen umsetzen

Blog

Greenbone, Heimat von OPENVAS und KIX Service Software

Zum ersten Mal nutzen Angreifer ungepatchte Sicherheitslücken häufiger aus, als dass sie Zugangsdaten stehlen. Laut dem „2026 Data Breach Investigations Report“ von Verizon macht die Ausnutzung von Sicherheitslücken mittlerweile 31 % aller Sicherheitsvorfälle aus und liegt damit vor dem Diebstahl von Zugangsdaten mit 13 %. Und die Entwicklung geht für die Verteidiger in die falsche Richtung: Die mittlere Zeit bis zur vollständigen Behebung einer Sicherheitslücke stieg von 32 Tagen im Vorjahr auf 43 Tage, während Unternehmen nur 26 % der Sicherheitslücken auf der CISA-Liste der bekannt ausgenutzten Sicherheitslücken behoben haben – ein Rückgang gegenüber 38 % im Jahr 2024 (wir haben hier aufgeschlüsselt, was diese Verschiebung antreibt).

Scanner sind hier nicht der Engpass. Das Aufspüren einer Sicherheitslücke und deren tatsächliche Behebung sind zu zwei getrennten Problemen geworden, wobei das zweite an hinterherhinkt.

Zwei Trenddiagramme: Die mittlere Zeit bis zur vollständigen Behebung einer Sicherheitslücke stieg von 32 Tagen im Jahr 2025 auf 43 Tage im Jahr 2026, während der Anteil der bekannten, ausgenutzten Sicherheitslücken, die tatsächlich behoben wurden, von 38 Prozent im Jahr 2024 auf 26 Prozent im Jahr 2026 sank.

Medianzeit bis zur vollständigen Behebung einer Sicherheitslücke
2025
 
32 Tage
2026
 
43 Tage
+11 Tage, 34 % langsamer
Bekannte ausgenutzte Sicherheitslücken, die tatsächlich behoben wurden
2024
 
38 %
2026
 
26 %
−12 Punkte
Quelle: Verizon 2026 Data Breach Investigations Report

Die Erkennung war nie der schwierige Teil

OPENVAS von Greenbone hat fast zwei Jahrzehnte damit verbracht, die erste Hälfte zu perfektionieren: ein Netzwerk zu scannen, Schwachstellen zu identifizieren und deren Gefährlichkeit zu bewerten. Elmar Geese, CEO von Greenbone, vergleicht dies gerne mit einem Schwarm von Robotern, die jede Tür und jedes Fenster eines Hauses überprüfen. Sie sind schnell und gründlich, und wenn sie ein defektes Schloss finden, schlagen sie Alarm.

Doch ein Alarm nützt nur etwas, wenn jemand darauf reagiert. In den meisten Unternehmen stockt der Prozess genau an dieser Stelle. Ein Scan-Ergebnis landet in einem Bericht, einem Posteingang oder einer Tabelle, die niemand öffnet – bis zum nächsten Audit. Jemand muss es lesen, herausfinden, was es konkret für die jeweiligen Systeme bedeutet, entscheiden, wer für die Behebung zuständig ist, und daraus eine nachverfolgbare Aufgabe mit einer Frist machen. Dieser Schritt erfordert Sicherheitsfachwissen, über das nicht jedes IT-Team verfügt, und genau hier geht etwas verloren: Der Schweregrad wird falsch eingeschätzt, Tickets werden doppelt angelegt oder gar nicht erst erstellt, und über die Zuständigkeit wird im Nachhinein gestritten, anstatt sie im Vorfeld festzulegen.

Dies ist der Teil des Schwachstellenmanagements, der in der Werbung für Scanner nicht erwähnt wird, aber genau hier liegt der größte Teil der tatsächlichen Verzögerung.

Was sich durch die Integration tatsächlich ändert

Rico Barth, CEO von KIX, bringt es auf den Punkt: Die Partnerschaft schließt die Lücke „zwischen der Erkennung und der Behebung von Schwachstellen“. In dieser Lücke war früher ein Vermittler erforderlich, um einen Sicherheitsbefund weiterzuleiten. Das ist nun nicht mehr der Fall.

KIX, die Open-Source-ITSM-Plattform, und Greenbone haben eine direkte Verbindung zwischen den beiden Hälften des Problems hergestellt. Wenn OPENVAS eine Schwachstelle meldet, erstellt es nicht nur einen Bericht und belässt es dabei. Es eröffnet automatisch ein Ticket in KIX: klassifiziert als Sicherheitsvorfall, verknüpft mit dem konkreten betroffenen Gerät oder der betroffenen Software und an das Team gesendet, das für diese Ressource zuständig ist. Der Workflow zur Behebung – mit Fristen, Erinnerungen und Eskalationen – beginnt in dem Moment, in dem die Schwachstelle bestätigt wird, und nicht erst, wenn jemand dazu kommt, die Scan-Ergebnisse zu lesen.

Das bedeutet auch, dass ein IT-Administrator, der ein Ticket eröffnet, nicht bei Null anfängt. Die Ressource, das betroffene System, wer benachrichtigt werden muss und wie sich dies in alle anderen derzeit offenen Fälle einfügt – all diese Informationen liegen bereits vor. Niemand muss drei verschiedene Tools miteinander abgleichen, um herauszufinden, was tatsächlich vor sich geht.

Flussdiagramm, das zeigt, wie die Dringlichkeit abnimmt, während eine Schwachstelle von der Erkennung (rot) über ein automatisch erstelltes Ticket (gelb) bis hin zur nachverfolgten Behebung (grün) gelangt.

Sicherheitslücke erkannt
Wird sofort nach Abschluss eines Scans markiert
 
 
 
Ticket automatisch erstellt
Klassifiziert und mit dem Asset verknüpft
 
 
 
Bis zur Lösung nachverfolgt
Fristen, Erinnerungen und Eskalation

Der Bonus, um den niemand gebeten hat: Dinge finden, von denen man gar nicht wusste, dass man sie hat

Es gibt einen Nebeneffekt, der sich als fast ebenso wichtig erweist wie das Ticketing selbst. OPENVAS scannt mehr als nur die Systeme, die der IT-Abteilung bereits bekannt sind. Es findet den Laptop, den eine Abteilung ohne Rücksprache mit der IT gekauft hat, oder den Server, den jemand vor zwei Jahren in Betrieb genommen und dann vergessen hat. Dieses Inventar fließt nun direkt in die Asset-Datenbank von KIX ein.

Shadow-IT wird üblicherweise als ein Problem der Richtlinien dargestellt. In der Praxis handelt es sich jedoch um ein Transparenzproblem, das sich mit dem Wachstum der Netzwerke verschärft. Greenbone-Kunden sind regelmäßig überrascht davon, was zutage tritt, wenn ihre Umgebung zum ersten Mal ordnungsgemäß gescannt wird. Die Einbindung dieser Erkenntnisse in dasselbe System, das bereits Tickets und Zuständigkeiten verwaltet, bedeutet, dass ein unbekanntes Gerät sofort in den normalen IT-Prozess integriert wird, anstatt in einem eigenen toten Winkel zu verbleiben.

Warum dies angesichts der Frage, wer die Arbeit tatsächlich erledigt, umso wichtiger ist

IT- und Sicherheitsteams sind fast überall überlastet, und der manuelle Auswertungsschritt im Schwachstellenmanagement ging bisher immer davon aus, dass genügend Fachpersonal vorhanden ist, um diese Aufgabe gut zu bewältigen. Diese Annahme wird von Jahr zu Jahr unsicherer. Entfällt der Schritt, bei dem ein Mensch jeden Befund manuell sichten, klassifizieren und weiterleiten muss, müssen kleinere oder generalistisch aufgestellte IT-Teams nicht mehr auf externes Sicherheits-Know-how zurückgreifen, das sie intern nicht haben, nur um Schritt zu halten.

Es hilft auch bei etwas, das mehr Zeit in Anspruch nimmt, als es sollte: dem Nachweis, dass man die Arbeit tatsächlich erledigt hat. Dokumentation, Fristen und der Verlauf der Behebung landen automatisch in KIX, was Audits nach Rahmenwerken wie NIS-2, ISO 27001 oder BSI-Grundschutz erheblich erleichtert, da die Nachweiskette bereits vorhanden ist und nicht erst im Nachhinein rekonstruiert werden muss.

Probieren Sie es dort aus, wo es darauf ankommt

Wenn Ihr Team derzeit OPENVAS und KIX separat einsetzt oder eines der beiden Systeme evaluiert, lohnt sich ein genauerer Blick auf diese Integration – gerade weil sie einen Schritt einspart, anstatt einen hinzuzufügen. Nehmen Sie Kontakt mit uns auf, um zu erfahren, wie der Übergang vom Scan zur Behebung in Ihrer eigenen Umgebung funktioniert und was für die Einrichtung erforderlich wäre. Und falls Sie noch nicht mit OPENVAS scannen, OPENVAS BASIC ist ein guter Ausgangspunkt, bevor Sie die übrigen Komponenten anbinden.

KIX Service Software-LogoÜber KIX Service Software

KIX entwickelt und vermarktet die gleichnamige IT-Service-Management-Software, eines der führenden Open-Source-ITSM-Systeme auf dem Markt. Das 2006 gegründete Unternehmen beschäftigt deutschlandweit mehr als 50 Mitarbeiter und betreut über 400 Kunden aus verschiedenen Branchen im Bereich IT-Service-Management und technischer Support. Mehr unter kixdesk.com.

Greenbone-LogoÜber Greenbone

Greenbone entwickelt OPENVAS, die weltweit am häufigsten eingesetzte Open-Source-Lösung für das Schwachstellenmanagement mit mehr als 100.000 Installationen. Das 2008 gegründete Unternehmen mit Sitz in Osnabrück konzentriert sich auf proaktive IT-Sicherheit und Datenhoheit durch eine vollständig lokale Bereitstellung. Greenbone ist nach ISO 9001, ISO 27001 und ISO 14001 zertifiziert. Mehr unter greenbone.net.

 

Kontakt Jetzt testen Hier kaufen Zurück zur Übersicht
7. Juli 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-07-07 08:36:152026-07-07 08:36:15Das fehlende Handoff: Wie KIX und Greenbone Schwachstellenscans in konkrete Maßnahmen umsetzen
Joseph Lee

Cisco-Unternehmensgeräte: Weitere kritische Sicherheitslücken und aktive Ausnutzung im Juni 2026

Blog

Cisco-Produkte wurden in den letzten Monaten von schwerwiegenden, aktiv ausgenutzten Sicherheitslücken heimgesucht [1][2][3][4][5][6][7][8][9]. Zu den kürzlich ausgenutzten Schwachstellen im Catalyst SD-WAN Manager und Controller gehören CVE-2026-20133 (CVSS 7.5, EPSS >= 95. Perzentil), CVE-2026-20128 (CVSS 7,8, EPSS >= 90. Perzentil), CVE-2026-20122 (CVSS 5.4, EPSS >= 93. Perzentil), CVE-2026-20127 (CVSS 10, EPSS 99. Perzentil) sowie CVE-2026-20182 (CVSS 10, EPSS >= 99. Perzentil). Insgesamt sind in diesem Jahr elf Cisco-Sicherheitslücken in den Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA aufgenommen worden.

