Inhalt in Kürze
- Der Microsoft-Patchday am 14. April schloss 165 Sicherheitslücken — darunter die wurmfähige Windows-Lücke CVE-2026-33824 (CVSS 9.8), vor der das BSI ausdrücklich warnt, und einen bereits aktiv ausgenutzten SharePoint-Zero-Day.
- 35 deutsche Unternehmen landeten im April auf den Leak-Seiten von Ransomware-Gruppen — überwiegend Mittelständler: Verzinkerei, Fensterbau, Hausverwaltung, Pharma.
- BSI und Verfassungsschutz aktualisierten ihre Warnung vor Phishing über Messenger-Dienste wie Signal — die Angriffe staatlicher Akteure werden professioneller.
- Die wichtigsten Maßnahmen: Patches für Server binnen 48 Stunden, von außen erreichbare Dienste inventarisieren, Zwei-Faktor-Authentifizierung überall.
Der April 2026 war der Monat, in dem eine einzige Windows-Schwachstelle Erinnerungen an WannaCry weckte. Gleichzeitig zeigt die Opferliste des Monats: Getroffen wurden keine Konzerne, sondern Betriebe, die aussehen wie Ihrer. Hier ist der Rückblick — und was Sie konkret daraus machen.
35 Angriffe in 30 Tagen: Der April traf den Mittelstand
Wer glaubt, Ransomware-Gruppen interessierten sich nur für Großkonzerne, sollte einen Blick in die laufend aktualisierte Vorfallliste von Security-Insider werfen. Für den April 2026 stehen dort 35 deutsche Unternehmen — darunter eine Verzinkerei, ein Fensterbauer, eine Wohnungsgenossenschaft aus Neukölln, mehrere Hausverwaltungen, ein Tierarzneimittel-Hersteller und gleich mehrere Anwaltskanzleien.
Das ist der Punkt, den wir Geschäftsführern in Hamburg immer wieder zeigen: Die Angreifer suchen nicht das größte Ziel, sondern das leichteste. Ein Betrieb mit 30 Mitarbeitern, einem von außen erreichbaren Server und ohne getestetes Backup ist für automatisierte Angriffe attraktiver als ein Konzern mit eigenem Security-Team.
Auffällig ist auch, wen es traf: Hausverwaltungen, Kanzleien, Personaldienstleister. Also Betriebe, die viele sensible Daten Dritter verwalten, aber selten eine eigene IT-Abteilung haben. Für Erpresser ist das die ideale Kombination — der Datenschaden trifft nicht nur das Unternehmen selbst, sondern Mieter, Mandanten und Bewerber. Das erhöht den Druck zu zahlen.
Die April-Liste widerlegt das: Der kleinste gelistete Betrieb ist ein Fensterbauer, der größte ein Modehändler. Automatisierte Angriffe kennen keine Mindestgröße — sie scannen das ganze Internet und nehmen, was offen ist. Die Frage ist nicht, ob Sie interessant sind, sondern ob Sie erreichbar sind.
Was ein solcher Angriff im Alltag bedeutet, beschreibt einer unserer Kunden, der es selbst erlebt hat:
Drei Monate komplett alles weg. Alles, was wir geschrieben haben, alles, was wir gemacht haben.
Falls es Sie trifft: Zahlen ist fast immer die schlechteste Option. Was stattdessen funktioniert, haben wir im Beitrag Ransomware-Angriff — was tun statt Lösegeld zahlen beschrieben.
CVE-2026-33824: Die wurmfähige Windows-Lücke
Am 14. April schloss Microsoft 165 Sicherheitslücken, davon 8 kritische. Eine davon sticht heraus: CVE-2026-33824 im Windows-IKE-Dienst. Die Lücke erlaubt einem nicht angemeldeten Angreifer, über manipulierte Pakete Schadcode auf Windows-Servern auszuführen — Voraussetzung ist nur, dass IKEv2 läuft und das System von außen erreichbar ist. Das trifft auf viele VPN-Gateways zu.
Das BSI hat dazu eine eigene Cybersicherheitswarnung veröffentlicht und stuft die Schwachstelle mit CVSS 9.8 von 10 ein. Sicherheitsforscher bezeichnen sie als wurmfähig: Ein Schädling könnte sich damit selbstständig von Server zu Server verbreiten, ohne dass irgendjemand klickt — dasselbe Muster wie bei WannaCry 2017.
Was heißt das konkret für Sie? Stellen Sie Ihrem IT-Verantwortlichen — intern oder extern — drei Fragen: Erstens, ist das April-Update auf allen Windows-Servern installiert? Zweitens, welche unserer Systeme sind überhaupt aus dem Internet erreichbar — und warum? Drittens, wie schnell erfahren wir es, wenn ein kritischer Patch erscheint? Wenn auf eine dieser Fragen keine klare Antwort kommt, haben Sie Ihr Sommerprojekt gefunden. In unserer Praxis ist die dritte Frage die entscheidende: Nicht das einzelne Update rettet Sie, sondern der Prozess, der kein Update vergisst.
