Monthly Threat Report Februar 2026

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen sowie Einordnungen aktueller Entwicklungen aus der Welt der Cybersecurity. Diese Ausgabe des Monthly Threat Report konzentriert sich auf Daten und Branchenereignisse aus dem Januar 2026. 

Zusammenfassung 

• E-Mail-Authentifizierung bleibt eine wichtige Verteidigungsmaßnahme – Die korrekte Implementierung von SPF, DKIM und DMARC blockiert weiterhin einen erheblichen Anteil an Phishing-, Identitätsdiebstahl- und BEC-Versuchen, bevor sie die Endnutzer erreichen. 
• Erpressung durch Datendiebstahl nimmt zu – Der Angriff auf Nike bestätigt  den Trend, dass Angreifer zunehmend interne Daten stehlen und veröffentlichen, statt Systeme zu verschlüsseln. 
• Microsoft Office bleibt ein bevorzugter erster Angriffsvektor – Die aktive Ausnutzung einer Office-Zero-Day-Schwachstelle zeigt erneut, wie schnell Angreifer dokumentbasierte Verwundbarkeiten instrumentalisieren können. 
• Automatisierungsplattformen werden zu wertvollen Zielen – Kritische Schwachstellen in n8n zeigen, wie Tools mit breitem SaaS-Zugriff schnell zu „Schlüsseln zur gesamten Umgebung“werden können. 
• KI verändert die Entdeckung von Schwachstellen – KI-assistierte Analysen förderten mehrere OpenSSL-Schwachstellen zutage und signalisieren sowohl Chancen für Verteidiger als auch beschleunigte Exploit-Entwicklung. 
• Angriffsgeschwindigkeit überholt weiterhin Patch-Zyklen – Außerplanmäßige Updates und rasche Ausnutzung erhöhen den operativen Druck auf Security- und IT-Teams. 

Überblick über aktuelle Bedrohungen 

Der anhaltende Mehrwert von E-Mail-Authentifizierungsprotokollen: SPF, DKIM und DMARC 

E-Mail ist weiterhin einer der meistgenutzten Vektoren für anfänglichen Zugriff bei Cyberangriffen. Dabei kann es sich um das Sammeln von Anmeldedaten (Credential Harvesting), Business E-Mail Compromise (BEC), Betrug, Identitätsdiebstahl, Phishing-Kampagnen usw. handeln, die sich sowohl gegen Mitarbeiter als auch gegen MSP-Kunden richten. Zwar gibt es keine einzelne Kontrollmaßnahme, die alle E-Mail-basierten Bedrohungen abwehrt, doch das Trio aus SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) bewährt sich weiterhin als grundlegende Schutzschicht, die eine Vielzahl von Missbräuchen verhindert, bevor sie überhaupt im Posteingang landen.  

SPF ermöglicht es Domain-Inhabern festzulegen, welche Mailserver oder Dienste berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. DKIM geht einen Schritt weiter und signiert ausgehende Nachrichten kryptografisch, um sicherzustellen, dass der Inhalt auf dem Transportweg nicht manipuliert wurde. DMARC verknüpft beides mit einer Richtlinienebene, die festlegt, wie Empfänger mit E-Mails umgehen sollen, die die Authentifizierung nicht bestehen – von reiner Überwachung bis zur konsequenten Zurückweisung gefälschter Nachrichten. 

Ausführliche Informationen bietet unser Beitrag „Was ist DMARC und wie funktioniert es?“ 

Typische Angriffe, die durch den korrekten Einsatz von SPF, DKIM und DMARC abgewehrt werden 

Identitätsdiebstahlt durch Identitätsbetrug 

Angreifer geben sich in Phishing-Kampagnen häufig als Unternehmensmarken oder Geschäftspartner aus, um Nutzer dazu zu bringen, Zugangsdaten auf bösartigen Portalen einzugeben. Ohne gültige SPF/DKIM-Signaturen und eine schützende DMARC-Richtlinie haben solche Nachrichten eine deutlich höhere Chance, Spam-Filter und die Wachsamkeit der Nutzer zu umgehen. 