SD-WAN-Plattformen sind für Cyberangreifer attraktiv, da sie Routing, die Durchsetzung von Richtlinien, Netzwerktransparenz und administrative Kontrolle in Unternehmens-IT-Umgebungen zentralisieren. Die wiederholte Ausnutzung von SD-WAN-Schwachstellen deutet darauf hin, dass Angreifer vorrangig Ziele in der Netzwerkinfrastruktur ins Visier nehmen, die die Manipulation des Datenverkehrs [T1565.002], die laterale Bewegung [TA0008], Persistenz [TA0003] sowie weitreichendere operative Auswirkungen einschließlich Ransomware-Angriffen ermöglichen.

Der OPENVAS ENTERPRISE FEED von Greenbone bietet Erkennung für alle in diesem Blogbeitrag behandelten CVEs und enthält eine eigene Familie zur Erkennung von Cisco-Sicherheitslücken. Hier sind die wichtigsten neuen Bedrohungen für Cisco-Produkte aus dem Juni 2026:

Weitere kritische Cisco-Sicherheitslücken und aktive Ausnutzung im Juni 2026

Weitere kritische Cisco-
Sicherheitslücken

CVE-2026-20245 und CVE-2026-20262: Neue Schwachstellen in Catalyst SD-WAN werden aktiv ausgenutzt

CVE-2026-20245: Authentifizierte Befehlsausführung mit Root-Rechten

CVE-2026-20245 (CVSS 7.8, EPSS >= 57. Perzentil), veröffentlicht am 4. Juni 2026, ermöglicht es einem authentifizierten lokalen Angreifer mit netadmin-Rechten, beliebige Befehle als Root auf dem Cisco Catalyst SD-WAN Controller, Manager und Validator auszuführen. Die Ursache ist eine unzureichende Validierung von Benutzereingaben in hochgeladenen Dateien [CWE-20]. Laut Mandiant nutzten Angreifer gestohlene Anmeldedaten in Verbindung mit CVE-2026-20245, um sich über einen bösartigen CSV-Upload Root-Zugriff zu verschaffen.

CVE-2026-20245 betrifft den Cisco Catalyst SD-WAN Controller, den Cisco Catalyst SD-WAN Manager und den Cisco Catalyst SD-WAN Validator in allen Bereitstellungsarten, einschließlich On-Premises, Cisco SD-WAN Cloud-Pro, Cisco-verwalteter SD-WAN-Cloud und Cisco SD-WAN for Government. Cisco hat Korrekturen in den Catalyst SD-WAN-Versionen 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 veröffentlicht. Es gibt keine Workarounds, und Cisco empfiehlt, ein Upgrade auf eine behobene Version durchzuführen, nachdem die Protokolle gesichert und die Admin-Tech-Dateien zur Überprüfung des Kompromittierungsvorfalls gesammelt wurden.

CVE-2026-20262: Authentifizierte Dateierstellung mit Angriffskette für eine Kompromittierung auf Root-Ebene

CVE-2026-20262 (CVSS 6.5, EPSS >= 63. Perzentil), veröffentlicht am 15. Juni 2026, ermöglicht es einem authentifizierten Angreifer aus der Ferne mit geringen Berechtigungen und gültigem Schreibzugriff, Dateien auf Cisco Catalyst SD-WAN Manager-Systemen zu erstellen oder zu überschreiben. Die Schwachstelle wird durch eine unzureichende Einschränkung der Pfadnamen beim Hochladen von Dateien verursacht [CWE-22]. Cisco bestätigte im Juni 2026 begrenzte Ausnutzungsaktivitäten, und die CISA hat CVE-2026-20262 in seinen KEV-Katalog aufgenommen. Es gibt keine Hinweise auf einen öffentlich zugänglichen PoC-Exploit oder eine detaillierte technische Analyse durch Dritte.

Laut Cisco können Angreifer die erforderlichen Berechtigungen durch gültige Anmeldedaten oder die vorherige Ausnutzung von CVE-2026-20182 (CVSS 10) oder CVE-2026-20127 (CVSS 10) erlangen, und der offizielle Hinweis des Herstellers beschreibt vereinzelte Fälle, in denen durch die Ausnutzung des Schwachpunkts Konfigurationsänderungen auf Edge-Geräte übertragen wurden. Catalyst SD-WAN Manager-Systeme mit Internetanbindung sind einem höheren Risiko ausgesetzt, da durch den Missbrauch verdächtige WAR- oder JSP-Dateien hochgeladen, schädlicher Code eingesetzt und möglicherweise Folgeaktivitäten vorbereitet werden können, die zu einer Kompromittierung auf Root-Ebene führen.

Der Cisco Catalyst SD-WAN Manager war unabhängig von der Gerätekonfiguration in allen Bereitstellungen betroffen, darunter On-Premises-, Cisco SD-WAN Cloud-Pro-, Cisco SD-WAN Cloud- (Cisco Managed) und Cisco SD-WAN for Government- (FedRAMP) Umgebungen. Cisco hat das Problem in den Versionen 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 behoben. Es gibt keine Workarounds für CVE-2026-20262, daher ist zur Behebung des Problems ein Upgrade auf eine behobene Version erforderlich. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung von Geräten, die von CVE-2026-20262 betroffen sind.

CVE-2026-20230: Unified Communications Manager wird aktiv über nicht authentifizierte HTTP-Anfragen ausgenutzt

CVE-2026-20230 (CVSS 8.6, EPSS 42. Perzentil), veröffentlicht am 3. Juni 2026, ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, Cisco Unified Communications Manager und Unified CM Session Management Edition über eine serverseitige Request-Forgery-Sicherheitslücke im WebDialer [CWE-918] auszunutzen. Die Ursache ist eine unzureichende Eingabevalidierung von HTTP-Anfragen. Für die Ausnutzung muss WebDialer aktiviert sein, welcher standardmäßig deaktiviert ist. Erfolgreiche Angriffe können jedoch Dateien auf das zugrunde liegende Betriebssystem schreiben und eine spätere Rechteausweitung auf Root-Ebene ermöglichen.

Die CISA hat CVE-2026-20230 in ihre KEV-Liste aufgenommen, womit es sich um die zweite bekannte, aktiv ausgenutzte CVE in Cisco Unified Communications Manager im Jahr 2026 handelt. Berichten zufolge wird die Sicherheitslücke genutzt, um Web-Shells [T1505.003] zur Remote-Code-Ausführung (RCE) zu platzieren. Öffentlicher PoC-Exploit-Code und eine vollständige technische Beschreibung wurden von SSD Secure Disclosure veröffentlicht.

Cisco hat Korrekturen für Unified CM und Unified CM SME 14SU6 sowie 15SU5 oder COP1 veröffentlicht, weist darauf hin, dass es keine Workarounds gibt, und empfiehlt, WebDialer als vorübergehende Abhilfemaßnahme zu deaktivieren, bis die Installation der Patches abgeschlossen ist. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung auf Paketebene für CVE-2026-20230.

Zwei kritische Sicherheitslücken in Cisco ISE – eine ermöglicht RCE auf Root-Ebene

CVE-2026-20181 (CVSS 9.1, EPSS 43. Perzentil) und CVE-2026-20190 (CVSS 7.5, EPSS 29. Perzentil), veröffentlicht am 17. Juni 2026, ermöglichen RCE, die Ausweitung von Berechtigungen, Denial-of-Service (DoS) und die Offenlegung von Informationen in der Cisco Identity Services Engine und dem Cisco ISE Passive Identity Connector. Es liegen keine Berichte über aktive Ausnutzung vor, und PoC-Exploit-Code oder detaillierte technische Analysen sind noch nicht verfügbar.

CVE-2026-20181 ermöglicht es einem authentifizierten Administrator, HTTP-Anfragen auszunutzen, um Zugriff auf das Betriebssystem auf Benutzerebene zu erlangen und die Berechtigungen auf Root-Ebene zu erweitern. CVE-2026-20190 ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Informationen zuzugreifen, darunter gehashte Anmeldedaten, die Folgeangriffe ermöglichen könnten, sofern diese Anmeldedaten geknackt werden können. Beide Schwachstellen betreffen Cisco ISE und ISE-PIC unabhängig von der Gerätekonfiguration. In Umgebungen mit einem einzelnen Knoten kann CVE-2026-20181 dazu führen, dass der ISE-Knoten nicht mehr verfügbar ist, wodurch die Authentifizierung durch andere Endpunkte verhindert wird, bis der Knoten wiederhergestellt ist.

Cisco gibt an, dass es für keine der beiden Sicherheitslücken Workarounds gibt; betroffene Kunden sollten daher ein Upgrade durchführen oder gegebenenfalls den verfügbaren Hotpatch anwenden. Siehe den Sicherheitshinweis von Cisco für konkrete betroffene Versionen und Anweisungen zum Upgrade. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung auf Paketebene sowohl für CVE-2026-20181 als auch für CVE-2026-20190 [1][2].

Zusammenfassung

Cisco sah sich im Juni 2026 inmitten einer anhaltenden Flut von Sicherheitsbedrohungen einer weiteren Welle von Sicherheitsrisiken für seine Unternehmensprodukte ausgesetzt. Zu den neu auftretenden Bedrohungen zählen neue, aktiv ausgenutzte Schwachstellen in Catalyst SD-WAN und Unified Communications Manager sowie kritische Cisco ISE-Schwachstellen. Die Probleme ermöglichen die Ausführung von Befehlen auf Root-Ebene, das Erstellen von Dateien, SSRF-Angriffe, die Offenlegung von Anmeldedaten und DoS-Angriffe sowie potenzielle Folgeangriffe, falls Anmeldedaten geknackt werden. Der OPENVAS ENTERPRISE FEED von Greenbone bietet Erkennung für alle in diesem Blogbeitrag behandelten CVEs und enthält eine spezielle Familie zur Erkennung von Cisco-Sicherheitslücken. Verteidiger können Greenbones Flaggschiff OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
1. Juli 2026/von Joseph Lee
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-07-01 13:06:012026-07-01 13:06:01Cisco-Unternehmensgeräte: Weitere kritische Sicherheitslücken und aktive Ausnutzung im Juni 2026
Greenbone AG

Die 5 Reifegrade im Schwachstellenmanagement

Blog

Ein effektives Schwachstellenmanagement beginnt und endet nicht mit dem Scannen. Um effektiv zu sein, erfordert das Schwachstellenmanagement ein fundiertes Verständnis sowohl der Scanner-Technologie als auch Ihrer IT-Infrastruktur. Operativ hängt das Schwachstellenmanagement von zuverlässigen und wiederholbaren Prozessen, klar definierten Zuständigkeiten, der Integration in den täglichen IT-Betrieb und einer strategischen Steuerung ab.

Jede Organisation befindet sich in einer anderen Reifestufe des Schwachstellenmanagements. Einige beginnen gerade erst mit der Einführung von Schwachstellenscans. Andere haben zwar operative Prozesse etabliert, es fehlt ihnen jedoch an einer strukturierten Priorisierung, einer Nachverfolgung von Abhilfemaßnahmen oder der Ausrichtung auf das Unternehmen. Die am weitesten fortgeschrittenen Organisationen betrachten das Schwachstellenmanagement als eine wesentliche Sicherheitsmaßnahme zur Minderung der Gefährdung durch neu auftretende Bedrohungen und zur Reduzierung des gesamten Geschäftsrisikos.

