7 Min.
Cybersicherheit im April 2026 — IT-Sicherheitsanalyse am Bildschirm nach dem Microsoft-Patchday

Cybersicherheit im April 2026: Wurmfähige Windows-Lücke, Patchday-Warnung und 35 Angriffe auf den Mittelstand

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Der Microsoft-Patchday am 14. April schloss 165 Sicherheitslücken — darunter die wurmfähige Windows-Lücke CVE-2026-33824 (CVSS 9.8), vor der das BSI ausdrücklich warnt, und einen bereits aktiv ausgenutzten SharePoint-Zero-Day.
  • 35 deutsche Unternehmen landeten im April auf den Leak-Seiten von Ransomware-Gruppen — überwiegend Mittelständler: Verzinkerei, Fensterbau, Hausverwaltung, Pharma.
  • BSI und Verfassungsschutz aktualisierten ihre Warnung vor Phishing über Messenger-Dienste wie Signal — die Angriffe staatlicher Akteure werden professioneller.
  • Die wichtigsten Maßnahmen: Patches für Server binnen 48 Stunden, von außen erreichbare Dienste inventarisieren, Zwei-Faktor-Authentifizierung überall.

Der April 2026 war der Monat, in dem eine einzige Windows-Schwachstelle Erinnerungen an WannaCry weckte. Gleichzeitig zeigt die Opferliste des Monats: Getroffen wurden keine Konzerne, sondern Betriebe, die aussehen wie Ihrer. Hier ist der Rückblick — und was Sie konkret daraus machen.

35 Angriffe in 30 Tagen: Der April traf den Mittelstand

Wer glaubt, Ransomware-Gruppen interessierten sich nur für Großkonzerne, sollte einen Blick in die laufend aktualisierte Vorfallliste von Security-Insider werfen. Für den April 2026 stehen dort 35 deutsche Unternehmen — darunter eine Verzinkerei, ein Fensterbauer, eine Wohnungsgenossenschaft aus Neukölln, mehrere Hausverwaltungen, ein Tierarzneimittel-Hersteller und gleich mehrere Anwaltskanzleien.

Das ist der Punkt, den wir Geschäftsführern in Hamburg immer wieder zeigen: Die Angreifer suchen nicht das größte Ziel, sondern das leichteste. Ein Betrieb mit 30 Mitarbeitern, einem von außen erreichbaren Server und ohne getestetes Backup ist für automatisierte Angriffe attraktiver als ein Konzern mit eigenem Security-Team.

Auffällig ist auch, wen es traf: Hausverwaltungen, Kanzleien, Personaldienstleister. Also Betriebe, die viele sensible Daten Dritter verwalten, aber selten eine eigene IT-Abteilung haben. Für Erpresser ist das die ideale Kombination — der Datenschaden trifft nicht nur das Unternehmen selbst, sondern Mieter, Mandanten und Bewerber. Das erhöht den Druck zu zahlen.

„Wir sind zu klein, um ein Ziel zu sein"?

Die April-Liste widerlegt das: Der kleinste gelistete Betrieb ist ein Fensterbauer, der größte ein Modehändler. Automatisierte Angriffe kennen keine Mindestgröße — sie scannen das ganze Internet und nehmen, was offen ist. Die Frage ist nicht, ob Sie interessant sind, sondern ob Sie erreichbar sind.

35
deutsche Unternehmen im April auf Leak-Seiten
165
geschlossene Lücken am April-Patchday
9.8
CVSS-Score der Windows-IKE-Lücke

Was ein solcher Angriff im Alltag bedeutet, beschreibt einer unserer Kunden, der es selbst erlebt hat:

Drei Monate komplett alles weg. Alles, was wir geschrieben haben, alles, was wir gemacht haben.

Bernd Kühn · Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter (nach Ransomware-Angriff)

Falls es Sie trifft: Zahlen ist fast immer die schlechteste Option. Was stattdessen funktioniert, haben wir im Beitrag Ransomware-Angriff — was tun statt Lösegeld zahlen beschrieben.

