Trending Topics Cybersicherheit – März 2026

Der März zeigt einmal mehr: Unternehmen kämpfen mit wachsender Provider-Abhängigkeit, regulatorischem Druck und einer weiterhin hohen Angriffsintensität – insbesondere im Gesundheits- und Sozialwesen. So hält laut einer Untersuchung von Lünendonk & Hossenfelder die große Mehrheit der Firmen eine einseitige Abschaltung durch ihren Cloud-Anbieter für realistisch, während fast die Hälfte noch immer keine belastbare Exit-Strategie vorweisen kann. Digitale Souveränität transformiert sich zunehmend von einer abstrakten Debatte, zu konkreten, operativen Voraussetzung für Resilienz, Compliance und Geschäftskontinuität.

Registrierungsfrist für NIS-2 abgelaufen

Parallel steigt der regulatorische Druck: Zum Ablauf der offiziellen Frist haben sich rund 11.500 kritische Einrichtungen unter NIS-2 beim BSI registriert, doch schätzungsweise knapp 20.000 betroffene Organisationen fehlen weiterhin. Für viele Unternehmen bedeutet das, dass nicht nur technische Schutzmaßnahmen, sondern auch Governance, Meldewege und Verantwortlichkeiten noch nicht ausreichend umgesetzt sind. Die Lücke zwischen formaler Pflicht und tatsächlicher Umsetzungsreife bleibt eine zentrale Herausforderung für viele Organisationen.

Gesundheitswesen im Fokus

Besonders anschaulich wird die Lage im Healthcare-Bereich. Das BSI fand bei Pentests von Praxisverwaltungssystemen in drei von vier untersuchten Produkten erfolgreich ausnutzbare Schwachstellen und bemängelte unter anderem fehlende Verschlüsselung bei der Datenübertragung sowie veraltete kryptografische Verfahren. Wie schnell daraus reale Schäden entstehen können, zeigt der Cyberangriff auf den ASB Saarland: Dort gelangten Angreifer auf einen Server mit personenbezogenen Daten von Beschäftigten, Bewerbern und Kunden, darunter teils besonders sensible Informationen. Hinzu kommt mit dem mutmaßlichen AstraZeneca-Leak ein Fall, der über klassische Datenschutzfragen hinausgeht. Die Gruppe Lapsus$ behauptet, interne Systeme, Quellcode und Cloud-Infrastruktur kompromittiert zu haben.

Die Top-Themen der IT-Sicherheit im März:

Bitkom: Unternehmen für hybride Angriffe und längere Internetausfälle schlecht gerüstet

Eine Bitkom-Umfrage unter 604 Firmen zeigt, dass der Geschäftsbetrieb bei Internetausfällen im Schnitt nur rund 20 Stunden aufrechterhalten werden kann. Viele Unternehmen erwarten künftig hybride Angriffe aus physischer Sabotage und Cyberattacken, halten ihre Notfallplanung aber selbst für unzureichend. Gefordert sind höhere Resilienz, etwa durch Redundanzen, Business-Continuity-Management und Krisenübungen.

Cloud-Abhängigkeit: Fast die Hälfte der Unternehmen ohne belastbare Exit-Strategie

Laut einer Untersuchung von Lünendonk & Hossenfelder halten 83 Prozent der Firmen eine einseitige Abschaltung durch ihren Cloud-Provider für realistisch, doch knapp die Hälfte verfügt über keinen Plan B. Multicloud- oder Exit-Strategien sind oft nur rudimentär ausgearbeitet. Das erhöht das Risiko für längere Ausfälle und Compliance-Verstöße, falls Dienste unerwartet wegfallen.

Eon meldet Verzehnfachung von Cyberattacken auf Stromnetze

Der Energieversorger Eon registriert nach eigenen Angaben täglich hunderte Cyberangriffe auf seine Stromnetze. In den letzten fünf Jahren habe sich die Anzahl verzehnfacht. Die drastische Zunahme verdeutlicht, wie massiv sich die Bedrohungslage für Versorgungsinfrastrukturen verschärft hat und wie wichtige die digitale Absicherung ist.

BSI: Nur 11.500 kritische Einrichtungen fristgerecht unter NIS-2 registriert

Zum Ende der Registrierungsfrist haben rund 11.500 als kritisch eingestufte Einrichtungen ihre NIS-2-Registrierung beim BSI abgeschlossen, schätzungsweise 20.000 gelten noch als ausstehend. Damit wächst der Druck auf verbleibende Organisationen, Governance, Meldewege und Risikomanagement NIS-2-konform aufzusetzen. Besonders kritische Versorger und große Mittelständler sollten Lücken kurzfristig schließen.

Praxisverwaltungssysteme weisen Schwächen auf

Das BSI hat vier Praxisverwaltungssysteme in Arztpraxen und Pflegeeinrichtungen per Penetrationstest geprüft – in drei Produkten war ein erfolgreicher Angriff möglich. Festgestellt wurden unter anderem fehlende Verschlüsselungsverfahren bei der Datenübertragung sowie die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen. Das Amt gibt konkrete Empfehlungen zu Architektur, Authentifizierung und Härtung, um Gesundheitsdaten robuster zu schützen.

Niederländisches Finanzministerium bestätigt Cyberangriff auf interne Systeme

Das niederländische Finanzministerium hat einen IT-Sicherheitsvorfall eingeräumt. Betroffen waren einige interne Dienste für Mitarbeitende; von der Steuer- und Zollverwaltung sowie der Sozialbehörde erbrachte Services blieben unberührt. Aktuell dauern die Untersuchungen noch an. Der Vorfall folgt auf frühere, staatlich zugeschriebene Angriffe auf niederländische Behörden.