Ein Reifegradmodell für das Schwachstellenmanagement bietet einen strukturierten Ansatz zur Bewertung des aktuellen Zustands des Programms in Ihrem Unternehmen. Es hilft den Verantwortlichen aus den Bereichen Sicherheit, IT und Geschäft, zu verstehen, wo ihre Sicherheitslage derzeit steht, identifiziert „Hindernisse“, die den Fortschritt einschränken, und definiert die nächsten Schritte hin zu einem effektiveren und nachhaltigeren Schwachstellenmanagementprozess.

In diesem Artikel werden wir ein strukturiertes Modell zur Definition der Reife im Schwachstellenmanagement (VM) betrachten. Das Modell definiert fünf Reifegrade und erläutert, wie Sie ermitteln können, wo sich Ihr Unternehmen innerhalb des Modells befindet. Es beschreibt außerdem die Einschränkungen, die jeder Reifegrad für eine widerstandsfähige operative Cybersicherheit mit sich bringt.

Auch interessant: Key Performance Indicators (KPI) zur Messung der Leistung im Schwachstellenmanagement

Die 5 Stufen der Reife im Schwachstellenmanagement verstehen

Die Reife im Schwachstellenmanagement lässt sich in fünf Stufen unterteilen. Jede Stufe spiegelt einen unterschiedlichen Stand in Bezug auf Disziplin, operative Fähigkeiten, organisatorische Einbindung und Reife der Governance wider. Unternehmen entwickeln sich in der Regel von einfachen technischen Scans hin zu einem risikoorientierten Sicherheitsprogramm, das in den IT-Betrieb integriert ist und kontinuierlich auf der Grundlage messbarer KPI-Ergebnisse verbessert wird.

  1. Ad-hoc
  2. Wiederholbar / Operativ
  3. Definiert / Verwaltet
  4. Integriert / Kontrolliert
  5. Optimiert / Strategisch

Stufe 1 – Ad-hoc

In der Ad-hoc-Stufe ist das Schwachstellenmanagement für eine Organisation in der Regel eine völlig neue Aktivität oder wird nur sporadisch durchgeführt. Scans werden nicht formell geplant, und es gibt keine dokumentierten Sicherheitsprozesse. Das Unternehmen verfügt möglicherweise über ein Scan-Tool, doch der Erfassungsgrad der Scans wird nicht gemessen, und die Ergebnisse werden nicht systematisch zur Einleitung von Abhilfemaßnahmen genutzt.

Die informelle Einstellung in dieser Phase lautet oft: „Wir werden es schon irgendwie scannen.“ Auch wenn diese Haltung und der reine Aufwand zunächst für etwas Transparenz sorgen mögen, stellen sie kein zuverlässiges Schwachstellenmanagementprogramm dar.

Die Grenzen eines ad-hoc / anfänglichen Sicherheitsprogramms

Die größte Einschränkung in dieser Phase ist das Fehlen einer Struktur. Ohne eine vollständige Bestandsaufnahme der Assets weiß ein Unternehmen nicht, ob kritische Systeme gescannt werden. Ohne einen definierten Umfang oder Zeitplan bleiben Scan-Aktivitäten eine Nebensache. Ohne klare Zuständigkeiten werden entdeckte Schwachstellen möglicherweise nicht an die richtigen Teams zur Behebung weitergeleitet.

Zu den häufigen Einschränkungen gehören:

  • Keine vollständige Bestandsaufnahme der IT-Ressourcen
  • Kein definierter Scan-Umfang oder Zeitplan
  • Keine Zuständigkeiten oder Verantwortlichkeiten
  • Keine Berichterstattung oder KPIs
  • Kein strukturierter Behebungsprozess

Stufe 2 – Wiederholbar / Operativ

In der wiederholbaren / operativen Phase ist das Schwachstellenscannen konsistenter. Es werden regelmäßige Scans durchgeführt, eine grundlegende Betriebsstabilität ist gegeben, und das Unternehmen verfügt über einen ersten Überblick über Schwachstellen in einem Teil seiner Umgebung. Diese Stufe stellt einen wichtigen Übergang von informellen Aktivitäten zu einer wiederholbaren Durchführung dar. Ein Unternehmen führt nun zuverlässig und wiederkehrend Scans durch, und einige Verantwortlichkeiten für das Schwachstellenmanagementprogramm wurden zugewiesen, beispielsweise an einen Administrator oder technischen Verantwortlichen.

Eine Organisation führt zwar möglicherweise regelmäßig Systemscans durch, hat jedoch noch keinen vollständig verwalteten Prozess für die Prüfung, Priorisierung, Nachverfolgung und Behebung von Schwachstellen etabliert.

Die Grenzen eines wiederholbaren / operativen Sicherheitsprogramms

Diese wiederholbare / operative Phase ist nach wie vor vorwiegend technischer Natur. Die größte Einschränkung in dieser Phase besteht darin, dass Schwachstellendaten noch nicht effektiv über einen strukturierten Lebenszyklus hinweg verwaltet werden. Organisationen wissen, wo Schwachstellen bestehen, verfügen jedoch nicht über einen formellen Prozess zur Entscheidung, welche Probleme am wichtigsten sind, wer sie beheben soll und bis wann. Die Steuerung beschränkt sich auf eine grundlegende Berichterstattung ohne KPI-gesteuertes Management oder formelle Leistungsziele.

Zu den üblichen Einschränkungen gehören:

  • Keine strukturierte Priorisierung
  • Keine definierten SLAs für die Behebung
  • Begrenzte Nachverfolgung der Behebung
  • Schwache teamübergreifende Zusammenarbeit

Stufe 3 – Definiert / Verwaltet

In der definierten / verwalteten Phase wird das Schwachstellenmanagement strukturiert und messbar. Ein Unternehmen hat Prozesse zur Identifizierung, Priorisierung, Behebung und Nachverfolgung von Schwachstellen etabliert. Die Verantwortlichkeiten sind klar auf die relevanten Beteiligten verteilt, einschließlich IT- und Sicherheitsteams. Diese Stufe markiert den Punkt, an dem das Schwachstellenmanagement zu einem gesteuerten operativen Prozess wird und nicht mehr nur eine Scan-Aktivität ist.

Ein Unternehmen in dieser Phase nutzt KPIs zur Messung der Leistung, wendet risikobasierte Priorisierung an und folgt klar definierten Workflows zur Behebung. Die Scan-Abdeckung wird überprüft, und es werden authentifizierte Scans zur mehrschichtigen Verteidigung durchgeführt.

Ein Programm der Stufe 3 kann wichtige Fragen des Managements beantworten: Welche Schwachstellen sind am wichtigsten? Wer ist für die Behebung zuständig? Wie lange dauert die Behebung? Erreichen die Teams die definierten Ziele? Wo treten wiederkehrende Probleme auf?

Die Grenzen eines definierten / verwalteten Sicherheitsprogramms

Ein Programm auf dieser Stufe ist strukturiert, jedoch weder automatisiert noch tiefgreifend integriert. Die Prozesse sind dokumentiert und messbar, doch die Ausführung hängt nach wie vor weitgehend von manueller Koordination ab. Eine Integration der Scan-Infrastruktur in den IT-Betrieb, das Ticketing, das Patch-Management oder das Änderungsmanagement fehlt gänzlich oder ist unvollständig.

Zu den üblichen Einschränkungen zählen:

  • Begrenzte Automatisierung
  • Schwache Integration in IT-Prozesse
  • Begrenzte Ausrichtung auf das Geschäft

Stufe 4 – Integriert / Kontrolliert

In der Stufe „Integriert / Kontrolliert“ ist das Schwachstellenmanagement fest in den IT-Betrieb integriert. Das Programm wird nicht mehr als separate Sicherheitsmaßnahme verwaltet, sondern ist in die operativen Systeme und Arbeitsabläufe eingebunden, die Infrastruktur, Anwendungen, Patching, Änderungsmanagement, Incident Response und Servicemanagement steuern.

Die Prozesse in dieser Stufe sind automatisiert und skalierbar. Schwachstellenfunde können in Tickets umgewandelt, den richtigen Verantwortlichen zugewiesen, bis zur Behebung nachverfolgt und anhand definierter Ziele gemessen werden. Integrationen mit ITSM, SIEM, Patch-Management und verwandten Betriebssystemen ermöglichen durchgängige Transparenz und Kontrolle. Insgesamt kann ein Unternehmen die Behebung von Schwachstellen konsistenter, verantwortungsbewusster und betrieblich effizienter verwalten.

Die Grenzen eines integrierten / kontrollierten Sicherheitsprogramms

Die größte Einschränkung in dieser Phase ist das Fehlen einer strategischen Optimierung. Ein Unternehmen verfügt über starke Prozesse und Integrationen, nutzt jedoch die Daten aus dem Schwachstellenmanagement nicht als Rückmeldung für die langfristige strategische Planung, Investitionsplanung oder kontinuierliche Optimierung.

Zu den häufigen Einschränkungen gehören:

  • Begrenzte strategische Steuerung
  • Optimierungspotenzial wird nicht voll ausgeschöpft

Stufe 5 – Optimiert / Strategisch

In der Optimierten / Strategischen Phase ist das Schwachstellenmanagement risikogesteuert, wird kontinuierlich verbessert und ist strategisch auf die Geschäftsziele abgestimmt. Eine Organisation betrachtet Schwachstellen nicht nur als technische Mängel, sondern bewertet sie im Kontext von Geschäftsrisiken, der Kritikalität von Systemen, der Bedrohungslage, den betrieblichen Auswirkungen und der Sicherheitsstrategie.

Kontinuierliche Verbesserung ist auf dieser Ebene fest in die Programme integriert. Metriken, Daten zur Behebung, wiederkehrende Schwachstellenmuster, die Behandlung von Ausnahmen sowie Risikobewertungen werden genutzt, um den Schwachstellenmanagement-Prozess im Laufe der Zeit zu verfeinern. Das Schwachstellenmanagement wird Teil einer umfassenderen Sicherheits-Governance und Risikomanagement-Fähigkeit.

Die Grenzen eines optimierten / strategischen Sicherheitsprogramms

Auf dieser Reifegradstufe gibt es in der Regel keine größeren strukturellen Lücken. Das Programm ist stabil, integriert, gesteuert und strategisch ausgerichtet. Verbleibende Einschränkungen werden eher als Optimierungsmöglichkeiten denn als grundlegende Schwächen betrachtet.

Häufige Optimierungsbereiche können sein:

  • Verfeinerung von Risikomodellen
  • Verbesserung der Automatisierungsgenauigkeit
  • Stärkung des geschäftlichen Kontexts
  • Verringerung von Reibungsverlusten bei der Behebung
  • Verbesserung der prädiktiven und trendbasierten Analyse

Zusammenfassung

Bei der Reife des Schwachstellenmanagements geht es um weit mehr als nur darum, ob eine Organisation über ein Scan-Tool verfügt und wie oft Scans durchgeführt werden. Während Organisationen von der Ad-hoc-Reife zu einem optimierten / strategischen Schwachstellenmanagement-Programm entwickeln, wandelt sich der Prozess von einem technischen zu einer strategischen Sicherheitskompetenz.

