Der März 2026 hat sehr deutlich gemacht, wo sich Unternehmensrisiken gerade konzentrieren:

1. „Exploited in the wild“-Schwachstellen in Enterprise-/Management-Systemen,
2. Datenabfluss statt Verschlüsselung (Extortion by exfiltration),
3. Cloud-/SaaS-Konten als Single-Point-of-Failure,
4. Destruktive Angriffe (Wiper/MDM-Missbrauch) mit realem operativem Schaden.

Im Folgenden die wichtigsten, öffentlich dokumentierten Fälle – plus konkrete Maßnahmen, wie man sie hätte verhindern oder zumindest deutlich abmildern können.

1) „Exploited in the wild“: VMware Aria Operations (unauthenticated Command Injection)

CISA nahm eine Schwachstelle in VMware Aria Operations (CVE-2026-22719) in den KEV-Katalog auf – mit Hinweis auf aktive Ausnutzung. Die Lücke ist ohne Authentifizierung ausnutzbar und ermöglicht Command-Injection bis hin zu Remote Code Execution.

Warum das fürs Business kritisch ist: Aria/vROps hängt oft nahe an Monitoring, Credentials und Management-Netzen. Wer hier drin ist, hat häufig eine gute Basis für laterale Bewegung.

So hätte man es vermeiden/abmildern können

• Patch-SLA: Internet-exponiert + unauthenticated RCE/Command-Injection = Tage, nicht Wochen
• Management-UIs nie direkt ins Internet (VPN/Jump-Host/Admin-Netz)
• Detektion: Alarme auf ungewöhnliche Prozessstarts/Command-Ausführung auf Management-Servern
• 
  

2) CISA-KEV im März: Workspace ONE, SolarWinds Web Help Desk, Ivanti EPM (aktive Ausnutzung)

CISA ergänzte Anfang/Mitte März mehrere nachweislich ausgenutzte Schwachstellen im KEV-Katalog, u. a.:

• Omnissa Workspace ONE (SSRF, CVE-2021-22054)
• SolarWinds Web Help Desk (Deserialization, CVE-2025-26399)
• Ivanti Endpoint Manager (Auth-Bypass, CVE-2026-1603)

Business-Implikation: Das sind typische „IT-Operations“-Komponenten (UEM/Helpdesk/Endpoint-Mgmt). Genau diese Systeme werden gerne angegriffen, weil sie breite Rechte und viel Reichweite im Unternehmen haben.

So hätte man es vermeiden/abmildern können

• Exponierte Admin-/Mgmt-Services reduzieren (intern halten, Zugriff nur über Zero-Trust/VPN)
• Vulnerability-Management nach Exploit-Signalen priorisieren (KEV = „jetzt“)
• Segmentierung: UEM/Helpdesk/Endpoint-Mgmt nicht im „normalen“ Büro-Netz betreiben
• 
  

3) AkzoNobel: bestätigter Cyberangriff auf US-Standort, Datenabfluss

AkzoNobel bestätigte einen Angriff auf ein US-Site-Netzwerk – nachdem eine Ransomware-Gruppe Daten geleakt hatte.

Warum das relevant ist: Industrieunternehmen bleiben attraktiv – nicht nur wegen Produktion, sondern wegen IP, Vertragsunterlagen, Finanzdaten und Personaldaten.

So hätte man es vermeiden/abmildern können

• „Data-Exfiltration-First“-Kontrollen: Egress-Monitoring, DLP-Signale, Alarm auf Massendownloads
• Least-Privilege + getrennte Zonen (Office / Engineering / OT / File-Server)
• Incident-Response-Playbooks speziell für Datenabfluss (Kommunikation, Legal, Kunden, Fristen)
• 
  

4) LexisNexis: bestätigter Datenvorfall, Fokus auf Cloud-Exfiltration

LexisNexis bestätigte einen Sicherheitsvorfall, nachdem Angreifer Zugriff und Datenabzug aus einer Cloud-Umgebung behaupteten.

Business-Takeaway: In Cloud-Incidents entscheidet oft weniger „0-Day-Magie“, sondern Berechtigungen + Secrets + Logging.

So hätte man es vermeiden/abmildern können

• Secrets-Management (keine Secrets in Logs/Repos, Rotation, Workload-Identities)
• Cloud-Least-Privilege (Rollen feingranular, kein „read-all“ für Datenplattformen)
• Egress-Kontrollen und Alerts auf ungewöhnliche Exporte/Reads (S3/DB-Exports)
• 
  

5) TriZetto: 3,4 Mio. Betroffene – verspätete Erkennung verschärft den Schaden

TriZetto bestätigte, dass Daten von über 3,4 Mio. Personen betroffen waren; Berichte betonen u. a. die lange Zeit bis zur Entdeckung.

