Ausnutzung von Schwachstellen überholt gestohlene Anmeldedaten als häufigster Einstiegspunkt – und ShinyHunters trifft 6 Millionen Carnival-Kunden
Ausnutzung von Schwachstellen überholt gestohlene Anmeldedaten zum ersten Mal
Der 2026 Data Breach Investigations Report von Verizon enthält eine Statistik, die die Sicherheitsprioritäten jedes Unternehmens neu ausrichten sollte: Zum ersten Mal in 19 Jahren hat das Ausnutzen von Software-Sicherheitslücken gestohlene Anmeldedaten als häufigsten Einstiegspunkt für Datenlecks überholt. Das ist keine marginale Verschiebung – es stellt eine grundlegende Veränderung dar, wie Angreifer ersten Zugang zu Unternehmensnetzwerken erhalten.
Diese Verschiebung spiegelt zwei zusammenlaufende Trends wider: KI-gestützte Schwachstellenscans, die die Zeitspanne vom Entdecken bis zum Ausnutzen von Monaten auf Stunden verkürzen, und eine anhaltende Unfähigkeit von Organisationen, Patches in den relevanten Zeiträumen anzuwenden. Ivanti, Fortinet, SAP, VMware und n8n haben alle im Mai 2026 kritische Patches für aktiv ausgenutzte Fehler herausgebracht. Zwei ungepatchte Windows-Zero-Days – "YellowKey" und "GreenPlasma" – wurden nach Microsofts Patch-Tuesday im Mai bekannt, die BitLocker-Wiederherstellung umgehen und auf ungepatchten Systemen Administratorrechte gewähren können.
ShinyHunters hat einen katastrophalen Mai
Die Erpressergruppe ShinyHunters steckt hinter zwei der bedeutendsten Datenlecks, die im Mai 2026 bekannt wurden. Das erste: Carnival Corporation begann, rund 6 Millionen Menschen zu benachrichtigen, deren persönliche Daten – Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und von Behörden ausgestellte ID-Nummern – abgerufen wurden, nachdem ShinyHunters durch Social Engineering einen Mitarbeiter kompromittiert hatte und Zugang zu einem Teil der IT-Systeme von Carnival erhielt.
Das zweite ist potenziell noch größer. Instructure Inc., das Unternehmen hinter dem Learning-Management-System Canvas, das von Universitäten und K-12-Schulen in den USA genutzt wird, wurde Ziel eines Ransomware-Angriffs, bei dem ShinyHunters drohte, Daten von bis zu 275 Millionen Nutzern zu veröffentlichen. Canvas wird weltweit von über 30 Millionen Studenten und Lehrkräften genutzt. Wenn das behauptete Datenvolumen stimmt, wäre dies einer der größten Bildungssektor-Datenlecks der Geschichte.
Beide Datenlecks haben einen gemeinsamen initialen Vektor: Social Engineering gegen Mitarbeiter, nicht technische Ausnutzung von Softwarefehlern. Das ist wichtig, denn es bedeutet, dass die Härtung der Perimeter-Sicherheit – Patchen, Firewalling, Netzwerksegmentierung – nicht vor einem Angreifer schützt, der einen legitimen Mitarbeiter dazu überredet, Anmeldedaten herauszugeben.
Die Foxconn- und ADT-Vorfälle: Supply-Chain- und Identitätsangriffe
Die nordamerikanischen Fabriken von Foxconn erlitten im Mai einen Ransomware-Angriff durch die Nitrogen-Gruppe, die behauptet, 8 TB Daten exfiltriert zu haben. Fertigungsumgebungen werden zunehmend ins Visier genommen, da sie oft ältere OT-Systeme (Operational Technology) mit schlechter Netzwerksegmentierung von der Unternehmens-IT betreiben, was nach einem ersten Zugriff einfache laterale Bewegungen ermöglicht.
ADT geriet unter Beschuss, nachdem die ShinyHunters-Gruppe behauptete, persönliche Daten von 5,5 Millionen ADT-Kunden gestohlen zu haben – erlangt durch eine Voice-Phishing-Kampagne (Vishing), die das Okta-Single-Sign-On-Konto eines Mitarbeiters kompromittierte. Der Okta-Vektor ist bedeutsam: SSO-Systeme sind hochwertige Ziele, da ein einziges kompromittiertes Konto Zugriff auf Dutzende verbundene Anwendungen ermöglichen kann. Der ADT-Vorfall zeigt, warum Vishing – telefonbasiertes Social Engineering – als Angriffsvektor trotz seiner Einfachheit und Effektivität nach wie vor unterschätzt wird.
KI-erstellte Anwendungen sind eine neue Angriffsfläche
Eine im Mai 2026 veröffentlichte Untersuchung von WIRED ergab, dass Tausende von Webanwendungen, die mit KI-Coding-Tools erstellt wurden, öffentlich zugänglich waren und dabei teilweise sensible Unternehmens- und Personendaten offenlegten. Das Muster: Entwickler nutzen KI-Assistenten, um schnell Prototypen zu erstellen und Anwendungen bereitzustellen, überspringen dabei aber Sicherheitsüberprüfungsschritte – Authentifizierung, Autorisierung, Eingabevalidierung – die in einem formellen Entwicklungsprozess aufgefallen wären.