Im Kern wird die Reife des Schwachstellenmanagements dadurch definiert, wie konsequent eine Organisation Schwachstellen identifizieren, diese anhand des Risikos priorisieren, Verantwortlichkeiten zuweisen, die Behebung nachverfolgen, die Leistung messen und den Prozess im Laufe der Zeit verbessern kann. Ein unreifes Programm bietet gelegentliche Transparenz, kann jedoch nicht zuverlässig garantieren, dass das Risiko auf ein akzeptables Niveau reduziert wird. Ein hoch ausgereiftes Programm verbindet Technologie, Prozesse, Organisation und Governance zu einem kontrollierten Lebenszyklus.

Sobald eine Organisation ihren aktuellen Reifegrad versteht, kann sie praktische nächste Schritte planen. Die Abdeckung der Assets wird sich verbessern, Standards und Prozesse werden von den Beteiligten gut verstanden, und klar definierte Verantwortlichkeiten sowie SLAs sorgen für zuverlässige und effektive Ergebnisse. Das Gesamtergebnis ist eine strategische Reduzierung des Geschäftsrisikos.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
26. Juni 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-06-26 09:31:352026-06-29 10:09:17Die 5 Reifegrade im Schwachstellenmanagement
Greenbone AG

Cyber Resilience Act und Open-Source-Software: Was Softwareanbieter und -verwalter wissen müssen

Blog

Der Geltungsbereich des CRA für Open-Source-Software (OSS) war einer der umstrittensten Teile der Verordnung. Die OSS-Community äußerte während des Gesetzgebungsverfahrens berechtigte Bedenken, beispielsweise wie die Herstellerpflichten auf nichtkommerzielle, von Freiwilligen getragene Projekte anzuwenden seien. Die endgültige Verordnung bietet eine Antwort, wobei die Überzeugungskraft dieser Antwort davon abhängt, wen man fragt. Seit März 2026 hat der erste Leitlinienentwurf der Europäischen Kommission (EK) begonnen, die Details zu klären.

Für Unternehmen wie Greenbone, die sowohl ein Open-Source-Projekt (OPENVAS) betreuen als auch darauf aufbauende kommerzielle Produkte verkaufen, ist die Antwort klar: Für den kommerziellen Bereich gelten die vollständigen Herstellerpflichten, während für die Aktivitäten der Open-Source-Community die Pflichten des Projektbetreibers gelten. Es ist wichtig zu wissen, wo diese Grenzen verlaufen.

CVE-2025-20393-cisco-spam-filter

Open Source & CRA

Der dreistufige Ansatz des CRA für Open-Source-Software

Stufe 1: Nichtkommerzielle Open-Source-Projekte und ihre Mitwirkenden (außerhalb des Geltungsbereichs)

Freie und Open-Source-Software (FOSS), die in einem rein nichtkommerziellen Kontext entwickelt und verbreitet wird (d. h. Freiwillige, die Software erstellen und frei weitergeben, ohne kommerzielle Absicht oder Unterstützungsmodell), begründet keine CRA-Verpflichtungen für ihren Urheber oder Vertreiber. Nur FOSS, die im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird, fällt in den Geltungsbereich, und der Leitlinienentwurf der Europäischen Kommission bestätigt, dass die bloße Bereitstellung von nicht monetarisierter FOSS keine kommerzielle Tätigkeit darstellt.

Allerdings ist der Begriff „nichtkommerziell“ möglicherweise immer noch enger definiert, als viele Projekte annehmen. Das Annehmen von Spenden macht ein Projekt nicht automatisch zu einer kommerziellen Aktivität. In Erwägungsgrund 15 der Verordnung (EU) 2024/2847 heißt es jedoch, dass „das Annehmen von Spenden, die die mit der Konzeption, Entwicklung und Bereitstellung verbundenen Kosten übersteigen“, eine kommerzielle Tätigkeit darstellt. Der Leitlinienentwurf der Europäischen Kommission zum CRA und Erwägungsgrund 18 der Verordnung (EU) 2024/2847 legen zudem fest, dass der CRA nicht für Einzelpersonen oder Unternehmen gilt, die lediglich Quellcode zu FOSS-Projekten beitragen, für die sie nicht verantwortlich sind.

Stufe 2: Open-Source-Software-Stewards (geringere Verpflichtungen)

Der CRA führt die rechtliche Definition eines „Open-Source-Software-Stewards“ ein: eine juristische Person, die die Entwicklung von Open-Source-Produkten, die für kommerzielle Tätigkeiten bestimmt sind, nachhaltig und systematisch unterstützt oder die Lebensfähigkeit dieser Produkte sicherstellt. Dies umfasst Software-Stiftungen,

Industriekonsortien und Unternehmen, die OSS-Projekte pflegen und unterstützen, die von anderen kommerziell genutzt werden. Eine natürliche Person gilt gemäß Artikel 3 Absatz 14 der Verordnung (EU) 2024/2847 nicht als OSS-Verwalter.

Verwalter unterliegen nicht denselben Verpflichtungen wie Hersteller. Ihre Verpflichtungen sind geringer als die vollständigen Anforderungen an Hersteller: keine CE-Kennzeichnung, keine formelle Konformitätsbewertung, keine Aufbewahrungspflicht für technische Unterlagen. Gemäß Artikel 24 der Verordnung (EU) 2024/2847 müssen Open-Source-Software-Verwalter jedoch weiterhin:

  • eine Cybersicherheitsrichtlinie aufrechterhalten, die die sichere Entwicklung der von ihnen unterstützten OSS-Produkte fördert
  • mit den Marktüberwachungsbehörden zusammenarbeiten und Sicherheitsdokumentation auf Anfrage zur Verfügung stellen
  • ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden, die das Netzwerk und die Informationssysteme betreffen, die für die Entwicklung ihrer OSS-Produkte bereitgestellt werden
  • Schwachstellen wirksam beheben und sicherstellen, dass sie den Nutzern ohne unangemessene Verzögerung zugänglich sind
  • eine Richtlinie festlegen, die die freiwillige Meldung von Schwachstellen durch die Entwickler des Softwareprodukts fördert

Stewards sind zudem gemäß Artikel 64 Absatz 10 von Bußgeldern für Verstöße gegen den CRA befreit. Die Durchsetzung erfolgt durch Zusammenarbeit und Abhilfemaßnahmen statt durch finanzielle Sanktionen.

Stufe 3: Kommerzielle OSS-Anbieter (vollständige Herstellerpflichten)

Wenn eine natürliche Person oder eine juristische Person (z. B. ein Unternehmen oder eine andere Art von Organisation) OSS entwickelt und vertreibt und diese im Rahmen einer gewerblichen Tätigkeit auf dem EU-Markt in Verkehr bringt, gilt sie gemäß des CRA als Hersteller. Der Schwellenwert des CRA für „gewerbliche Tätigkeit“ ist weit gefasst. Es geht nicht nur um den Verkauf einer Lizenz. Auch die Bereitstellung von kostenpflichtigem Support, SLA-gestütztem Hosting oder professionellen Dienstleistungen rund um ein OSS-Produkt stellt gemäß des CRA eine gewerbliche Tätigkeit dar. Für Hersteller gelten alle Anforderungen aus Anhang I: „Secure-by-Default“-Design, Umgang mit Sicherheitslücken, 24-Stunden-Meldung von Vorfällen, SBOM, technische Dokumentation und CE-Kennzeichnung.

Hersteller bleiben für den Umgang mit Sicherheitslücken in ihren eigenen Produkten verantwortlich, einschließlich solcher, die durch integrierte OSS-Komponenten von Drittanbietern verursacht werden. (EU) 2024/2847, Artikel 13 legt fest, dass Hersteller bei der Integration von Komponenten von Drittanbietern gebotene Sorgfalt walten lassen müssen. Bei Feststellung einer Sicherheitslücke in einer integrierten Komponente, einschließlich einer FOSS-/OSS-Komponente, müssen sie die Sicherheitslücke der Person oder Stelle melden, die diese Komponente herstellt oder wartet, und die Sicherheitslücke unverzüglich gemäß (EU) 2024/2847 Anhang I, Teil II beheben.

Der Cyber Resilience Act fordert regelmäßige Schwachstellenanalysen und externe Audits – kontinuierlich und nachhaltig.

OPENVAS SECURITY INTELLIGENCE unterstützt Sie bei der CRA-Compliance – on premises oder in der Cloud. Kontaktieren Sie uns und erfahren Sie mehr.

➜ CRA-Compliance gemeinsam erreichen

Der Leitlinienentwurf der Europäischen Kommission vom März 2026: Was wir derzeit wissen

Die Frist für öffentliche Stellungnahmen zum Leitlinienentwurf der Europäischen Kommission vom März 2026 endete am 31. März 2026. Einige Grenzfälle bleiben weiterhin unklar, obwohl die endgültigen Leitlinien noch im Laufe des Jahres 2026 erwartet werden. Unternehmen sollten alle auf dem Entwurf basierenden Schlussfolgerungen zum Anwendungsbereich überprüfen, sobald die endgültige Fassung veröffentlicht ist. In ihrem Leitlinienentwurf vom März 2026 zur Anwendung des CRA liefert die Europäische Kommission einige Klarstellungen zur Definition des Begriffs „gewerbliche Tätigkeit“ und geht auf weitere wichtige Fragen zum Anwendungsbereich ein.

Zu den wichtigsten Klarstellungen gehören:


  • Ein Produkt kann kostenlos und Open-Source sein und dennoch als „auf dem Markt bereitgestellt“ gelten, wenn es auch als Teil einer kommerziellen Dienstleistung oder eines monetarisierten Supportmodells angeboten wird
  • Das bloße Vorhandensein öffentlich zugänglichen Codes, beispielsweise in einem GitHub-Repository, stellt noch kein Inverkehrbringen dar; erst eine kommerzielle Beziehung begründet eine Verantwortung
  • Bei Dual-Lizenz-Modellen (kostenlose OSS-Edition + kommerzielle Enterprise-Edition) fällt die kommerzielle Edition eindeutig in den Geltungsbereich des CRA; der Status der kostenlosen Edition hängt zudem von ihrer Verbindung zu einer kommerziellen Tätigkeit ab
  • Die Verantwortung folgt der Governance: Wer ein Projekt veröffentlicht und effektiv kontrolliert, trägt die Verpflichtungen, nicht derjenige, der Änderungen am Quellcode der Software technisch bereitstellt
  • Die Herstellerverantwortung erstreckt sich auch über den ursprünglichen Entwickler hinaus auf Unternehmen, die OSS-Komponenten in Produkte integrieren oder unter eigenem Markennamen vertreiben, die auf dem EU-Markt in Verkehr gebracht werden

Meldungen im September: Die Uhr tickt

Die erste verbindliche CRA-Frist gilt für alle Produkte mit digitalen Elementen, einschließlich OSS. Ab dem 11. September 2026 müssen Hersteller und Verwalter aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden, die die Sicherheit der digitalen Produkte beeinträchtigen könnten, für die sie verantwortlich sind.

Die Meldefristen sind knapp bemessen: Eine Frühwarnung muss innerhalb von 24 Stunden nach Bekanntwerden erfolgen, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen bei ausgenutzten Schwachstellen bzw. innerhalb eines Monats bei schwerwiegenden Vorfällen. Die Meldungen werden über die Single Reporting Platform (SRP) der ENISA eingereicht; Anweisungen zur Einbindung und ein Meldehandbuch werden von der ENISA voraussichtlich im Juni 2026 veröffentlicht.