CVE-2026-33824: Die wurmfähige Windows-Lücke

Am 14. April schloss Microsoft 165 Sicherheitslücken, davon 8 kritische. Eine davon sticht heraus: CVE-2026-33824 im Windows-IKE-Dienst. Die Lücke erlaubt einem nicht angemeldeten Angreifer, über manipulierte Pakete Schadcode auf Windows-Servern auszuführen — Voraussetzung ist nur, dass IKEv2 läuft und das System von außen erreichbar ist. Das trifft auf viele VPN-Gateways zu.

Patch-Management im April 2026 — Netzwerkverkabelung im Serverschrank nach dem Microsoft-Patchday
Von außen erreichbare Server — etwa VPN-Gateways — standen im April im Zentrum der BSI-Warnung.

Das BSI hat dazu eine eigene Cybersicherheitswarnung veröffentlicht und stuft die Schwachstelle mit CVSS 9.8 von 10 ein. Sicherheitsforscher bezeichnen sie als wurmfähig: Ein Schädling könnte sich damit selbstständig von Server zu Server verbreiten, ohne dass irgendjemand klickt — dasselbe Muster wie bei WannaCry 2017.

Was heißt das konkret für Sie? Stellen Sie Ihrem IT-Verantwortlichen — intern oder extern — drei Fragen: Erstens, ist das April-Update auf allen Windows-Servern installiert? Zweitens, welche unserer Systeme sind überhaupt aus dem Internet erreichbar — und warum? Drittens, wie schnell erfahren wir es, wenn ein kritischer Patch erscheint? Wenn auf eine dieser Fragen keine klare Antwort kommt, haben Sie Ihr Sommerprojekt gefunden. In unserer Praxis ist die dritte Frage die entscheidende: Nicht das einzelne Update rettet Sie, sondern der Prozess, der kein Update vergisst.

Ebenfalls kritisch:

Die SharePoint-Lücke CVE-2026-32201 wurde zum Patchday bereits aktiv ausgenutzt. Wer SharePoint-Server selbst betreibt und das April-Update noch nicht eingespielt hat, sollte das nicht auf nächste Woche verschieben — die Angreifer sind schon unterwegs.

Aus unserer Praxis mit über 5.000 Support-Tickets pro Jahr wissen wir: Das Problem ist selten das fehlende Update, sondern der fehlende Prozess. Niemand fühlt sich zuständig, das Wartungsfenster wird verschoben, und drei Monate später steht der ungepatche Server immer noch im Netz. Genau dafür gibt es Managed IT Services, bei denen Patch-Management zum Festpreis einfach mitläuft.

Messenger-Phishing: BSI und Verfassungsschutz warnen erneut

Am 17. April haben BSI und Bundesamt für Verfassungsschutz ihre gemeinsame Warnung vor Phishing-Kampagnen über Messenger-Dienste wie Signal aktualisiert. Dahinter steckt mutmaßlich ein staatlich gesteuerter Akteur, der es auf Politik, Militär und Journalisten abgesehen hat. Die Masche: Über gefälschte Gruppeneinladungen wird das Konto des Opfers unbemerkt an ein fremdes Gerät gekoppelt — der Angreifer liest ab dann live mit.

Warum das auch Sie angeht? Die Techniken staatlicher Angreifer landen erfahrungsgemäß wenige Monate später im Werkzeugkasten gewöhnlicher Krimineller. Und in vielen Unternehmen laufen vertrauliche Absprachen längst über WhatsApp und Signal — außerhalb jeder Firmen-IT. Wie Sie solche Maschen erkennen, zeigt unser Leitfaden Phishing erkennen und abwehren.

Aus der Praxis

Zwei-Faktor-Authentifizierung. Das ist der Schutz Nummer eins vor Ransomware.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Der Satz klingt banal — aber er passt exakt zur April-Lage: Die meisten der 35 gelisteten Angriffe begannen nicht mit einer spektakulären Zero-Day-Lücke, sondern mit gestohlenen Zugangsdaten und ungepatchten Systemen. Beides ist mit überschaubarem Aufwand abstellbar. Laut BSI macht Zwei-Faktor-Authentifizierung rund 99 Prozent aller kontobasierten Angriffe wirkungslos — und sie kostet nichts außer fünf Minuten pro Mitarbeiter.