Business E-Mail Compromise (BEC)

BEC-Betrug beginnt oft mit gefälschten Adressen von Führungskräften oder Lieferanten, die zu Überweisungen oder Änderungen an Zahlungsdaten auffordern. Strenge E-Mail-Authentifizierung senkt die Zustellwahrscheinlichkeit dieser Fälschungen deutlich, indem empfangende Systeme gewarnt werden: „Diese E-Mail stammt nicht aus einer gültigen Quelle – behandle sie als verdächtig.“

Rechnungs- und Zahlungsbetrug

Finanzbetrug, bei dem gefälschte Rechnungen oder Zahlungsanweisungen in Geschäftsprozesse eingeschleust werden, wird häufig durch gefälschte Absenderadressen ermöglicht. Die Validierung per SPF/DKIM und durchgesetzte DMARC-Maßnahmen unterbindet diese Taktiken direkt am E-Mail-Einstiegspunkt.

Markenmissbrauch und Manipulation des Vertrauens in der Lieferkette

Angreifer fälschen vertrauenswürdige Domains, um Kunden, Partner oder Lieferanten zu täuschen. Eine strenge DMARC-Durchsetzung signalisiert dem gesamten Netzwerk, dass unautorisierte E-Mails nicht akzeptiert werden, wodurch die Wirksamkeit solcher Angriffe reduziert wird.

Warum das wichtig ist 

Auch wenn fortgeschrittene Angreifer Perimeter-Schutz durch kompromittierte Zugangsdaten oder Zero-Day-Exploits umgehen können, wird ein überraschend großer Anteil von Social-Engineering-Angriffen schlicht dadurch neutralisiert, dass die Imitation vertrauenswürdiger Absender erschwert wird. Korrekt implementiert bewirken SPF, DKIM und DMARC Folgendes: 

• Die Verringerung der erfolgreichen Zustellung gefälschter E-Mails, 
• Eine bessere Sichtbarkeit von Missbrauch durch aggregierte und forensische Berichte, 
• höhere Kosten und erhöhter Aufwand für Angreifer, um bei einem Angriff erfolgreich zu sein, 
• und sie ergänzen andere Schutzschichten wie Multi-Faktor Authentifizierung (MFA) und Schulungen zum Umgang mit Bedrohungen. 

In einer Zeit, in der Identität und Vertrauen permanent angegriffen werden, gehört E-Mail-Authentifizierung zu den kosteneffizientesten und messbarsten Kontrollen. Organisationen, die bei der DMARC-Einführung hinterherhinken, lassen die Eingangstür für gängige Phishing- und BEC-Methoden offen, die seit über einem Jahrzehnt zuverlässig ausgenutzt werden. 

Die Einführung von DMARC mit einer „Ablehnen“-Richtlinie, unterstützt durch vollständige SPF- und DKIM-Abdeckung, verbessert nicht nur die Mail-Hygiene, sondern schwächt spürbar einen der beliebtesten ersten Angriffsvektoren von Angreifern. 

Organisationen sollten daher umgehend mit einer E-Mail-Authentifizierungsstrategie beginnen, sofern noch nicht geschehen. 

Große Vorfälle und Branchengeschehnisse 

Nike erleidet massives Datenleck nach Ransomware-Erpressung 

Ende Januar wurde berichtet, dass Nike einen erheblichen Datenvorfall erlitten habe, nachdem eine Erpressungsgruppe namens World Leaks etwa 1,4 TB interner Unternehmensdaten online veröffentlicht hatte. Berichten zufolge wurde der genaue Inhalt des geleakten Datensatzes bislang nicht offengelegt. Zum Zeitpunkt der Bekanntgabe bestätigte Nike, dass es den Vorfall untersucht. Die Angreifer hatten die Daten zwischenzeitlich entfernt, was laut dem Artikel von BleepingComputer auf Verhandlungen im Hintergrund hindeuten könnte. 