Was das für Greenbone bedeutet

Greenbone ist auf zwei Ebenen tätig: als Hersteller digitaler Produkte und als Open-Source-Software-Steward. Wie oben erläutert, erlegt der CRA für beide Rollen unterschiedliche Verpflichtungen auf. Als Hersteller ist Greenbone für die kommerzialisierten OPENVAS-IT-Sicherheitsprodukte für Unternehmen verantwortlich, und als Steward übernehmen wir die Verantwortung für unsere FOSS-Community-Projekte.

Greenbone kommt seinen Verpflichtungen als Hersteller durch eine breite Palette von IT-Sicherheitsrichtlinien, Kontrollmaßnahmen und Notfallplänen nach. Dazu gehören ein kontinuierliches Schwachstellenmanagement, eine DSGVO-konforme Architektur, dokumentierte Sicherheitsverfahren sowie weitere bewährte Praktiken im Bereich der IT-Sicherheit. Als aktiv nach ISO/IEC 27001:2022 und ISO 9001:2015 zertifiziertes Unternehmen hat sich Greenbone den strengsten Qualitätsstandards für Informationssicherheit verschrieben. Als OSS-Steward ist Greenbone darauf vorbereitet, die CRA-Anforderungen für unsere OPENVAS-Community-Softwareprojekte zu erfüllen.

Schließlich nutzen die Kunden von Greenbone – als Anbieter digitaler Produkte speziell für die Cybersicherheit – unsere OPENVAS-Produktreihe für IT-Sicherheit, um ihre eigenen CRA-Verpflichtungen zu erfüllen. Das bedeutet, dass wir nicht nur für die Erfüllung unserer eigenen CRA-Verpflichtungen verantwortlich sind, sondern auch dafür, die technischen Anforderungen zu verstehen, die andere Organisationen erfüllen müssen, um konform zu bleiben. Diese Doppelrolle als Hersteller digitaler Produkte und als Anbieter von Cybersicherheitsprodukten, die anderen Organisationen dabei helfen, die CRA-Konformität zu erreichen, verschafft Greenbone einen klaren Vorteil: Wir können uns in der Regulierung zurechtfinden und gleichzeitig globale Hersteller digitaler Produkte umfassend dabei unterstützen, dasselbe zu tun.

Sind Sie bereit für den Cyber Resilience Act?

CRA-konforme Schwachstellenanalysen und Audits – OPENVAS SECURITY INTELLIGENCE begleitet Sie on premises oder in der Cloud auf dem Weg zur Compliance.

➜ Jetzt Beratung anfragen

Empfehlungen für Softwareanbieter, die mit Open Source arbeiten

  1. Erfassen Sie Ihre OSS-Nutzung. Jede Open-Source-Komponente in Ihren Produkten muss identifiziert, dokumentiert und nachverfolgt werden. Dies bildet die Grundlage Ihrer SBOM und wird von der CRA unabhängig vom eigenen Compliance-Status der Komponente verlangt.
  2. Überprüfen Sie Ihre Geschäftsbeziehungen. Wenn Sie OSS in irgendeiner Weise monetarisieren, beispielsweise durch kostenpflichtigen Support, SaaS-Bereitstellung oder professionelle Dienstleistungen, sollten Sie rechtlichen Rat einholen, ob die vollständigen Herstellerpflichten gelten. Der Monetarisierungstest im Leitlinienentwurf ist der richtige Ausgangspunkt.
  3. Bereiten Sie sich jetzt auf die Berichterstattung im September vor. Richten Sie einen internen Prozess ein, der eine Frühwarnung innerhalb von 24 Stunden auslösen kann, und achten Sie auf die Anweisungen der ENISA zur Einbindung in das SRP (voraussichtlich im Juni 2026).
  4. Tauschen Sie sich mit der Community aus. Die ORC-Arbeitsgruppe unterhält eine CRA-FAQ und eine Ressourcenplattform für OSS-Verwalter und -Hersteller (cra.orcwg.org und den CRA-Hub auf GitHub). Auch die OpenSSF verfolgt die Entwicklungen im Bereich der CRA-Richtlinien.
  5. Verfolgen Sie die endgültigen Leitlinien der Europäischen Kommission. Die Frist für Rückmeldungen endete am 31. März 2026. Wenn die Kommission die endgültige Fassung veröffentlicht, überprüfen Sie alle auf dem Entwurf basierenden Schlussfolgerungen zum Geltungsbereich erneut.

Lesen Sie den vollständigen Leitfaden: Der umfassende Leitfaden zum EU-Cyber-Resilience-Gesetz – alle Anforderungen, Fristen und Sanktionen auf einen Blick.

1. Quellen Europäische Kommission – Cyber Resilience Act (Verordnung (EU) 2024/2847), Amtsblatt
 https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
2. Europäische Kommission – Seite zu CRA und Open-Source-Software-Politik
https://digital-strategy.ec.europa.eu/en/policies/cra-open-source
3. Europäische Kommission – Ankündigung des Leitlinienentwurfs (3. März 2026)
https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act
4. Europäische Kommission – CRA-Meldepflichten
https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
5. ENISA – Einheitliche Meldeplattform (SRP)
https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp
6. ORC-Arbeitsgruppe der Eclipse Foundation — orcwg.org
https://orcwg.org/
7. ORC-Arbeitsgruppe – CRA Hub (FAQ und Ressourcen zur Implementierung)
https://github.com/orcwg/cra-hub
8. ORC-Arbeitsgruppe – Whitepaper: Open-Source-Software-Stewards und der CRA
https://orcwg.org/cra/resources/d3-5-white-paper-on-open-source-software-stewards-and-cra/
9. OpenSSF – Seite zu den politischen Leitlinien des EU-Gesetzes zur Cyber-Resilienz
https://openssf.org/public-policy/eu-cyber-resilience-act/
10. OpenSSF – CRA-Tracker der Global Cyber Policy Working Group
https://policy.openssf.org/CRA/

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
18. Juni 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-06-18 17:01:352026-06-18 17:01:35Cyber Resilience Act und Open-Source-Software: Was Softwareanbieter und -verwalter wissen müssen
Joseph Lee

Mai 2026 Threat Report: Verstärkte Systemüberprüfung und Patching

Blog

Die Ausnutzung von Schwachstellen hat sich mittlerweile als häufigste Methode etabliert, mit der Angreifer sich zunächst Zugang zur Umgebung eines Unternehmens verschaffen. Das zeigt, wie wichtig es nach wie vor ist, die Grundlagen richtig zu machen.

— Verizon Data Breach Investigations Report 2026

CVE-2025-20393-cisco-spam-filter

Mehr CVEs, mehr Druck

Die Industrialisierung der Schwachstellenausnutzung ist nicht neu; der prozessgesteuerte Ansatz zur Instrumentalisierung von Schwachstellen existiert seit Langem, lange vor LLMs. Doch ausgefeilte Cybersicherheitsfähigkeiten stehen heute fast jedem zur Verfügung, der einen Laptop hat. Anthropic hat inzwischen den ersten offiziellen Wirkungsbericht zu Mythos veröffentlicht [1][2]. Die Ergebnisse deuten darauf hin, dass die Auswirkungen für Softwareanbieter und Verteidiger spürbar sein werden, auch wenn Perfektion noch unerreicht bleibt.

Im April und Mai 2026 bestätigten große Softwareanbieter [3][4][5], Anbieter von Sicherheitsinformationen [6][7][8] und Cybersicherheits-Nachrichtenportale [9] die Auswirkungen von Mythos auf die Offenlegung von Schwachstellen. Sicherheitsforscher von Mozilla schrieben, es sei „kaum zu überschätzen, wie sehr sich diese Dynamik für uns innerhalb weniger Monate verändert hat“. Cisco wies auf den Mangel an nachgelagerter Unterstützung für die Offenlegung der bevorstehenden Flut neuer Probleme hin. In Kombination mit dem einleitenden DBIR-Zitat ist die Schlussfolgerung klar: Sicherheitsverantwortliche müssen stärker auf kontinuierliches Schwachstellenmanagement und Patch-Performance setzen, um kritische Risiken zu reduzieren.

Cisco veröffentlicht zwei CVSS-10-Schwachstellen – Catalyst SD-WAN wird aktiv ausgenutzt

Im Mai 2026 wurden zwei neue Schwachstellen mit maximalem Schweregrad für Cisco-Produkte bekannt. CVE-2026-20182 in Cisco Catalyst SD-WAN wird aktiv ausgenutzt; die CISA hat die Schwachstelle in ihre KEV-Liste aufgenommen und die Leitlinien zu Angriffen auf Catalyst SD-WAN aktualisiert. Sechs weitere CVEs in Catalyst SD-WAN wurden 2026 ebenfalls in die CISA-KEV-Liste aufgenommen. Die zweite neue Schwachstelle mit maximalem Schweregrad aus dem Mai 2026 ist CVE-2026-20223 in Cisco Secure Workload.

Für CVE-2026-20182 wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18]; für CVE-2026-20223 ebenfalls [1][2][3][4][5][6][7][8][9][10][11]. Details:

  • CVE-2026-20182 (CVSS 10, EPSS >= 99. Perzentil): Eine Schwachstelle in der Peering-Authentifizierung des Cisco Catalyst SD-WAN Controllers und Managers ermöglicht einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen (CWE-287) und sich als interner Administrator anzumelden. Mit dem gekaperten Konto kann ein Angreifer auf NETCONF zugreifen und SD-WAN-Fabric Netzwerkkonfigurationen Ausnutzung ist über HTTP-Anfragen möglich. Weitere Informationen in der offiziellen Sicherheitsmitteilung von Cisco.
  • CVE-2026-20223 (CVSS 10): Fehlende Authentifizierung (CWE-306) in den REST-APIs von Cisco Secure Workload ermöglicht einem nicht authentifizierten Angreifer aus der Ferne, mit Site-Admin-Rechten auf Site-Ressourcen zuzugreifen. Angreifer können manipulierte HTTP-API-Anfragen nutzen, um sensible Informationen auszulesen und Konfigurationsänderungen über Mandantengrenzen hinweg vorzunehmen. Weitere Informationen im offiziellen Advisory von Cisco.

Cisco gibt an, dass es für keine der beiden Schwachstellen Workarounds gibt. Zur vollständigen Behebung müssen Patches installiert werden. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung von CVE-2026-20182 und CVE-2026-20223 sowie die Erkennung weiterer CVEs für Cisco-Produkte, die im Mai 2026 veröffentlicht wurden.

Trend Micro Apex One: Schwachstelle von Februar 2026 wird aktiv ausgenutzt

CVE-2026-34926, das Trend Micro Apex One 2019 betrifft, wird als aktiv ausgenutzt gemeldet und wurde in die KEV-Liste der CISA aufgenommen. Trend Micro veröffentlichte im Februar 2026 einen kritischen Patch KA-0022458 für diese CVE sowie für zwei weitere kritische Schwachstellen. Der Patch verbesserte auch den Schutz vor CVE-2025-54948 (CVSS 9,8) [1] und CVE-2025-54987 (CVSS 9,8) [2], die beide Mitte 2025 in die CISA-KEV-Liste aufgenommen wurden. Am 3. März 2026 veröffentlichte der Anbieter Updates für CVE-2025-71210 (CVSS 9,8) und CVE-2025-71211 (CVSS 9,8) [3][4], die nicht authentifizierten Angreifern aus der Ferne beliebige Codeausführung auf betroffenen Installationen ermöglichen.

