Trending Topics Cybersicherheit – April 2026

Welche Chancen und Risiken moderne KI-Lösungen für die bestehende IT-Landschaft bedeuten, zeigte sich im April deutlich. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer durch KI beschleunigten Schwachstellensuche und Exploit-Entwicklung warnte, stufte das US-Verteidigungsministerium (Pentagon) Claude bereits als nationales Risiko ein. Um diesem Risiko zu begegnen, hat ein Zusammenschluss von Cybersecurity-Organisationen und erfahrenen CISOs ein Strategiepapier erarbeitet, das Sicherheitsverantwortlichen praxisnahe Maßnahmen für den Umgang mit Zero-Day-Risiken im KI-Zeitalter an die Hand gibt. Indessen gelang es dem Browser-Hersteller Mozilla mithilfe von KI, 271 Schwachstellen in Firefox zu identifizieren und zu beheben.

Parallel hierzu bleibt die allgemeine Cyberbedrohungslage angespannt. Die DDoS-Angriffe auf Mastodon und Bluesky zeigen, dass auch dezentrale Social-Media-Plattformen im Fokus koordinierter Störaktionen stehen – mit massiven Folgen für die Verfügbarkeit der Dienste. Um solchen Angriffen entgegenzuwirken, haben internationale Strafverfolger im Rahmen der Operation PowerOff einmal mehr DDoS-for-hire-Dienste ins Visier genommen und erfolgreich deren Infrastruktur abgeschaltet.

Verfügbarkeit geht über reine Sicherheit hinaus. Um kritische Prozesse stabil zu halten, ist eine souveräne Infrastruktur unverzichtbar. Wie sich eine solche bewerten lässt, hat das BSI in seinem neuen Bewertungsrahmen C3A (Criteria enabling Cloud Computing Autonomy) definiert.  Der Kriterienkatalog orientiert sich am EU Cloud Sovereignty Framework und umfasst sechs Dimensionen zur Messung der Souveränität von Cloud-Angeboten.

Die Top-Themen der IT-Sicherheit im April:

Phishing-Kampagne über Signal trifft deutsche Regierungsmitglieder

Nach Behördenangaben sind mehrere Mitglieder der Bundesregierung über den Messenger Signal ausgespäht worden, Ermittler prüfen einen nachrichtendienstlichen Hintergrund. Die Angreifer verschafften sich Zugang zu Chats nicht durch klassisches Eindringen, sondern über manipulative Phishing-Nachrichten. Der Vorfall verdeutlicht, dass Ende-zu-Ende-Verschlüsselung allein keinen Schutz bietet, wenn Endgeräte durch Herausgabe von Zugangsdaten kompromittiert werden – ein relevantes Risiko für jede Organisation mit sensibler mobiler Kommunikation. 

BSI besorgt: Neues Anthropic-KI-Modell könnte Cyberlandschaft verändern

Das BSI sieht im neuen KI-Modell von Anthropic („Claude Mythos“) erhebliches Missbrauchspotenzial für offensive Cyberoperationen. Behördenvertreter befürchten, dass die Fähigkeiten des Modells die Eintrittsschwelle für komplexe Angriffe deutlich senken und automatisierte Schwachstellensuche sowie Exploit-Entwicklung beschleunigen.

Bundeswehr: Hybride Attacken nehmen weiter zu

Hybride Attacken auf kritische Infrastruktur in Deutschland und Bundeswehr-Truppen im Ausland nehmen weiter zu – spätestens seit 2022 sei ein spürbarer Zuwachs zu verzeichnen, sagte Vizeadmiral Thomas Daum am Rande der NATO-Übung „Locked Shields“ in Kalkar. Als mutmaßliche Hauptverursacher nannte ein Bundeswehrsprecher Russland, China, Iran und Nordkorea.

Deutschland führt europäisches Ranking bei Cyberangriffen an

Laut Google Threat Intelligence erhöhte sich die Zahl der Datenlecks und Cyberangriffe in Deutschland 2025 um 92 Prozent, während der globale Anstieg bei rund 50 Prozent lag – die Steigerungsrate liegt damit dreimal so hoch wie der europäische Durchschnitt. 96 Prozent aller Ransomware-Leaks in Deutschland entfielen auf Organisationen mit weniger als 5.000 Beschäftigten.