Obwohl öffentliche Details begrenzt sind, lässt das Ausmaß der Veröffentlichung auf einen Zugriff weit über einen einzelnen kompromittierten Endpunkt hinaus schließen. Einige Berichte behaupten sogar, dass Produktionsdaten betroffen waren. Analysten stellten fest, dass die Menge der exponierten Materialien auf eine umfassendere interne Kompromittierung hindeuten könnte, die möglicherweise den Diebstahl von Zugangsdaten oder den Zugriff auf interne Entwicklungs- und Kollaborationssysteme beinhaltet, anstatt auf einen klassischen Ransomware-Einsatz, bei dem ausschließlich Produktionssysteme verschlüsselt werden. 

Warum ist das wichtig?

Wir beobachten weiterhin einen Trend, bei dem Angreifer Datendiebstahl und öffentliche Datenlecks gegenüber verschlüsselungsbasierter Ransomware priorisieren. Für große Unternehmen können geistiges Eigentum, interne Tools und Quellcode ebenso schädlich sein wie längere Ausfallzeiten. Selbst ohne Hinweise auf die Offenlegung von Kundenzahlungsdaten können geleakte interne Informationen Folgeangriffe, Lieferkettenmissbrauch oder Wettbewerbsnachteile begünstigen. Der Vorfall zeigt, dass sich erpressungsfokussierte Operationen weiterentwickeln und dass der Schutz interner Daten und Zugriffskontrollen zentrale Bausteine der Ransomware-Abwehr sind, nicht nur Backup und Wiederherstellung. 

Microsoft-Office-Zero-Day aktiv ausgenutzt 

Im Januar musste Microsoft schnell reagieren, um eine aktiv ausgenutzte Zero-Day-Schwachstelle in Microsoft Office zu beheben, was zu einem außerplanmäßigen Sicherheitsupdate abseits des normalen Patch-Tuesday-Zyklus führte. Wie von TechRadar berichtet, missbrauchten Angreifer CVE-2026-21509, wodurch manipulierte Office-Dokumente lokale Sicherheitskontrollen umgehen konnten. Damit setzt sich die langjährige Tendenz fort, dass Office-Anwendungen ein äußerst zuverlässiger Vektor für den ersten Zugriff sind. 

Die schnelle Ausnutzung vor der Verfügbarkeit des Patches zwang Unternehmen zu einer raschen Reaktion, wodurch etablierte Patch- und Änderungsmanagement-Workflows gestört wurden. Wie bei vielen Office-basierten Angriffen spielte Phishing eine zentrale Rolle bei der Verbreitung bösartiger Dokumente, was die Wahrscheinlichkeit einer erfolgreichen Ausnutzung in realen Unternehmensumgebungen erhöhte. 

Warum ist das wichtig?

Office-Zero-Days verbinden Reichweite mit Geschwindigkeit. Ist die Ausnutzung aktiv, ist das Fenster zwischen Offenlegung und Kompromittierung sehr klein, insbesondere in Umgebungen mit hohem E-Mail-Aufkommen. Außerplanmäßige Patches erhöhen zudem den operativen Druck und verdeutlichen die Notwendigkeit geschichteter Abwehrmaßnahmen, die nicht ausschließlich auf Patching setzen, um dokumentbasierte Angriffe zu stoppen. 

Schwere n8n-Sicherheitslücken ermöglichen authentifizierte Remote Code Execution 

Sicherheitsforscher haben zwei hochgradige Schwachstellen in n8n, einer beliebten Open-Source-Plattform zur Workflow-Automatisierung, aufgedeckt, die es authentifizierten Nutzern ermöglichen, Remote-Code auf dem zugrunde liegenden Server auszuführen. Berichte von The Hacker News zeigen, wie diese Schwachstellen missbraucht werden können, sobald Angreifer über gültige Anmeldedaten verfügen. Zwar erfordern beide Schwachstellen einen bereits authentifizierten Nutzer, aber wir wissen, dass der Diebstahl von Anmeldedaten häufig durch Phishing, Passwort-Wiederverwendung oder den Diebstahl von OAuth-Tokens erfolgt. 