Warum das für Unternehmen schmerzhaft ist: Nicht nur der Einbruch ist teuer – sondern die „Dwell Time“ (Zeit unentdeckt im System) macht den Schaden groß.

So hätte man es vermeiden/abmildern können

• Detection Engineering: Alarme auf ungewöhnliche Zugriffsmuster, Exfiltration, Admin-Anomalien
• Log-Pflicht + Retention (Cloud/SaaS/Endpoint) für echte Forensik
• Regelmäßige Table-Top-Übungen: Wer entscheidet wann über Abschaltung, Meldungen, Kundeninfo?
• 
  

6) Stryker: globaler IT-Impact nach Cyberangriff – disruptive Konsequenzen

Stryker meldete einen Angriff mit globaler Störung und laufender Wiederherstellung. Zusätzlich gab es öffentliche Berichte/Claims zu möglichen Hintergründen – unabhängig davon zeigt der Fall, wie real die operativen Folgen sind.

Business-Takeaway: Angriffe zielen zunehmend auf Betriebsfähigkeit (Destruktion, MDM/Identity-Missbrauch), nicht nur auf Verschlüsselung.

So hätte man es vermeiden/abmildern können

• Harte Absicherung von MDM/IdP (MFA, Conditional Access, Admin-Workstations, Approval-Workflows)
• „Break-Glass“-Konten streng kontrolliert + offline dokumentiert
• Segmentierte Wiederanlaufpläne (kritische Prozesse zuerst, nicht „alles gleichzeitig“)
• 
  

7) Europäische Kommission: bestätigter Datenabfluss über europa.eu-Cloud-Plattform

Ende März bestätigte die EU-Kommission einen Vorfall rund um europa.eu und Cloud-Infrastruktur; Berichterstattung verknüpft den Fall mit Datenextortion-Akteuren.

Warum das zählt: Auch wenn es ein öffentlicher Sektor-Fall ist: Das Muster (Cloud-Account/Plattform, breite Datenzugriffe, Exfiltration) ist 1:1 auf Unternehmen übertragbar.

So hätte man es vermeiden/abmildern können

• Cloud-Posture-Management (Fehlkonfigurationen & überbreite Policies finden)
• Egress-Monitoring + Alerts auf große Exporte
• „Separation of Duties“ für Cloud-Admins (keine All-in-one-Superuser)
• 
  

8) Mobile Zero-Day/„limited targeted exploitation“: Android/Qualcomm (CVE-2026-21385)

Google bestätigte im März-Bulletin eine Qualcomm-Komponente-Schwachstelle (CVE-2026-21385), die gezielt aktiv ausgenutzt wurde.

Warum das im Unternehmen wichtig ist: Smartphones sind oft MFA-Token, E-Mail-Postfach, VPN-Client. Ein kompromittiertes Gerät wird schnell zum Sprungbrett für Account-Übernahmen.

So hätte man es vermeiden/abmildern können

• MDM-Pflicht + Patch-Compliance-Gate (kein aktuelles Patchlevel → kein Zugriff auf M365/SaaS/VPN)
• Phishing-resistente MFA (FIDO2/Passkeys), um OTP-Diebstahl weniger wertvoll zu machen
• Trennung von Admin-Identitäten (Admin nicht auf Daily-Driver-Geräten)
• 
  

Der rote Faden im März 2026

1) Patch-Tempo ist Wettbewerbsvorteil. KEV-Einträge und „exploited in the wild“ müssen wie Incidents behandelt werden.

2) Datenabfluss ist das neue Standard-Erpressungsmodell. Viele Fälle drehen sich um Exfiltration und Leaks statt nur Verschlüsselung.

3) Cloud/Identity/MDM sind Hochrisiko-Schaltstellen. Wer diese Kontrollpunkte verliert, verliert schnell das Unternehmen.

Executive-Checkliste 

• KEV-getriebene Patch-SLA (kritisch + extern = <72h)
• Kein Internet-Exposure für Management-Interfaces (UEM, SD-WAN, Monitoring, Backup)
• Cloud-Least-Privilege + Secrets-Hygiene als Audit-Pflichtpunkt
• Egress-Monitoring/DLP gegen Massendownloads & Exporte
• MDM/IdP Hardening + Admin-Workstations + Approval-Workflows
• Recovery-Tests (Wiederherstellung beweisen, nicht annehmen)