Pentagon-Verbot: Anthropic verklagt US-Verteidigungsministerium

Anthropic geht juristisch gegen ein Nutzungsverbot seines KI-Modells Claude im US-Verteidigungsministerium vor. Der Streit dreht sich um Sicherheits- und Vertragsfragen beim Einsatz generativer KI in sensiblen Behördenumgebungen. Der Fall hat Signalwirkung für KI-Governance und Beschaffung im Sicherheitsumfeld.

NIS-2-Umsetzung weit hinter Erwartungen: Fast die Hälfte der Unternehmen kennt Richtlinie nicht

Auf dem 21. BSI-Sicherheitskongress wurde deutlich, dass weit weniger Unternehmen die NIS-2-Vorgaben umsetzen als erwartet. So bleiben die Registrierungszahlen im BSI-Portal weit unterhalb der Erwartungen. Eine BSI-Studie aus Ende 2025 ergab, dass fast die Hälfte der deutschen Unternehmen den Begriff „NIS-2“ noch nicht einmal kannte.

Ryanair: IBAN-Daten und Rechtsakten im Darknet zum Verkauf angeboten

Ein unbekannter Angreifer behauptet in Untergrundforen, Zugang zu internen Systemen von Ryanair erlangt zu haben. Im Fokus stehen Daten aus dem Bereich Fluggast-Entschädigungen und der Rechtsabteilung. Zu den betroffenen Informationen gehören vollständige Namen, Kunden-IDs, IBAN-Nummern und SWIFT-Codes sowie Flugnummern, Reiserouten und Reisedaten.

Cybergruppierung erpresst Medizintechnik-Konzern: Bis zu 9 Mio. Datensätze sollen gestohlen worden sein

Während der Medtronic-Konzern einen unbefugten Zugriff auf Teile seiner Corporate-IT bestätigt hat, beansprucht die Gruppe ShinyHunters die Verantwortung und gibt an, rund 9 Millionen Datensätze mit personenbezogenen Informationen und internen Unternehmensdokumenten entwendet zu haben. Laut Medtronic war nur ein begrenzter Teil des Netzwerks betroffen; die Systeme für Produkte, Fertigung und Krankenhausanbindungen sind davon getrennt.

Frankreichs Ausweisbehörde ANTS gehackt: 11,7 Mio. Datensätze betroffen

Ein Cyberangriff traf die ANTS-Plattform, die Anträge für Reisepässe, Personalausweise, Aufenthaltsgenehmigungen und Führerscheine verwaltet; der Vorfall wurde am 15. April erkannt und das Innenministerium bestätigt eine laufende Untersuchung. Die französische Regierung erklärte, dass die Datenbank rund 11,7 Millionen Datensätze mit Pass-, Personalausweis- und Führerscheindaten umfasst.

10 Petabyte aus chinesischem Supercomputing-Zentrum gestohlen

Ein massiver Cyberangriff auf das Nationale Supercomputing-Zentrum in Tianjin soll zu einem der größten Datenlecks in der Geschichte Chinas geführt haben – über 10 Petabyte an sensiblen Daten, darunter geheime Verteidigungsdokumente und Raketenschemata, wurden gestohlen. Die Hackergruppe „FlamingChina“ hat die Daten bereits auf Darknet-Märkten angeboten.

DDoS-Welle trifft dezentrale Plattformen: Mastodon und Bluesky angegriffen

Innerhalb nur weniger Tage wurden die dezentralen Social-Media-Plattformen Mastodon und Bluesky durch anhaltende DDoS-Angriffe lahmgelegt. Zu den Angriffen bekannte sich die Hacktivistengruppe „313 Team“. Hinweise auf unbefugten Zugriff auf Nutzerdaten gibt es laut Bluesky nicht.

Cyberkriminelle kapern tausende Router für globale Spionagekampagne

Der russischen Cybergruppierung APT28 ist es offenbar gelungen, tausende Router weltweit zu infiltrieren. Der deutsche Verfassungsschutz warnt vor diesem Hintergrund vor Spionage mit dem Ziel, Daten aus Militär, Regierung und kritischer Infrastruktur zu erbeuten. Die Angriffe nutzen Schwachstellen in verschiedenen TP-Link-Modellen.