Die beiden betroffenen CVEs sind:

• CVE-2026-1470
• CVE-2026-0863

Da n8n häufig als Automatisierungs-Hub verwendet wird, speichert die Plattform oft API-Schlüssel, Geheimnisse und privilegierte Zugriffe auf mehreren SaaS-Diensten. Eine erfolgreiche Ausnutzung kann daher laterale Bewegungen über verbundene Services hinweg ermöglichen, statt sich auf ein einzelnes System zu beschränken. 

Warum ist das wichtig?

Automatisierungsplattformen sind in modernen Umgebungen zunehmend die „Schlüssel zur gesamten Umgebung“. Eine RCE-Schwachstelle in Tools wie n8n kompromittiert nicht nur einen Server, sondern kann ganze SaaS-Vertrauensketten gefährden. Der Vorfall verdeutlicht, warum Workflow-Automatisierungs- und Integrationsplattformen die gleiche sicherheitstechnische Sorgfalt verdienen wie Kerninfrastruktur und Identitätssysteme – eigentlich sogar mehr, angesichts ihrer weitreichenden Befugnisse. 

KI-assistierte Entdeckung mehrerer OpenSSL-Schwachstellen 

Die Branche wird von KI-Features überflutet, doch Unternehmen und Sicherheitsteams suchen nach konkreten Methoden und Beispielen, um einen tatsächlichen Nutzen aus KI zu ziehen. Im Januar gaben Forscher die Entdeckung mehrerer bislang unbekannter OpenSSL-Schwachstellen bekannt, die sie mithilfe KI-gestützter Analysetechniken aufgedeckt hatten. 

Wie TechRadar berichtet, zeigen die Ergebnisse, wie KI effektiv mit menschlicher Expertise kombiniert werden kann, um subtile kryptografische und speicherbezogene Probleme in einer der am weitesten verbreiteten Sicherheitsbibliotheken aufzudecken. 

Obwohl keines der neu identifizierten Probleme sofort zu massiven Angriffen führte, erregte die Forschung aufgrund der enormen Verbreitung von OpenSSL in Betriebssystemen, Geräten und Anwendungen Aufmerksamkeit. Selbst weniger schwerwiegende Fehler in einer so grundlegenden Bibliothek können ein überproportionales Risiko darstellen.

Warum ist das wichtig?

Diese Entwicklung verdeutlicht eine zweischneidige Realität: KI kann Verteidigern helfen, Schwachstellen früher zu finden, was eine gute Nachricht ist. Aber Angreifer können dieselben Techniken nutzen. Mit der Weiterentwicklung der KI-gestützten Schwachstellenerkennung wird sich die Zeit zwischen Entdeckung und Ausnutzung wahrscheinlich verkürzen, insbesondere bei grundlegenden Komponenten wie OpenSSL, die nach wie vor besonders attraktive Ziele sind. 