Das ist ein strukturelles Problem, kein Einzelfall. KI-Coding-Tools senken die Hürde für die Erstellung funktionaler Anwendungen, aber sie senken nicht automatisch die Hürde für die Erstellung sicherer Anwendungen. Ein Entwickler, der nicht weiß, wie man Authentifizierung implementiert, kann durch ein KI-Tool, das nicht weiß, dass er es braucht, nicht geschützt werden. Organisationen müssen ihre Sicherheitsüberprüfungsprozesse erweitern, um KI-generierten Code mit der gleichen Strenge zu behandeln wie von Menschen geschriebenen Code.
Der CISA-Credential-Exposure: Wenn Sicherheitsteams die Schwachstelle sind
Einer der alarmierendsten Vorfälle im Mai kam aus den eigenen Reihen: Ein Auftragnehmer der CISA – der US-amerikanischen Cybersecurity and Infrastructure Security Agency – machte über sechs Monate administrative Anmeldedaten in einem öffentlichen GitHub-Repository zugänglich. Der Vorfall umfasste Klartext-Benutzernamen, Passwörter für interne Systeme und SSH-Schlüssel.
Dieser Vorfall ist es wert, näher betrachtet zu werden, denn CISA ist ausdrücklich die Behörde, die für die nationale Koordination der Reaktion auf Cybervorfälle zuständig ist. Die Offenlegung verdeutlicht ein Problem, das Organisationen auf jeder Ebene betrifft: die Disziplin des Secrets-Managements. In die Versionskontrolle eingecheckte Anmeldedaten gehören zu den häufigsten und vermeidbarsten Breach-Vektoren. Tools wie GitHub's Secret Scanning, HashiCorp Vault und AWS Secrets Manager existieren genau, um diese Art von Fehlern zu verhindern. Das Versagen war hier nicht technischer Natur – es war ein Prozessversagen.
Ransomware-as-a-Service: Triple Extortion ist jetzt Standard
Der Angriff der Krybit-Gruppe auf die Bangkok Metropolitan Administration und der Nitrogen-Angriff auf Foxconn folgen beide dem, was Sicherheitsforscher jetzt Triple Extortion nennen: Dateien für ein Lösegeld verschlüsseln, Daten exfiltrieren, um ein zweites Lösegeld für die Veröffentlichung zu erpressen, und drohen, Kunden und Aufsichtsbehörden zu benachrichtigen – als dritten Druckpunkt. Dieses Modell macht Ransomware wirtschaftlich widerstandsfähig – selbst Organisationen mit guten Backups sind unabhängig von der Wiederherstellbarkeit des Betriebs der Bedrohung durch Datenlecks ausgesetzt.
Die FLASH-Warnung des FBI vom Mai 2026 über die Silent Ransom Group (SRG) fügt eine Dimension hinzu, auf die die meisten Organisationen nicht vorbereitet sind: physische Akteure. Nachdem erste Phishing-Versuche gescheitert sind, ist die SRG dazu übergegangen, physische Vertreter zu den Zielorten zu schicken – im Wesentlichen eine hybride cyber-physische Social-Engineering-Kampagne. Dies ist eine erhebliche Eskalation der Bedrohung, die Organisationen dazu zwingt, über rein digitale Sicherheitskontrollen hinauszudenken.
Fünf praktische Schritte für Mai 2026
1. Patchen Sie die Windows-Zero-Days sofort. YellowKey und GreenPlasma können BitLocker umgehen. Jedes ungepatchte System ist für alle mit physischem oder Remote-Zugriff der Privilegieneskalation ausgesetzt.
2. Überprüfen Sie Ihren Okta- (und andere SSO-) Zugriff. Der ADT-Vishing-Angriff war erfolgreich, weil ein kompromittiertes SSO-Konto viele Türen öffnete. Implementieren Sie phishing-resistente MFA (FIDO2/Passkeys) für jeden SSO-Zugriff. SMS-OTP ist nicht ausreichend.
3. Führen Sie einen Secrets-Scan über alle Repositorys durch. Verwenden Sie GitHub Advanced Security oder ein äquivalentes Tool, um alle in der Versionskontrolle eingecheckten Anmeldedaten oder Schlüssel zu identifizieren. Rotieren Sie alles Gefundene sofort, behandeln Sie jede Offenlegung als kompromittiert.
4. Überprüfen Sie KI-generierten Code auf Sicherheitskontrollen. Wenn Ihr Team Copilot, Cursor oder ähnliche Tools zum Schreiben von Anwendungscode verwendet, fügen Sie vor der Bereitstellung ein explizites Security-Review-Gate ein. Prüfen Sie in jeder KI-generierten Komponente auf Authentifizierung, Autorisierung, Eingabevalidierung und Datenexposition.
5. Schulen Sie Mitarbeiter in Vishing, nicht nur in Phishing. Die Angriffe auf Carnival und ADT waren sprachbasiertes Social Engineering. Ihre Mitarbeiter müssen wissen, wie sie die Identität am Telefon überprüfen und wann sie ungewöhnliche Anfragen eskalieren müssen, unabhängig davon, wie legitim der Anrufer klingt.