Die aktiv ausgenutzte CVE-2026-34926 (CVSS 6,7) ist eine Verzeichnisüberquerungsschwachstelle (CWE-23) im Apex One 2019 On-Premise-Server und in Server- und Agent-Builds unter 17079, in Apex One as a Service (SaaS) sowie in Trend Vision One Endpoint für Windows. Die Schwachstelle erlaubt einem Angreifer, eine Schlüsseltabelle auf dem Server zu ändern, bösartigen Code einzuschleusen und auf Agenten zu verteilen. Voraussetzung ist Windows-Administratorzugriff auf den Apex One-Server; eine Authentifizierung bei Apex One selbst ist nicht erforderlich.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält regelmäßige Windows-Erkennungen für Trend Micro-Sicherheitshinweise sowie zusätzliche Erkennungen für KA-0022458-CVEs, die am Tag nach ihrer Veröffentlichung im Februar 2026 verfügbar waren.

Living on the Edge: Neue Bedrohungen für IT-Peripheriegeräte

Laut dem Verizon DBIR 2026 ist die Ausnutzung von Schwachstellen die häufigste Methode, mit der Angreifer sich ersten Zugriff auf die Umgebung eines Unternehmens verschaffen. Das verdeutlicht, wie wichtig es ist, anfällige Software zu erkennen und Patches zu installieren. Die folgenden hochriskanten Bedrohungen für IT-Peripheriesysteme wurden im Mai 2026 bekannt.

Palo Alto Networks PAN-OS aktiv ausgenutzt

CVE-2026-0300 (CVSS 9,8, EPSS >= 95. Perzentil) ist eine Pufferüberlauf-Schwachstelle (CWE-787) im User-ID-Authentifizierungsportal (auch bekannt als Captive Portal) der PAN-OS-Software von Palo Alto Networks. Die Schwachstelle wird aktiv ausgenutzt und wurde in die KEV-Liste der CISA aufgenommen. Betroffen sind PAN-OS-Versionen 10.2 bis 12.1.x, darunter Firewalls der PA-Serie und VM-Serie.

Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, beliebigen Code mit Root-Rechten auf betroffenen Geräten auszuführen. Das Risiko lässt sich erheblich reduzieren, wenn der Zugriff auf vertrauenswürdige interne IP-Adressen beschränkt wird. Zahlreiche nationale CERT-Behörden haben Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18]. CISA und Siemens haben zudem Warnungen für Siemens RUGGEDCOM APE1808-Geräte herausgegeben, die durch CVE-2026-0300 gefährdet sind [19][20].

Eine weitere Schwachstelle, CVE-2026-0257 (CVSS 7,8) in PAN-OS GlobalProtect, wurde nach beobachteten Ausnutzungsversuchen ebenfalls in die KEV-Liste der CISA aufgenommen. Palo Alto hat die CVE mit der höchsten Dringlichkeitsstufe bewertet. CVE-2026-0257 betrifft GlobalProtect-Portal und -Gateway und kann einem nicht authentifizierten Angreifer ermöglichen, Sicherheitsbeschränkungen zu umgehen und eine unbefugte VPN-Verbindung herzustellen.

Der OPENVAS ENTERPRISE FEED umfasst Erkennung auf Paketebene für CVE-2026-0300 [21][22] sowie eine umfangreiche Reihe von Schwachstellentests für PAN-OS.

Ivanti EPMM: Drei kritische Schwachstellen, eine davon aktiv ausgenutzt

Ivanti veröffentlichte im Mai 2026 einen Sicherheitshinweis zu neuen CVEs in Endpoint Manager Mobile (EPMM). Drei kritische Schwachstellen erlauben nicht authentifizierten Angreifern aus der Ferne, beliebige Funktionen auf der EPMM-Appliance auszulösen, sich als registrierte Sentry-Hosts auszugeben, gültige CA-signierte Client-Zertifikate zu erlangen oder ein Gerät aus einer eingeschränkten Gruppe nicht registrierter Geräte anzumelden. Die CISA hat eine separate Schwachstelle mit hohem Schweregrad, CVE-2026-6973, in ihre KEV-Liste aufgenommen. Die wichtigsten CVEs:

  • CVE-2026-6973 (CVSS 7,2, EPSS >= 91. Perzentil): Unsachgemäße Eingabevalidierung (CWE-20) erlaubt einem authentifizierten Remote-Benutzer mit Administratorrechten Remote-Code-Ausführung (RCE). CISA hat diese CVE in die KEV-Liste aufgenommen.
  • CVE-2026-5788 (CVSS 9,8): Unsachgemäße Zugriffskontrolle (CWE-284) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, beliebige Methoden aufzurufen.
  • CVE-2026-5787 (CVSS 9,1): Unsachgemäße Zertifikatsvalidierung (CWE-295) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, sich als registrierte Sentry-Hosts auszugeben und gültige CA-signierte Client-Zertifikate zu erhalten.
  • CVE-2026-7821 (CVSS 9,1): Unsachgemäße Zertifikatsvalidierung (CWE-295) erlaubt einem nicht authentifizierten Angreifer aus der Ferne, ein Gerät aus einer eingeschränkten Gruppe nicht registrierter Geräte anzumelden. Eine Ausnutzung kann zur Offenlegung von Informationen über eine EPMM-Appliance führen und die Integrität des neu angemeldeten Geräts beeinträchtigen.

Betroffen sind EPMM-Versionen vor 12.6.1.1, 12.7.0.1 und 12.8.0.1. Für keine der CVEs sind technische Details oder PoC-Exploits öffentlich verfügbar. Ivanti EPMM wurde in den letzten Jahren mehrfach angegriffen und erscheint achtmal auf der CISA-KEV-Liste, zweimal im Zusammenhang mit Ransomware-Angriffen. Greenbone bietet umfassende Schwachstellenerkennung für Ivanti-Produkte.

Mehrere Fortinet-Produkte von kritischen Schwachstellen betroffen

Fortinet veröffentlichte im Mai 2026 mehrere Sicherheitshinweise zu FortiSandbox, FortiOS, FortiAP, FortiAnalyzer, FortiManager und FortiAuthenticator. Darunter sind zwei kritische Schwachstellen: CVE-2026-26083 in FortiSandbox und CVE-2026-44277 in FortiAuthenticator. Beide sind aus der Ferne ausnutzbar und können nicht autorisierten Code oder Befehle ausführen. Es gibt keine Hinweise auf aktive Ausnutzung oder öffentlich verfügbare PoC-Exploits.

  • CVE-2026-26083 (CVSS 9,8): Fehlende Autorisierung (CWE-862) in der FortiSandbox-GUI erlaubt einem nicht authentifizierten Angreifer aus der Ferne RCE über manipulierte HTTP-Anfragen. Betroffen sind FortiSandbox 5.0 und 4.4, FortiSandbox Cloud 24, 23 und 5.0 sowie FortiSandbox PaaS in mehreren Versionen. Nationale CERT-Warnungen [1][2][3][4][5][6][7][8][9].
  • CVE-2026-44277 (CVSS 9,8): Unsachgemäße Zugriffskontrolle (CWE-284) in FortiAuthenticator erlaubt einem nicht authentifizierten Angreifer, über manipulierte Anfragen nicht autorisierten Code oder Befehle auszuführen. FortiAuthenticator Cloud ist nicht betroffen. Betroffen sind FortiAuthenticator 8.0.2, 8.0.0, 6.6.0 bis 6.6.8 sowie 6.5.0 bis 6.5.6. Nationale CERT-Warnungen [10][11][12][13][14][15][16][17].

Betroffene Organisationen sollten die Patches so schnell wie möglich installieren. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung beider Schwachstellen [18][19] sowie eine dedizierte Erkennungsfamilie für Fortinet-Schwachstellen.

Neue SQL-Injection in Drupal Core mit PostgreSQL wird aktiv ausgenutzt

CVE-2026-9082 (CVSS 9,8) ist eine aktiv ausgenutzte [1][2][3] nicht authentifizierte SQL-Injection-Schwachstelle (CWE-89) in Drupal. Eine Ausnutzung kann über bösartige HTTP-Anfragen zu Rechteausweitung und RCE auf einem betroffenen Server führen. Drupal gibt in der offiziellen Sicherheitsmitteilung an, dass CVE-2026-9082 ausschließlich Instanzen mit PostgreSQL-Backend betrifft. Der Anbieter schätzt, dass rund 5 % der Installationen PostgreSQL nutzen.

Für CVE-2026-9082 ist eine vollständige technische Beschreibung mit PoC-Exploit-Code und mindestens einem weiteren PoC öffentlich verfügbar, was das Risiko erhöht. Mehrere nationale CERT-Behörden haben Warnungen herausgegeben [4][5][6][7][8][9][10][11][12][13]. Betroffen sind Drupal-Core-Versionen 8.x bis 11.3.x; Korrekturen sind in den Versionen 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10 sowie über manuelle Patches für Drupal 9.5 und 8.9 verfügbar. Der OPENVAS ENTERPRISE FEED umfasst Erkennung für Windows- und Linux-Installationen.

vm2-Projekt: Kritische Sicherheitslücken

Im Mai 2026 wurden dreizehn kritische Schwachstellen bekannt, die das vm2-Projekt betreffen. vm2 ist eine Node.js-Sandboxing-Bibliothek zum Ausführen von nicht vertrauenswürdigem JavaScript in einer isolierten Umgebung. Die betroffenen CVEs enthalten mehrere mit maximalem Schweregrad (CVSS 10). Alle Schwachstellen greifen das zentrale Sicherheitsversprechen von vm2 an: die Isolierung von nicht vertrauenswürdigem JavaScript von der zugrunde liegenden Node.js-Hostumgebung. Eine erfolgreiche Ausnutzung kann zu einem Sandbox-Ausbruch und beliebiger Code- oder Betriebssystembefehlsausführung im Kontext des Hostprozesses führen.

Die betroffenen vm2-Versionen variieren je nach CVE. Frühere Probleme wurden in den Versionen 3.10.5, 3.11.0, 3.11.1 oder 3.11.2 behoben; spätere CVEs betreffen bis einschließlich 3.11.3 und wurden in 3.11.4 gepatcht. Nutzer sollten auf 3.11.5 oder höher aktualisieren. Der OPENVAS ENTERPRISE FEED umfasst Erkennung auf Paketebene für alle neuen vm2-CVEs.

Mehrere kritische Schwachstellen in Apache-Softwareprodukten

Im Mai 2026 veröffentlichte die Apache Software Foundation 18 kritische CVEs und 28 weitere Schwachstellen mit hohem Schweregrad. Der OPENVAS ENTERPRISE FEED von Greenbone umfasst die Erkennung aller in diesem Abschnitt genannten Apache-Schwachstellen und vieler weiterer.

Kritische und weitere Schwachstellen mit hohem Schweregrad im Apache HTTP Server

CVE-2026-28780 (CVSS 9,8) und CVE-2026-23918 (CVSS 8,8, EPSS >= 0,77. Perzentil) betreffen den Apache HTTP Server 2.4.66 und frühere Versionen. Beide CVEs sind Speichersicherheitsprobleme.