Predictions for the Coming Months

• Erpressung ohne Verschlüsselung wird zur Norm – Der Nike-Vorfall zeigt, dass sich Bedrohungsakteure zunehmend auf Operationen konzentrieren, bei denen der Datendiebstahl im Vordergrund steht. Es ist zu erwarten, dass immer mehr Angreifer ganz auf Verschlüsselung verzichten und sich stattdessen auf den Diebstahl von geistigem Eigentum, internen Dokumenten und Quellcode fokussieren, um ihren Einfluss zu maximieren und Druck aufzubauen. 
• E-Mail-Imitationsangriffe halten dort an, wo DMARC fehlt – Organisationen ohne durchgesetzte DMARC-Richtlinien werden weiterhin häufig Ziel von Phishing- und BEC-Angriffen sein. Angreifer suchen die einfachsten Möglichkeiten des Identitätsdiebstahls. Eine korrekte Konfiguration der E-Mail-Authentifizierung reduziert dieses Risiko. 
• Workflow- und Integrationsplattformen geraten stärker ins Visier – Tools wie n8n stehen im Zentrum von SaaS-Ökosystemen und verfügen oft über mächtige Anmeldedaten zu anderen Komponenten innerhalb einer bestimmten Umgebung. Mit wachsender Verbreitung steigt auch das Angreiferinteresse. Dies gilt insbesondere in Situationen, in denen der Diebstahl von Anmeldedaten und OAuth-Missbrauch als erster Schritt erfolgen. 
• Office-Zero-Days werden weiterhin schnell ausgenutzt – Dokumentbasierte Schwachstellen bleiben aufgrund ihrer Reichweite und Zuverlässigkeit attraktiv. Es ist mit einer anhaltend schnellen Ausnutzung zu rechnen, oft noch bevor Unternehmen Patches vollständig ausrollen können. 
• KI verkürzt Zeitfenster zwischen Entdeckung und Ausnutzung von Schwachstellen – Mit der zunehmenden Nutzung KI-gestützter Forschung wird sich das Zeitfenster zwischen der Entdeckung von Schwachstellen und deren Ausnutzung in der Praxis verkürzen, insbesondere bei weitverbreiteten Bibliotheken und Diensten wie OpenSSL. 
• Security-Teams werden einem zunehmenden operativen Druck ausgesetzt sein – Mehr außerplanmäßige Patches, schnellere Exploit-Zyklen und wachsende Angriffsflächen belasten Patch-Management, Änderungskontrolle und Incident-Response-Prozesse. 

Monatliche Empfehlungen 

• DMARC mit einer Ablehnungsrichtlinie durchsetzen – Organisationen sollten über reines Monitoring hinausgehen und DMARC-Ablehnungsrichtlinien erzwingen, die durch vollständige SPF- und DKIM-Abdeckung unterstützt werden, um das Risiko von Spoofing und Identitätsdiebstahl zu reduzieren. 
• Den Schutz interner Daten als Ransomware-Kontrolle verstehen – Angesichts der Zunahme von Erpressungen durch Datendiebstahl sollten Sie sich auf Zugriffskontrollen, Berechtigungen nach Least-Privilege-Prinzip und die Überwachung auf groß angelegten Datendiebstahl konzentrieren. Backup- und Wiederherstellungsstrategien bleiben unverzichtbar: Dass einige Gruppen die Verschlüsselung auslassen, bedeutet nicht, dass Ransomware keine Bedrohung mehr darstellt. 
• Reaktion auf Office-Schwachstellen beschleunigen – Aktiv ausgenutzte Office-Fehler erfordern sofortige Aufmerksamkeit. Mehrschichtige Abwehrmaßnahmen wie Sandboxing von Anhängen, Link-Umschreibung und Schulungen zur Sensibilisierung der Nutzer sind während Patch-Lücken von entscheidender Bedeutung. 
• Automatisierungs- und Workflow-Plattformen auditieren – Prüfen Sie Tools wie n8n auf Patch-Stand, Zugangsdaten-Hygiene und Umfang der Zugriffsrechte. Diese Plattformen sind als Hochrisiko-Infrastruktur zu behandeln. 
• Auf schnellere Exploit-Zyklen vorbereiten – Mit der Zunahme KI-gestützter Forschung ist von kürzeren Vorwarnzeiten zwischen Offenlegung und Ausnutzung auszugehen, vor allem bei weit verbreiteten Bibliotheken und Diensten. 
• Weiterhin in Schulungen zum Sicherheitsbewusstsein investieren – E-Mail-basierte Angriffe sind vor allem aufgrund menschlicher Faktoren nach wie vor sehr effektiv. Schulungen von Benutzern zu Identitätsdiebstahl, Zahlungsbetrug und bösartigen Dokumenten sind nach wie vor eine lohnende Investition in die Sicherheit. 

---

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.