Strategie-Briefing für CISOs: Framework zum Umgang mit Zero-Day-Schwachstellen im KI-Zeitalter

Als Reaktion auf die wachsende Bedrohung durch KI-gestützte Schwachstellenausnutzung – exemplarisch durch Modelle wie Anthropics „Claude Mythos“ demonstriert – haben das SANS Institute, die Cloud Security Alliance, „[un]prompted“ und das OWASP GenAI Security Project ein gemeinsames Strategie-Briefing für Sicherheitsverantwortliche veröffentlicht. Das Dokument, das von über 250 erfahrenen CISOs geprüft wurde, bietet ein praxisorientiertes Rahmenwerk mit konkreten Sofortmaßnahmen, diagnostischen Fragen und langfristigen Abwehrstrategien.

BSI legt mit C3A Souveränitätskriterien für Cloud-Dienste vor

Das BSI hat unter dem Titel C3A (Criteria enabling Cloud Computing Autonomy) einen Bewertungsrahmen veröffentlicht, der die Souveränität von Cloud-Angeboten messbar machen soll. Während sich der etablierte C5-Katalog auf Sicherheitsaspekte konzentriert, adressiert C3A die Frage, ob ein Dienst im jeweiligen Einsatzszenario unabhängig betrieben werden kann. Der Kriterienkatalog orientiert sich auch am EU Cloud Sovereignty Framework und umfasst sechs Dimensionen, darunter Datenhoheit, rechtliche Rahmenbedingungen, Lieferkette und eingesetzte Technologien. 

Mozilla härtet Firefox: Claude Mythos findet 271 Sicherheitslücken in einem Durchlauf

Im Rahmen von Project Glasswing erhielt Mozilla Zugang zu Claude Mythos Preview und identifizierte damit 271 Schwachstellen in Firefox 150 – rund das Zwölffache des Ergebnisses eines früheren Modelldurchlaufs. In den offiziellen Advisories werden nur drei CVEs Claude zugeschrieben; der Großteil der Funde betrifft vermutlich weniger schwere oder nicht direkt ausnutzbare Fehler.

ENISA veröffentlicht NCAF 2.0 zur Reifegradbewertung nationaler Cybersicherheit 

Die EU-Cybersicherheitsagentur ENISA hat eine neue Fassung ihres National Capabilities Assessment Framework (NCAF 2.0) veröffentlicht, mit dem nationale Behörden die Umsetzung ihrer Cybersicherheitsstrategien systematisch bewerten können. Das Framework ist auf den aktuellen EU-Rechtsrahmen, insbesondere die NIS-2-Richtlinie, abgestimmt und soll die Mitgliedstaaten auf das in Artikel 19 vorgesehene freiwillige Peer-Review-Verfahren vorbereiten.

BSI aktualisiert Cloud-Standard C5

Das BSI hat den Cloud Computing Compliance Criteria Catalogue (C5) in der Fassung 2026 veröffentlicht und damit Anforderungen vereinheitlicht, Prüfprozesse verschlankt und neue Technologiefelder integriert. Erstmals systematisch berücksichtigt werden unter anderem Container-Management, Confidential Computing und Post-Quanten-Kryptographie; bereits enthaltene Themen wie Supply-Chain-Management und Mandantentrennung wurden präziser gefasst.

Operation PowerOff: Internationaler Schlag gegen DDoS-for-hire-Plattformen

Im Zuge der Operation PowerOff gingen Mitte April 2026 Strafverfolgungsbehörden aus 21 Staaten – unter anderem Deutschland, den USA, Großbritannien, Japan und Australien – koordiniert gegen DDoS-for-hire-Dienste vor. Die Bilanz der Aktion: 53 abgeschaltete Domains, 25 Durchsuchungen sowie vier Festnahmen. Mehr als 75.000 identifizierte User der illegalen Services erhielten Warnschreiben, im Vorfeld wurden in beschlagnahmten Datenbanken über drei Millionen Nutzerkonten identifiziert.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für den gesamten Lebenszyklus von Hardware- und Softwareprodukten definiert. Dadurch soll es Unternehmen sowie Verbraucherinnen und Verbrauchern in der EU erleichtert werden, das Thema Cybersicherheit als Kriterium bei der Auswahl und der Verwendung von Produkten zu berücksichtigen.