CVE-2026-28780 ist ein heap-basierter Pufferüberlauf (CWE-122) in mod_proxy_ajp. Für eine Ausnutzung muss der Apache-HTTP-Server über mod_proxy_ajp eine Verbindung zu einem bösartigen AJP-Server herstellen.

CVE-2026-23918 ist eine Double-Free-Schwachstelle (CWE-415) in der HTTP/2-Implementierung. Ruft ein Programm die Funktion free() zweimal mit demselben Argument auf, können Datenstrukturen beschädigt werden, was unerwartete Speicherzugriffe ermöglichen kann. Die Schwachstelle kann während eines frühen Stream-Resets ausgelöst werden und einen Denial-of-Service verursachen; je nach Laufzeitbedingungen ist auch RCE möglich. Apache empfiehlt ein Upgrade auf Apache HTTP Server 2.4.67.

Zwei neue kritische Schwachstellen in Apache MINA

CVE-2026-42778 (CVSS 9,8) und CVE-2026-42779 (CVSS 9,8) sind kritische Deserialisierungsschwachstellen in Apache MINA. Sie können betroffene Anwendungen für nicht authentifizierte RCE anfällig machen, wenn diese Apache MINA zur Deserialisierung von Client-seitig bereitgestellten Java-Klassen nutzen. Beide CVEs betreffen die Zweige Apache MINA 2.1.x und 2.2.x und gehen auf unvollständige oder nicht angewendete Korrekturen früherer Deserialisierungsprobleme zurück.

Drei kritische Schwachstellen in Apache OFBiz

CVE-2026-45434 (CVSS 9,8), CVE-2026-41919 (CVSS 9,1) und CVE-2026-31986 (CVSS 9,1) betreffen Apache OFBiz-Versionen vor 24.09.06 und können betroffene ERP-Bereitstellungen je nach Konfiguration und Angriffspfad für Authentifizierungsumgehung, unbefugten Zugriff oder Codeausführung anfällig machen. CVE-2026-45434 ist das größte Risiko: Die Schwachstelle liegt in einer fehlerhaften Authentifizierungslogik bei der Passwortänderung und kann zu nicht authentifizierter RCE führen.

Drei kritische Schwachstellen in Apache Tomcat

CVE-2026-43512 (CVSS 9,8), CVE-2026-41293 (CVSS 9,8) und CVE-2026-43515 (CVSS 9,1) betreffen Apache Tomcat und können je nach Konfiguration zu Authentifizierungsumgehung oder Autorisierungsfehlern führen.

CVE-2026-43512 betrifft Bereitstellungen mit DIGEST-Authentifizierung und erlaubt es unter bestimmten Bedingungen, sich mit einem ungültigen Passwort zu authentifizieren. CVE-2026-41293 entsteht durch fehlerhafte Validierung von HTTP/2-Anfrage-Headern, die unsicheres Downstream-Verhalten auslösen können. CVE-2026-43515 ist eine fehlerhafte Autorisierung bei überlappenden HTTP-Methodenbeschränkungen, die unbefugten Zugriff auf geschützte Ressourcen ermöglichen kann. Nutzer sollten auf Tomcat 11.0.22, 10.1.55 oder 9.0.118 aktualisieren.

Zwei kritische Schwachstellen in Apache Camel

CVE-2026-47323 (CVSS 9,8) ist eine kritische Schwachstelle im Apache Camel-Integrationsframework, die Nachrichten-Header-Injektion und Anfrageweiterleitungen betrifft. Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, Camel-interne Header (z. B. CamelExecCommandExecutable und CamelFileName) über HTTP-Anfragen an CXF-RS- oder CXF-SOAP-Endpunkte einzuschleusen.

Langflow wird aktiv ausgenutzt: fünf weitere kritische Schwachstellen seit Anfang 2026

Langflow ist eine Python-basierte Open-Source-Plattform für Low-Code-Entwicklung und Bereitstellung von KI-Anwendungen, Agenten und Workflows. IBM berichtet, dass Zehntausende von Entwicklern sie für generative KI einsetzen. Im Mai 2026 wurde CVE-2025-34291 (CVSS 8,8) als aktiv ausgenutzt gemeldet und in die KEV-Liste der CISA aufgenommen. Seit Anfang 2026 wurden fünf weitere kritische CVEs in Langflow bekannt:

  • CVE-2025-34291 (CVSS 8,8, EPSS >= 97. Perzentil): Eine verkettete Schwachstelle durch zu freizügiges Cross-Origin-Verhalten (CWE-346) in Kombination mit fehlerhafter Sitzungs-/Token-Verarbeitung kann Kontoübernahme und RCE ermöglichen, wenn ein authentifizierter Benutzer eine vom Angreifer kontrollierte Webseite besucht.
  • CVE-2026-33017 (CVSS 9,8): Nicht authentifizierte RCE über den öffentlichen temporären Flow-Build-Endpunkt. Vom Angreifer bereitgestellte Flow-Daten werden ohne angemessenes Sandboxing als ausführbarer Python-Code verarbeitet.
  • CVE-2026-21445 (CVSS 9,1): Fehlende Authentifizierung (CWE-306) bei bestimmten kritischen API-Endpunkten erlaubt nicht authentifizierten Angreifern den Zugriff auf sensible Benutzerdaten, Konversations- und Transaktionsaufzeichnungen sowie destruktive Operationen wie das Löschen von Nachrichten.
  • CVE-2026-33309 (CVSS 9,9): Umgehung eines früheren Patches zur Dateinamenskontrolle in der LocalStorageService-Schicht ermöglicht beliebiges Dateischreibverhalten (CWE-22) über die v2-API, was potenziell zu RCE führen kann.
  • CVE-2026-27966 (CVSS 9,8): Der CSV-Agent-Knoten legte sensible Python-REPL-Funktionalität offen, durch die Angreifer über Prompt-Injection beliebige Python- oder Betriebssystembefehle ausführen konnten.
  • CVE-2026-42048 (CVSS 9,6): Eine Path-Traversal-Schwachstelle (CWE-22) in der Knowledge Bases API erlaubt einem authentifizierten Angreifer, beliebige Verzeichnisse auf dem Server zu löschen. Unsichere Wissensdatenbanknamen werden ohne Begrenzungsprüfung zu Dateisystempfaden verkettet.

Zusammenfassung

Mythos und andere KI-Coding-Modelle haben erkennbare Auswirkungen auf die Anzahl neu bekannt gewordener Schwachstellen in wichtiger Unternehmenssoftware. Dieselbe Technologie senkt auch die Hürde für Angreifer, Exploits zu entwickeln.

Sicherheitsverantwortliche sollten kontinuierliches Schwachstellenmanagement und Audit-Maßnahmen einsetzen, um das Risiko zu reduzieren. OPENVAS SCAN und der OPENVAS ENTERPRISE FEED bieten branchenführende Schwachstellenabdeckung. Greenbone erstellt monatlich Tausende neuer Schwachstellentests für Unternehmenssoftware, IT-Netzwerkprodukte, Betriebssysteme, Browser, Linux-Pakete, Produktivitätswerkzeuge, agentenbasierte KI-Tools und mehr. Sicherheitsverantwortliche, die Schwachstellen erkennen und Schutzmaßnahmen einleiten möchten, können Greenbones Einstiegsprodukt OPENVAS BASIC kostenlos testen, inklusive einer zweiwöchigen Testversion des ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
10. Juni 2026/von Joseph Lee
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-06-10 10:46:192026-06-10 10:46:19Mai 2026 Threat Report: Verstärkte Systemüberprüfung und Patching
Greenbone AG

Die CRA-Frist im September 2026: Was Hersteller jetzt tun müssen

Blog

Zeitkritisch

Dieser Artikel befasst sich mit dem Meldepflicht-Stichtag am 11. September 2026 — dem ersten verbindlichen Durchsetzungsmeilenstein des Cyber Resilience Act. Stand Anfang Juni 2026 verbleiben Ihnen noch ca. 100 Tage zur Vorbereitung.

Die meisten Unternehmen, die den CRA als ein Problem für 2027 betrachten, hinken bereits hinterher. Laut dem „2026 CRA Awareness and Readiness Report“ von OpenSSF und Linux Foundation Research sind 66 % der befragten Softwarehersteller nach wie vor nicht mit der Verordnung vertraut – und diese Zahl ist im Vergleich zum Vorjahr gestiegen. Der erste Stichtag für die Durchsetzung ist nicht Dezember 2027. Es ist der 11. September 2026, an dem die Meldepflichten für Sicherheitslücken gemäß Artikel 14 rechtsverbindlich werden. Ab diesem Datum sind Sie verpflichtet, eine Frühwarnung über die ENISA Single Reporting Platform einzureichen, wenn eine Sicherheitslücke in Ihrem Produkt aktiv ausgenutzt wird, und zwar innerhalb von 24 Stunden, nachdem Sie davon Kenntnis erlangt haben. Verpassen Sie diese Frist, verstoßen Sie bereits gegen die Vorschriften – mit einem Bußgeld von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Was genau müssen Sie ab September 2026 tun?

Die Meldepflicht wird durch zwei Bedingungen ausgelöst, von denen jede Maßnahmen erfordert:

  • Eine aktiv ausgenutzte Schwachstelle in einem Ihrer betroffenen Produkte, unabhängig vom Schweregrad
  • Ein schwerwiegender Vorfall, der die Sicherheit Ihrer Produkte beeinträchtigt – zum Beispiel eine erhebliche Sicherheitsverletzung oder eine systemische Kompromittierung

Sobald eine der beiden Bedingungen erfüllt ist, beginnt eine dreistufige Meldeprozedur:

Stufe 1 — Frühwarnung: Innerhalb von 24 Stunden

Reichen Sie über die ENISA Single Reporting Platform (SRP) eine Frühwarnung ein, in der Sie bestätigen, dass Ihnen eine aktiv ausgenutzte Schwachstelle bekannt ist. In dieser Phase müssen Sie noch keine vollständigen technischen Details angeben. Der Zweck besteht darin, zu signalisieren, dass Sie sich der Situation bewusst sind und diese im Griff haben. Die SRP leitet den Bericht automatisch gleichzeitig an Ihren nationalen CSIRT-Koordinator und an die ENISA weiter.

Stufe 2 — Vollständige Meldung: Innerhalb von 72 Stunden

Reichen Sie eine vollständige Meldung ein, die technische Details zur Schwachstelle, eine erste Schweregradbewertung (unter Verwendung von CVSS oder einem gleichwertigen System), betroffene Produkte und Versionen sowie alle verfügbaren Abhilfemaßnahmen oder Workarounds enthält. Dieser Bericht muss korrekt und vollständig sein – übereilte oder ungenaue Berichte können zu Strafen der Stufe 3 wegen der Bereitstellung falscher Informationen führen.

Stufe 3 — Abschlussbericht: Innerhalb von 14 Tagen nach Veröffentlichung eines Fixes

Sobald Sie ein Sicherheitsupdate oder eine Abhilfe veröffentlicht haben, reichen Sie innerhalb von 14 Tagen – oder im Falle eines schwerwiegenden Vorfalls innerhalb eines Monats – einen Abschlussbericht bei der ENISA ein. Damit ist der Meldeprozess abgeschlossen; der Bericht muss eine umfassende Beschreibung der Schwachstelle, eine Ursachenanalyse, eine Folgenabschätzung sowie eine vollständige Darstellung der ergriffenen Abhilfemaßnahmen enthalten.

