Security-Briefing Februar 2026: Auch Sicherheit wird souverän

Cybervorfall bei der Rhätischen Bahn
Der Online-Ticketshop des Autoverlads Vereina ist nach einem Cyberangriff vom Netz genommen worden. Laut dem Tagesanzeiger seien zwar Kreditkartendaten nicht betroffen, jedoch Benutzernamen, Passwörter, Namen, E-Mail-Adressen sowie Rechnungs- und Lieferadressen einsehbar gewesen.

Mehr dazu

Vorsicht vor Sharepoint-Phishing
Wer eine E-Mail erhält, die auf eine korrekte Sharepoint-Seite führt, darf sich nicht in Sicherheit wähnen. «Sharepoint-Phishing» funktioniert mit doppeltem Einloggen. Auf der Seite findet sich statt des angekündigten PDFs nur ein Link zu einem PDF. Um es abzurufen, muss man sich erneut anmelden. Diese doppelte Anmeldung ist ein deutliches Zeichen, dass etwas faul ist. Was passiert: Im Hintergrund greifen die Kriminellen Benutzernamen und Passwort ab und loggen sich im Microsoft-Konto ein. Auch die Zweifaktor-Authentifizierung wird dabei ausgehebelt.

Mehr dazu

Kryptowährungen deklarieren – ein Betrug
Ob der Absender der Kanton Zürich sein soll oder eine andere Institution: Eine neue Phishing-Welle verleitet zur angeblich gesetzlich vorgeschriebenen Registrierung von Kryptoaktivitäten. Der Link führt natürlich auf eine gefälschte Website. Die so gewonnenen Personendaten können die Kriminellen für gezielte Betrugskampagnen nutzen.

Mehr dazu

Malware via KI-Plattform
Bösartigkeit statt Intelligenz: Hacker nutzten die KI-Plattform Hugging Face, um Malware an Android-Geräte zu verteilen. Das zeigt eine Analyse von Bitdefender. Dabei setzten die Gauner auf ein angebliches Sicherheitstool, das mit gefälschten Warnhinweisen die Nutzenden von seiner Wirksamkeit überzeugte. Es enthielt jedoch noch keine Malware. Diese wurde nach Erschleichen von Zugriffsrechten und einem angeblichen Update via KI-Plattform nachgeladen. Dabei unternahmen die Hacker alles Mögliche, um die Herkunft des Codes zu verschleiern.

Mehr dazu

Cyberangriff auf belgische Schule: Eltern sollen zahlen
Die angegriffene Schule im Südosten von Antwerpen weigerte sich, das geforderte Lösegeld von 15'000 Euro zu zahlen. Nun sollen laut belgischen Medien die Eltern der Kinder, von denen Daten gestohlen wurden, je 50 Euro pro Kind bezahlen. Die Ermittler vermuten deshalb, dass es sich bei den Angreifern nicht um einen der bekannten Akteure handelt. Diese würden normalerweise weit höhere Beträge verlangen.

Mehr dazu

Grobe Fahrlässigkeit in der polnischen Energiebranche
Laut CERT Polska drangen russische Angreifer praktisch ohne Gegenwehr in über 30 Energieanlagen des Landes ein. Sie nutzten dazu Standardpasswörter und blieben monatelang unentdeckt. In dieser Zeit kartierten sie die Betriebstechnologie-Netzwerke. Das Intrusion Detection System (IDS) blockierte die Schadsoftware DynoWiper erst kurz vor der Code-Ausführung.

Mehr dazu

Cloud-Panne beim EDA
Interne Dokumente des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sind versehentlich in die Microsoft-Cloud gelangt. Grund ist laut NZZ am Sonntag eine Sicherheitslücke in der Software, die die Übertragung klassifizierter Dokumente verhindern soll. Dokumente von höherer Geheimhaltungsstufe seien von der Panne nicht betroffen.

Mehr dazu

149 Millionen gestohlene Passwörter gefunden
Öffentlich zugänglich und nicht passwortgeschützt: Sicherheitsexperte Jeremiah Fowler hat in einer Datenbank über 149 Millionen gestohlene Passwörter entdeckt. Darunter befinden sich Zugänge für Streaming- und SaaS-Dienste. Betroffen sind auch Dating-Websites oder Finanzdienstleister. Auch die Daten von Schweizer Kundschaft sind enthalten. Mit den Datensätzen können Cyberkriminelle automatisierte Angriffe durchführen. «Die Entdeckung dieser ungeschützten Datenbank dient als erneute Erinnerung daran, dass Credential-Diebstahl zu einem Geschäft in grossem Massstab geworden ist, das weiterhin eine Bedrohung bleiben wird», schreibt Fowler in seinem Blog.

Mehr dazu

Interrail-Daten gestohlen
Die niederländische Firma Eurail, eine Partnerin der SBB, erlitt einen Cyberangriff. Erbeutet wurden nach ersten Erkenntnissen Daten von Kundinnen und Kunden, die Interrail-Tickets gekauft haben. Betroffene werden von Eurail direkt kontaktiert. Für die Partnerin SBB und ihre Kunden hat der Angriff keine Folgen.