Die SharePoint-Lücke CVE-2026-32201 wurde zum Patchday bereits aktiv ausgenutzt. Wer SharePoint-Server selbst betreibt und das April-Update noch nicht eingespielt hat, sollte das nicht auf nächste Woche verschieben — die Angreifer sind schon unterwegs.
Aus unserer Praxis mit über 5.000 Support-Tickets pro Jahr wissen wir: Das Problem ist selten das fehlende Update, sondern der fehlende Prozess. Niemand fühlt sich zuständig, das Wartungsfenster wird verschoben, und drei Monate später steht der ungepatche Server immer noch im Netz. Genau dafür gibt es Managed IT Services, bei denen Patch-Management zum Festpreis einfach mitläuft.
Messenger-Phishing: BSI und Verfassungsschutz warnen erneut
Am 17. April haben BSI und Bundesamt für Verfassungsschutz ihre gemeinsame Warnung vor Phishing-Kampagnen über Messenger-Dienste wie Signal aktualisiert. Dahinter steckt mutmaßlich ein staatlich gesteuerter Akteur, der es auf Politik, Militär und Journalisten abgesehen hat. Die Masche: Über gefälschte Gruppeneinladungen wird das Konto des Opfers unbemerkt an ein fremdes Gerät gekoppelt — der Angreifer liest ab dann live mit.
Warum das auch Sie angeht? Die Techniken staatlicher Angreifer landen erfahrungsgemäß wenige Monate später im Werkzeugkasten gewöhnlicher Krimineller. Und in vielen Unternehmen laufen vertrauliche Absprachen längst über WhatsApp und Signal — außerhalb jeder Firmen-IT. Wie Sie solche Maschen erkennen, zeigt unser Leitfaden Phishing erkennen und abwehren.
Aus der Praxis
Zwei-Faktor-Authentifizierung. Das ist der Schutz Nummer eins vor Ransomware.
Der Satz klingt banal — aber er passt exakt zur April-Lage: Die meisten der 35 gelisteten Angriffe begannen nicht mit einer spektakulären Zero-Day-Lücke, sondern mit gestohlenen Zugangsdaten und ungepatchten Systemen. Beides ist mit überschaubarem Aufwand abstellbar. Laut BSI macht Zwei-Faktor-Authentifizierung rund 99 Prozent aller kontobasierten Angriffe wirkungslos — und sie kostet nichts außer fünf Minuten pro Mitarbeiter.
Und noch eine Beobachtung aus unserer Praxis, die im April wieder aktuell wurde: Wir sehen jede Woche Backups, die seit Monaten nicht geprüft wurden. Bei einem Ransomware-Angriff wären diese Unternehmen komplett aufgeschmissen — denn Krypto-Trojaner werden oft nicht sofort aktiv, sondern schlummern erst. Wer dann das Backup von letzter Woche zurückspielt, holt sich den Schädling gleich mit zurück. Ein Backup zählt erst, wenn die Wiederherstellung getestet ist — inklusive eines Stands, der weit genug zurückreicht.
Was Sie jetzt tun sollten
- April-Patchday einspielen. Prüfen Sie heute, ob das Update vom 14. April auf allen Servern und Clients installiert ist — besonders auf VPN-Gateways (IKE-Lücke) und SharePoint-Servern.
- Außenkante inventarisieren. Welche Ihrer Systeme sind aus dem Internet erreichbar? Jeder offene Dienst, den niemand mehr braucht, ist ein Geschenk an Angreifer.
- Zwei-Faktor-Authentifizierung erzwingen. Für E-Mail, VPN und Microsoft 365 — ohne Ausnahme, auch für die Geschäftsführung.
- Backup testen, nicht nur haben. Eine saubere Backup-Strategie entscheidet, ob ein Ransomware-Angriff drei Tage oder drei Monate kostet.
- Messenger-Regeln aufstellen. Keine Firmeninterna über private Messenger — und gekoppelte Geräte in Signal & Co. regelmäßig prüfen.
Sie wollen wissen, wo Ihr Unternehmen steht? Als IT-Sicherheits-Dienstleister aus Hamburg prüfen wir Ihre Außenkante, Ihr Patch-Management und Ihr Backup — ohne Fachchinesisch, mit klarer Prioritätenliste. Den Vormonat können Sie hier nachlesen: Cybersicherheitsbedrohungen im März 2026.
Ist Ihr Unternehmen gegen die April-Lücken abgesichert?
15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.
Termin buchen →