Ein Detail, das die meisten Teams übersehen: Es gilt auch für bestehende Produkte

Die Meldepflichten ab September 2026 gelten nicht nur für Produkte, die nach diesem Datum auf den Markt gebracht werden. Gemäß Artikel 69 Absatz 3 der CRA gelten sie für alle Produkte mit digitalen Elementen, die bereits auf dem EU-Markt sind, einschließlich Produkten, die Jahre vor Inkrafttreten der CRA ausgeliefert wurden. Wenn eine Schwachstelle in einem Produkt, das Sie 2021 veröffentlicht haben, im September 2026 aktiv ausgenutzt wird, sind Sie verpflichtet, dies zu melden. Das überrascht viele Teams: Der Geltungsbereich dieser Verpflichtung umfasst Ihren gesamten aktiven Produktkatalog, nicht nur Ihre nächste Version.

Ein zweites Detail, das es zu beachten gilt: Die 24-Stunden-Frist beginnt bei der begründeten Annahme einer aktiven Ausnutzung, nicht erst bei bestätigten forensischen Beweisen. Wenn Ihre Überwachung glaubwürdige Anzeichen für eine Ausnutzung meldet, können Sie nicht auf Gewissheit warten, bevor Sie die Frühwarnung einreichen. Das Warten auf eine Bestätigung ist der Grund, warum Unternehmen das Zeitfenster verpassen werden.

Warum das schwieriger ist, als es klingt

Die meisten Organisationen verfügen nicht über einen erprobten 24-Stunden-Prozess zur Meldung von Schwachstellen. Um einen solchen aufzubauen, ist Folgendes erforderlich:

  • Kontinuierliche Schwachstellenüberwachung: Was Sie nicht sehen können, können Sie auch nicht melden. Echtzeit-Transparenz über Ihr gesamtes Produktportfolio ist die Grundlage des gesamten Prozesses.
  • Klare interne Eskalationswege: Wer wird zuerst benachrichtigt? Wer ist befugt, einen Bericht an die ENISA zu übermitteln? Wer erstellt die technische Dokumentation? All dies muss festgelegt sein, bevor die Uhr zu ticken beginnt.
  • Genaue Produktbestandsaufnahme: Sie müssen genau wissen, welche Produkte betroffen sind und welche aktuellen Versionen im Einsatz sind, einschließlich End-of-Life-Produkten, die sich noch innerhalb der 5-jährigen obligatorischen Support-Frist befinden.
  • Behördenkontakte: Sie benötigen die richtigen ENISA-Meldewege und die Kontaktdaten Ihres nationalen CSIRT griffbereit.
  • Rechtliche Prüfung: Meldungen an Aufsichtsbehörden haben rechtliche Bedeutung. Ihr Rechtsteam muss in den Eskalationsprozess eingebunden sein.

Nichts davon lässt sich an einem Wochenende aufbauen. Organisationen, die noch keine Schwachstellenmanagementprogramme mit dokumentierten Nachweisen betreiben, werden bis September unter erheblichem operativem Druck stehen, um bereit zu sein.

Ihre Checkliste für die Bereitschaft im September 2026

  • Identifizieren Sie alle betroffenen Produkte und bestätigen Sie deren Supportzeiträume, einschließlich älterer Produkte, die bereits auf dem EU-Markt sind
  • Implementieren oder überprüfen Sie kontinuierliche Schwachstellenscans für alle betroffenen Produkte und deren Komponenten
  • Dokumentieren Sie Ihren internen Eskalationsprozess für vermutete, aktiv ausgenutzte Schwachstellen
  • Legen Sie fest, wer für die Einreichung von ENISA-Meldungen verantwortlich ist (Rechtsabteilung, Sicherheitsabteilung oder ein benannter Datenschutzbeauftragter)
  • Registrieren Sie sich bei Ihrem nationalen CSIRT und bereiten Sie sich auf die Registrierung auf der ENISA Single Reporting Platform (SRP) vor
  • Führen Sie eine Tabletop-Übung durch, die ein 24-Stunden-Meldeszenario simuliert
  • Informieren Sie die Geschäftsleitung über Meldepflichten und Haftungsrisiken
  • Stellen Sie sicher, dass Ihre Schwachstellenmanagement-Tools auditfähige Berichte im erforderlichen Format erstellen können

Weitere Fristen im Blick

September 2026 ist der dringlichste Termin, aber nicht der einzige. Bis zum 30. August 2026 sollen harmonisierte Normen für den Umgang mit Schwachstellen (Typ A/horizontal) und die Produktsicherheit (Typ B) veröffentlicht werden – damit erhalten Hersteller ihre ersten verbindlichen Compliance-Maßstäbe. Die vollständige Produktkonformität für alle Kategorien gilt erst ab dem 11. Dezember 2027, doch Organisationen, die auf die Normen warten, bevor sie mit der Arbeit beginnen, haben nur sehr wenig Zeit für die Umsetzung.

Das bedeutet, dass der Sommer 2026 – mit weniger als 100 Tagen bis zur Meldefrist und der Veröffentlichung der harmonisierten Normen nur zwei Wochen davor – eine Phase intensiver, paralleler Compliance-Aktivitäten sein wird. Jetzt mit dieser Reise zu beginnen, ist nicht zu früh. Es ist der letzte Moment, um zu vermeiden, dass man ohne einen getesteten Prozess dasteht, wenn die Uhr zu ticken beginnt.

→ Den vollständigen Leitfaden lesen

Der vollständige Leitfaden zum EU Cyber Resilience Act — alle Anforderungen, Produktkategorien und der vollständige Zeitplan an einem Ort. Zum Leitfaden →

Quellen

  1. Verordnung (EU) 2024/2847 — Cyber Resilience Act (EUR-Lex, offizieller Gesetzestext)
    https://eur-lex.europa.eu/eli/reg/2024/2847/2024-11-20

  2. 2026 CRA Awareness and Readiness Report — OpenSSF / Linux Foundation Research
    https://openssf.org/blog/2026/05/18/taking-stock-of-the-state-of-european-cyber-resilience-act-cra-compliance-an-urgent-wake-up-call-for-the-open-source-ecosystem/

  3. Cyber Resilience Act – Zusammenfassung des Gesetzestextes (Europäische Kommission)
    https://digital-strategy.ec.europa.eu/en/policies/cra-summary

  4. Cyber Resilience Act — ENISA (Einheitliche Meldeplattform)
    https://www.enisa.europa.eu/topics/cyber-resilience-act
Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
4. Juni 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-06-04 12:36:532026-06-04 12:36:53Die CRA-Frist im September 2026: Was Hersteller jetzt tun müssen
Greenbone AG

Wenn der Schiedsrichter aufhört zu pfeifen

Blog

NIST stellt die unabhängige CVSS-Bewertung weitgehend ein.

Seit Jahren ist das Ritual dasselbe. Eine neue Schwachstelle taucht auf, das Security-Team schaut in die NVD, sieht den CVSS-Score, und entscheidet: patchen oder warten. Ein einziger Wert, produziert von einer US-Bundesbehörde, wird zum Taktgeber für Millionen von Systemen weltweit.
Dieser Taktgeber fällt nun weitgehend weg.
Das NIST hat angekündigt, die routinemäßige CVSS-Berechnung für die National Vulnerability Database einzustellen. Der Rückstau an unbearbeiteten Einträgen ist seit Februar 2024 von 13.000 auf über 27.000 angewachsen bei gleichzeitig steigender Zahl gemeldeter Schwachstellen und stagnierendem Budget. Was bleibt, wenn NIST nicht mehr rechnet: der CVSS-Score des Herstellers selbst.

CVE-2025-20393-cisco-spam-filter

NIST winkt durch

Das strukturelle Problem hinter der Schlagzeile

In der Security-Community ist es kein Geheimnis, dass Hersteller dazu neigen, die Schwere eigener Schwachstellen niedrig zu bewerten. Das NIST hat diesen Interessenkonflikt bisher mit einer unabhängigen Zweitbewertung ausgeglichen. Diese Unabhängigkeit baut sich immer weiter ab.
Für Teams, die bislang mit NVD-CVSS als primärer Prioritätsquelle gearbeitet haben, ist das eine echte Verschiebung. Für Greenbone-Nutzer ändert sich operativ nichts.

Breite internationale Datenbasis statt Single Source of Truth

Greenbones Ansatz basiert auf einer bewussten Quell-Diversität. Schwachstelleninformationen werden aus einem breiten, internationalen Portfolio bezogen wie offiziellen Datenbanken, Hersteller-Advisories in standardisierten Formaten wie CSAF, nationale Behörden wie das BSI, europäische Initiativen wie die EuVD, und darüber hinaus aus der globalen Security-Community. Jede wird eingeordnet, gewichtet und abgeglichen.
Der Vorteil dieser Breite zeigt sich besonders in Momenten wie dem aktuellen: Wenn eine Quelle ausfällt, wegfällt oder an Qualität verliert, verändert sich das Gesamtbild nicht. Die Redundanz ist kein Luxus, sondern Voraussetzung für verlässliche Priorisierung.

Die EuVD: Europäische Souveränität als konstruktive Antwort

Die NIST-Krise macht ein strukturelles Abhängigkeitsproblem sichtbar: Europa hat sich bei der Schwachstellenbewertung zu stark auf eine einzelne US-Behörde verlassen. Die ENISA-betriebene European Vulnerability Database ist die richtige systemische Antwort. Souverän, europäisch, unabhängig von US-Haushaltsentscheidungen.

Erfahren Sie, wie Ihr Unternehmen die Anforderungen des Cyber Resilience Act erfüllt und Ihre Cyberresilienz nachhaltig stärkt.

Mehr erfahren →
Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
3. Juni 2026/von Greenbone AG
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-06-03 13:16:232026-06-03 13:16:23Wenn der Schiedsrichter aufhört zu pfeifen
Seite 1 von 3123

Suche

Search Search

Archiv

  • 2026
  • 2025

Newsletter

Jetzt abonnieren

OPENVAS BASIC

Unser Einstiegsprodukt

14 Tage kostenlos testen

Produkte & Lösungen

  • OPENVAS PRODUKTE
  • OPENVAS SECURITY INTELLIGENCE
  • OPENVAS SCAN
  • OPENVAS BASIC
  • OPENVAS FREE
  • OPENVAS AI
ISO9001-DE

Service & Support

  • Technischer Support
  • FAQ
  • Dokumente
  • Gewährleistung
  • Open-Source-Vulnerability Management
  • Cyber Resilience Act
ISO27001-DE

Über uns

  • Über Greenbone
  • Partner
  • MSSP
  • Lizenzinformation
  • Datenschutzerklärung
  • AGB
ISO14001-DE

Kontakt mit uns

  • Kontakt
  • Pressekontakt
  • Karriere
  • Security Response
  • Impressum
  • Grounding Page

Community

  • Community Portal
  • Community Forum
© Copyright - Greenbone AG 2020-2026
  • Link zu LinkedIn
Nach oben scrollen Nach oben scrollen Nach oben scrollen
Kontakt
IT Schutz anfragen Kontakt aufnehmen Newsletter abonnieren Auf LinkedIn folgen