Das ist das erste monatliche Security-Briefing von smetrics. Das Format ist bewusst knapp: Was Sie als Unternehmen im Mittelstand diesen Monat wissen müssen — komprimiert auf vier Minuten Lesezeit. Kein Fulltext, keine Panik, keine Strecke. Jeden letzten Freitag im Monat, pünktlich.
🔴 Das müssen Sie wissen
Cisco Firewalls mit persistenter Backdoor infiziert — Malware überlebt Patches
Was ist passiert?
Das BSI hat am 24. April 2026 eine Cybersicherheitswarnung mit Kritikalität „Sehr hoch” herausgegeben: Cisco Firepower- und ASA-Firewalls werden aktiv mit einer Backdoor namens „Firestarter” kompromittiert. Das Besondere daran: Die Malware überlebt Firmware-Updates und Sicherheitspatches — einmal infizierte Geräte bleiben unter Kontrolle der Angreifer, auch nach dem Einspielen offizieller Patches. Der Angriff wird einer staatlich gesteuerten Gruppe zugeordnet, die zuvor bereits unter dem Namen ArcaneDoor aktiv war.
Warum ist das relevant für Ihren Betrieb?
Cisco ASA und Firepower sind weit verbreitete Firewall-Plattformen im deutschen Mittelstand. Wer diese Geräte als Perimeter-Schutz oder VPN-Gateway einsetzt, sollte jetzt aktiv prüfen — nicht erst beim nächsten geplanten Wartungsfenster. Ein kompromittiertes Firewall-Gerät ist kein Schutz mehr, sondern ein offenes Einfallstor: Angreifer können Datenverkehr mitlesen, Verbindungen umleiten und sich dauerhaft im Netzwerk festsetzen.
Was sollten Sie jetzt prüfen?
- Firmware-Version prüfen: Cisco Security Advisory zur Firestarter-Kampagne unter tools.cisco.com/security/center aufrufen, betroffene Versionen abgleichen.
- Logs auf Anomalien prüfen: Ungewöhnliche Prozesse, unbekannte Konfigurationsänderungen oder unerklärliche Netzwerkverbindungen auf dem Firewall-Gerät sind Warnsignale.
- Wenn unsicher: Gerät isolieren und IT-Dienstleister einschalten — bei Verdacht auf Kompromittierung ist ein Selbst-Patch nicht ausreichend.
Quelle: BSI Cybersicherheitswarnung 2026-238088-1032, 24. April 2026
Ein laufendes Intrusion Detection & SOC-Monitoring erkennt die typischen Muster solcher Angriffe — auffällige Logins, ungewöhnliche Datenabflüsse, verdächtige Lateral-Movement-Aktivitäten — in Echtzeit, bevor die eigentliche Schadenphase beginnt.
🟠 Wichtige Patches dieses Monats
Schwelle: CVSS-Score ≥ 8.0 oder Microsoft-Klassifizierung „Critical”. Nur Patches mit direkter KMU-Relevanz.
| Produkt | CVE | CVSS | Empfehlung |
|---|---|---|---|
| Windows IKE Service Extensions (VPN) | CVE-2026-33824 | 9.8 Critical | Sofort einspielen |
| Microsoft SharePoint Server | CVE-2026-32201 | Critical — aktiv ausgenutzt | Sofort einspielen |
| Windows TCP/IP Stack | CVE-2026-33827 | 8.1 Critical | Sofort einspielen |
| Windows Active Directory | CVE-2026-33826 | 8.0 Critical | Bis Ende Monat |
Quelle: Microsoft Security Update Guide — Patch Tuesday April 2026 · Tenable Analyse April 2026
Besonders der SharePoint-Patch (CVE-2026-32201) verdient Aufmerksamkeit: Die Schwachstelle wird aktiv ausgenutzt und betrifft alle Unternehmen, die SharePoint Server on-premises betreiben. Microsoft 365 / SharePoint Online ist automatisch gepatcht — wer jedoch eine lokale SharePoint-Instanz betreibt, muss manuell handeln.
Wer Patches nicht manuell nachverfolgen möchte: strukturierte Schwachstellenbewertung mit Priorisierung nach der tatsächlich eingesetzten Softwareumgebung — nicht nach globalen CVE-Rohlisten — ist Bestandteil unserer Security-Audits & Compliance-Leistungen.
🟢 Tipp des Monats: Unified Audit Log in Microsoft 365 prüfen
Dieser Tipp kostet nichts, dauert fünf Minuten und zeigt Ihnen oft mehr als erwartet.
Das Unified Audit Log in Microsoft 365 protokolliert alle sicherheitsrelevanten Aktivitäten im Tenant: Anmeldeversuche, Postfachzugriffe, SharePoint-Downloads, Admin-Aktionen, App-Berechtigungsänderungen. Das Problem: In vielen Tenants ist es entweder nicht aktiviert — oder es schaut niemand hinein.
Drei Schritte, jetzt sofort:
- Purview Compliance Portal öffnen: compliance.microsoft.com → linke Navigation → Audit
- Aktivierung prüfen: Falls die Meldung „Auditing is not turned on for your organization” erscheint, in PowerShell ausführen:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true - Suche starten: Zeitraum: letzte 30 Tage. Aktivitäten: UserLoggedIn, MailItemsAccessed, FileAccessed. Filter: alle Admin-Konten. Achten Sie auf Logins aus Ländern, in denen Ihre Mitarbeiter nicht tätig sind, und auf ungewöhnliche Uhrzeiten (3–5 Uhr morgens).
Was Sie finden könnten: Zugriffe auf Postfächer durch Dritte, unbekannte Geräte, IP-Adressen aus unerwarteten Regionen. Wenn Sie etwas Unerwartetes sehen — nicht ignorieren, aber auch nicht in Panik geraten. Erst prüfen, dann handeln.
Der Anlass für diesen Tipp: In den letzten Wochen haben uns mehrere Kunden gefragt, wie sie nachträglich feststellen können, ob ein Mitarbeiter-Account kompromittiert war. Die Antwort ist fast immer dieselbe — im Audit Log steht es, aber niemand hat hineingeschaut. Das ist kein technisches Problem, sondern ein Prozess-Problem. Fünf Minuten jetzt sparen möglicherweise Wochen später.
Bis Ende Mai
Das nächste Briefing erscheint Ende Mai 2026 mit denselben drei Blöcken. Wenn Sie Fragen zu einem der heutigen Punkte haben — zu einem Patch, einem Vorfall oder dem Audit-Log-Check — sprechen Sie uns direkt an über smetrics.de/kontakt.
Quellen:
- BSI Cybersicherheitswarnungen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Cyber-Sicherheitswarnungen/cyber-sicherheitswarnungen_node.html
- Microsoft Security Update Guide (Patch Tuesday): https://msrc.microsoft.com/update-guide/
- Heise Security: https://www.heise.de/security/