Und noch eine Beobachtung aus unserer Praxis, die im April wieder aktuell wurde: Wir sehen jede Woche Backups, die seit Monaten nicht geprüft wurden. Bei einem Ransomware-Angriff wären diese Unternehmen komplett aufgeschmissen — denn Krypto-Trojaner werden oft nicht sofort aktiv, sondern schlummern erst. Wer dann das Backup von letzter Woche zurückspielt, holt sich den Schädling gleich mit zurück. Ein Backup zählt erst, wenn die Wiederherstellung getestet ist — inklusive eines Stands, der weit genug zurückreicht.

Was Sie jetzt tun sollten

  • April-Patchday einspielen. Prüfen Sie heute, ob das Update vom 14. April auf allen Servern und Clients installiert ist — besonders auf VPN-Gateways (IKE-Lücke) und SharePoint-Servern.
  • Außenkante inventarisieren. Welche Ihrer Systeme sind aus dem Internet erreichbar? Jeder offene Dienst, den niemand mehr braucht, ist ein Geschenk an Angreifer.
  • Zwei-Faktor-Authentifizierung erzwingen. Für E-Mail, VPN und Microsoft 365 — ohne Ausnahme, auch für die Geschäftsführung.
  • Backup testen, nicht nur haben. Eine saubere Backup-Strategie entscheidet, ob ein Ransomware-Angriff drei Tage oder drei Monate kostet.
  • Messenger-Regeln aufstellen. Keine Firmeninterna über private Messenger — und gekoppelte Geräte in Signal & Co. regelmäßig prüfen.
Das Wichtigste: Der April 2026 zeigt beide Angriffswege gleichzeitig — hochkritische Lücken für automatisierte Massenangriffe und Ransomware gegen ganz normale Mittelständler. Wer Patches binnen 48 Stunden einspielt, MFA erzwingt und sein Backup testet, ist gegen beide Szenarien deutlich besser aufgestellt als der Durchschnitt.

Sie wollen wissen, wo Ihr Unternehmen steht? Als IT-Sicherheits-Dienstleister aus Hamburg prüfen wir Ihre Außenkante, Ihr Patch-Management und Ihr Backup — ohne Fachchinesisch, mit klarer Prioritätenliste. Den Vormonat können Sie hier nachlesen: Cybersicherheitsbedrohungen im März 2026.

Ist Ihr Unternehmen gegen die April-Lücken abgesichert?

15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.

Termin buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Fallstudie · Private Equity
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

CVE-2026-33824 im Windows-IKE-Dienst. Die Lücke erreicht einen CVSS-Wert von 9.8 von 10 und erlaubt Angreifern, ohne Anmeldung Schadcode aus der Ferne auszuführen — sie gilt als wurmfähig, kann sich also selbstständig von Server zu Server verbreiten. Das BSI hat eine eigene Sicherheitswarnung veröffentlicht. Betroffen sind Windows-Server, auf denen IKEv2 läuft und die von außen erreichbar sind, etwa für VPN-Verbindungen.

Die Übersicht von Security-Insider listet 35 Vorfälle allein im April 2026 — darunter fast ausschließlich Mittelständler: eine Verzinkerei, ein Fensterbauer, Hausverwaltungen, eine Wohnungsgenossenschaft, ein Pharma-Hersteller und mehrere Kanzleien. Die Vorstellung, nur Konzerne seien Ziele, ist damit endgültig widerlegt.

Ja. Der April-Patchday schloss 165 Sicherheitslücken, davon 8 kritische — darunter eine bereits aktiv ausgenutzte SharePoint-Lücke. Wer Updates wochenlang liegen lässt, ist genau das leichte Ziel, das automatisierte Angriffe suchen. Faustregel: Kritische Server-Patches innerhalb von 48 Stunden, der Rest innerhalb von 14 Tagen.

BSI und Verfassungsschutz warnen seit Februar 2026 — aktualisiert am 17. April — vor Phishing-Kampagnen über Messenger wie Signal. Die Angreifer koppeln fremde Konten über gefälschte Gruppeneinladungen an eigene Geräte. Auch wenn primär Politik und Militär im Visier stehen: Die Masche funktioniert genauso gegen Geschäftsführer, die über Messenger Firmeninterna besprechen.