ASB Saarland nach Cyberangriff: Beschäftigten- und Kundendaten abgeflossen

Der Arbeiter-Samariter-Bund Saarland wurde Ziel eines Cyberangriffs, bei dem Angreifer auf einen Server mit personenbezogenen Daten von Beschäftigten, Bewerbern und Kunden zugreifen konnten. Nach Angaben des Trägers wurden Daten vermutlich heruntergeladen, die operative Versorgung lief jedoch weiter.

Mutmaßlicher Leak bei AstraZeneca: Zugriff auf Quellcode

Die Gruppe Lapsus$ behauptet, interne Systeme, Quellcode und Cloud-Ressourcen von AstraZeneca kompromittiert zu haben. Erste Analysen deuten darauf hin, dass zumindest Teile der veröffentlichten Daten authentisch sein könnten; möglicherweise sind auch technische Projektinformationen und Mitarbeiterdaten betroffen. Selbst ohne Hinweise auf Patientendaten wäre ein Quellcode-Diebstahl für Lieferkette, IP-Schutz und Folgeangriffe hochkritisch.

GVV Versicherungen: Cyberangriff gefährdet Daten von 2.600 Kunden

Bei den GVV Versicherungen kam es zu einem unbefugten Zugriff auf Teile der IT-Systeme. Konkret handelte es sich um zwischengespeicherte Informationen, bis zu 2.600 Kunden könnten betroffen sein. In der Folge wurden die Online-Dienste der GVV zwischenzeitlich runtergefahren und die zuständigen Behörden informiert.

Cyberangriff legt weltweit Firmensysteme des Medizintechnikkonzerns Stryker lahm

Der Medizintechnikkonzern Stryker hat nach einem Cyberangriff eine globale Störung an Standorten in 79 Ländern gemeldet. Betroffen waren Netzwerksysteme und geschäftskritische Anwendungen. Die Angreifergruppe Handala reklamierte die Attacke für sich und gibt an, 50 TByte an Daten entwendet sowie mehr als 200.000 Systeme gelöscht zu haben. Stryker erklärte, der Vorfall sei eingedämmt. Hinweise auf Ransomware oder Auswirkungen auf Medizingeräte lagen demnach nicht vor.

FBI warnt vor staatlich gesteuerten Phishing-Angriffen auf Signal- und WhatsApp-Konten

FBI und CISA warnen vor einer laufenden Phishing-Kampagne gegen Signal- und WhatsApp-Nutzer, die mutmaßlich von Russland aus gesteuerten Akteuren ausgeht. Die Angreifer geben sich unter anderem als „Signal Support“ aus, fordern Verifizierungs-Codes an und übernehmen so Konten. Unternehmen sollten Sicherheitsfunktionen in Messengern aktivieren, Awareness schärfen und Meldewege für verdächtige Support-Anfragen etablieren.

Bundesnachrichtendienst plant neues Cyber-Zentrum

Der Bundesnachrichtendienst (BND) will seine Außenstelle in Bonn zu einem Krypto-Cyber-Technologiezentrum ausbauen. Dort sollen unter anderem künstliche Intelligenz und Quantencomputing erforscht werden. Ziel ist die Stärkung der Fähigkeiten des BND in den Bereichen Cyberspionage und Dechiffrierung komplexer Verschlüsselungen.

CCC deckt Datenleck bei Anwaltsplattform auf

Der Chaos Computer Club hat bei der Anwaltsplattform Advocado eine Lücke nachgewiesen, über die Unbefugte Ausweiskopien, Inkassoschreiben und weitere Dokumente abrufen konnten. Betroffen sind damit besonders schutzwürdige personenbezogene Daten und Finanzdaten. Die Panne unterstreicht, dass Legal-Tech-Anbieter strenge Zugriffskontrollen, Penetrationstests und sichere Mandantenportale benötigen.

Globale Botnetze ausgeschaltet: Ermittler legen Aisuru und Kimwolf lahm

Strafverfolger aus mehreren Ländern haben mit Aisuru und Kimwolf zwei globale Botnetze ausgeschaltet, die aus Millionen gekaperter IoT-Geräte und Android-TV-Boxen bestanden. Über die Netze wurden unter anderem DDoS-Angriffe gefahren und krimineller Traffic getarnt; Beschlagnahmen und Festnahmen sollen die Betreiberstrukturen nachhaltig stören. Unternehmen profitieren von weniger Angriffsverkehr, sollten aber IoT-Systeme weiter konsequent härten.

Interpol-Aktion schaltet 45.000 bösartige IP-Adressen und Server ab

In einer weltweiten Operation hat Interpol 45.000 für Phishing, Malware und Ransomware genutzte IP-Adressen und Server abgeschaltet. An der Operation waren Behörden aus 72 Ländern beteiligt, 94 Verdächtige wurden festgenommen.

Zero-Day-Lücke: Polizei besucht Unternehmen mitten in der Nacht

Wegen einer kritischen Schwachstelle in den Systemen Windchill und ZeroPLM schickten mehrere Landeskriminalämter Polizeikräfte zu betroffenen Firmen. Die überraschenden Besuche irritierten teilweise, sollten aber sicherstellen, dass Unternehmen umgehend Gegenmaßnahmen ergreifen. Der Fall zeigt, wie ernst Behörden Zero-Day-Lücken in industrierelevanter Software inzwischen nehmen.