Mehr dazu

«Suchmaschinenoptimierung» durch Hacker
Manipulierte Google-Suchergebnisse, die auf gefälschte Websites führen: Das Bundesamt für Cybersicherheit (BACS) warnt vor der neuen Masche. Sie basiert auf Content-Management-Systemen, die unter bestimmten technischen Voraussetzungen gefälschte Resultate liefern. In den Suchresultaten werden zwar die korrekten Titel der Webseiten angezeigt, die darunter eingeblendeten Beschreibungen enthielten jedoch kryptische Texte, unzusammenhängende Zeichenfolgen oder inhaltlich irreführende Aussagen. Der Klick auf ein solches Suchergebnis öffnet eine betrügerische Webseite. Beim direkten Aufruf der Internetadresse im Browser erscheint hingegen der erwartete legitime Inhalt.

Mehr dazu

Check Point: 1336 Angriffe pro Woche gegen öffentliche Verwaltung
Im neuesten Cyber Security Report der Sicherheitsfirma Check Point sind die globalen Entwicklungen bei Cyberangriffen zusammengefasst. Wöchentlich müssen sich Organisationen und Unternehmen in der Schweiz im Durchschnitt mit der Abwehr von 1138 Angriffen pro Woche befassen – ein Anstieg von sechs Prozent gegenüber dem Vorjahr. Meistbetroffen sind die Branchen Telekommunikation, Detailhandel und die öffentliche Verwaltung. Letztere sieht sich mit 1336 Angriffen pro Woche konfrontiert.

Mehr dazu

Sicarii-Ransomware: Entschlüsselung unmöglich
Wer das Pech hat, sich die Sicarii-Ransomware einzuhandeln, kann auf Verhandlungen mit den Cyberkriminellen getrost verzichten. Weil die Ransomware vermutlich mit KI-Hilfe («Vibe Coding») entwickelt wurde, enthält sie einen Fehler, der das Entschlüsseln der befallenen Daten sowieso verunmöglicht.

Mehr dazu

US-Behörden müssen nicht mehr auf Software-Sicherheit achten
Das Weisse Haus hebt Vorgaben auf, die seit dem Solarwind-Debakel gegolten haben: US-Behörden sind nicht länger dazu verpflichtet, zu eruieren, von welchen Bibliotheken, Programmen und Diensten ihre Software abhängt. Sie sollen stattdessen im Sinne einer Deregulierung künftig selbst entscheiden und ihre Lieferanten nach Ermessen validieren.

Mehr dazu

Ausserplanmässiger Patch für Microsoft Office
Die Schwachstelle CVE-2026–21509 hat mit einem Score von 7.8 einen hohen Schweregrad. Laut Bleepingcomputer ermöglicht sie Angreifern, eingebaute Sicherheitsfunktionen von Office zu umgehen. Dazu müssen diese ihre Opfer lediglich dazu bringen, eine manipulierte Office-Datei zu öffnen. Betroffen sind die Versionen Office 2016, Office 2019, Office LTSC 2021, LTSC 2024 sowie Microsoft 365 Apps for Enterprise.

Mehr dazu

Reprompt-Angriffe auf Microsoft Copilot unterbunden
Ein Klick auf einen falschen Link und Cyberkriminelle konnten via Microsoft Copilot einen sogenannten Reprompt-Angriff starten. Dabei wird die KI durch nachgeladene bösartige Befehle dazu verleitet, unerwünschte Aktionen auszuführen oder sensible Informationen preiszugeben. Business-Versionen der KI sind laut Microsoft nicht betroffen gewesen.

Mehr dazu

Atlassian-Dienste gesichert
Confluence und weitere Dienste von Atlassian sind mit neuen Patches gegen Attacken geschützt worden. Sie verhindern DoS-Zustände und Abstürze. Während zwei Lücken eher wenig bedrohlich sind, werden die weiteren Lücken als «hoch» eingestuft. Über sie könnte Schadcode auf Systeme gelangen oder Man-in-the-Middle-Attacken geführt werden. Admins sollten die Lücken zeitnah schliessen.

Mehr dazu

12 Lecks in OpenSSL – mit KI-Tools entdeckt
In der Verschlüsselungsbibliothek OpenSSL haben Forscher mit KI-Unterstützung zwölf Schwachstellen gefunden. Eine davon kritisch und eine mit mittlerem Risiko. Angreifer können einen Absturz verursachen und auch Schadcode ausführen.

Mehr dazu

Cisco Unified Communications unter Attacke
Eine Sicherheitslücke in mehreren Unified-Communications-Produkten von Cisco wird bereits ausgenutzt. Admins sollten umgehend aktiv werden. Die Schwachstelle öffnet sich wegen unzureichenden Prüfungen. Angreifer können ohne Anmeldung Schadcode platzieren und mit Root-Rechten ausführen (CVE-2026–20045).

Mehr dazu

Hochriskante Lücke in OpenClaw («Moltbot»)
Der Entwickler des umstrittenen KI-Bots meldet eine schwerwiegende Sicherheitslücke. Angreifer können darüber beliebigen Code auf dem Gateway eines Opfers ausführen – nachdem dieses auf einen präparierten Link geklickt oder eine bösartige Website besucht hat. Der Browser des Opfers dient als Brücke. Wer den Bot installiert hat, sollte auf die fehlerkorrigierte Version aktualisieren. Und weiterhin gut aufpassen, denn OpenClaw gilt für sich als sicherheitstechnisch problematisch. (CVE-2026–25253)