WOODLANDS ADVISORY
Woodlands Advisory · Threat Intelligence

Executive Threat Dashboard

DACH-Bedrohungslage · Regulatorische Fristen · Persönliche Risikobewertung

Advisory anfragen →
Live|DACH-Bedrohungslage|Do., 09. April 2026
Bedrohungsstufe:ERHÖHTErhöhte Aktivität, Awareness erforderlich
Lagebericht der Woche

Was ist diese Woche passiert?

KW 15 · 7. April 2026

Geopolitische Eskalation trifft digitale Infrastruktur – DACH-Unternehmen im Fadenkreuz.

Die erste Aprilwoche markiert eine neue Qualität in der Bedrohungslage für den DACH-Raum: Staatlich gesteuerte Akteure aus dem osteuropäischen und ostasiatischen Raum haben ihre Angriffskapazitäten auf kritische Infrastruktur, Finanzinstitute und mittelständische Zulieferer konzentriert. Parallel dazu hat das BSI drei kritische Schwachstellen in weit verbreiteten VPN-Lösungen (Ivanti Connect Secure, Cisco ASA) als aktiv ausgenutzt eingestuft. Die Anzahl der gemeldeten Sicherheitsvorfälle im DACH-Raum ist gegenüber Vorwoche um 34% gestiegen.

Besonders auffällig ist die Zunahme von Supply-Chain-Angriffen auf Software-Dienstleister im DACH-Raum. Angreifer kompromittieren gezielt kleinere Softwarehäuser, um über deren Update-Mechanismen Zugang zu größeren Unternehmensinfrastrukturen zu erhalten – ein klassischer „Trusted-Supplier"-Angriff, der in der internen Risikobetrachtung vieler Unternehmen noch immer unterrepräsentiert ist. Drei bestätigte Vorfälle dieser Art wurden diese Woche bekannt.

Woodlands empfiehlt für diese Woche: (1) Ivanti Connect Secure und Cisco ASA sofort auf aktuelle Patches prüfen, (2) Software-Drittanbieter auf aktuelle Sicherheitszertifizierungen prüfen und Lieferketten-Risiko in das nächste Board-Update aufnehmen, (3) Netzwerksegmentierung überprüfen – besonders die Isolation von Produktions- und Büronetzen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 13 · 24. März 2026

Erhöhte Aktivität auf breiter Front – kein Einzelereignis, sondern ein Muster.

Die vergangene Woche war geprägt durch drei parallele Entwicklungen: die aktive Ausnutzung einer kritischen Fortinet-Schwachstelle durch staatlich gesteuerte APT-Gruppen, eine koordinierte Ransomware-Kampagne gegen den deutschen Mittelstand sowie die ersten offiziellen BSI-Bußgeldverfahren unter NIS2. Jede dieser Entwicklungen wäre für sich genommen bereits bemerkenswert – ihr gleichzeitiges Auftreten ist kein Zufall.

Für Entscheider bedeutet das: Der Zeitdruck, Sicherheitsmaßnahmen zu dokumentieren und nachweisbar zu machen, hat sich in dieser Woche spürbar erhöht. Unternehmen, die ihre Incident-Response-Prozesse noch nicht formalisiert haben, stehen vor einem doppelten Risiko: technischer Kompromittierung und regulatorischer Konsequenz.

Woodlands empfiehlt, in den nächsten zwei Wochen drei Prioritäten zu setzen: (1) Fortinet-Systeme sofort patchen oder isolieren, (2) den eigenen NIS2-Meldeprozess intern überprüfen, (3) das Board über die aktuelle Haftungslage informieren.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
Bedrohungsradar

Aktive Bedrohungen im DACH-Raum

Zusammenfassung

Ein kritischer Zero-Day in Ivanti Connect Secure (CVE-2026-1148, CVSS 10.0) ermöglicht unauthentifizierte Remote Code Execution. Das BSI stuft die Schwachstelle als aktiv ausgenutzt ein. Betroffen sind Ivanti Connect Secure < 22.8.2 und Policy Secure < 22.7.3. CISA hat eine Emergency Directive herausgegeben.

Woodlands Einschätzung

Ivanti-Produkte sind im DACH-Raum als Remote-Access-Lösung weit verbreitet – besonders in regulierten Branchen und bei Unternehmen mit hybriden Arbeitsmodellen. Diese Schwachstelle ist das klassische Gateway für Ransomware-Gruppen: unauthentifiziert, volles RCE, kein Nutzerinteraktion nötig. Wer nicht innerhalb von 24h patcht, läuft aktiv in ein dokumentiertes Risiko.

Handlungsempfehlung

Ivanti Connect Secure und Policy Secure sofort auf aktuelle Versionen patchen. Sofern Patching nicht binnen 24h möglich: Ivanti-Systeme vom externen Zugang isolieren, alle aktiven Sessions invalidieren und forensischen Snapshot anlegen. Anschließend Patchstatus dokumentieren.

Zusammenfassung

In der ersten Aprilwoche wurden drei bestätigte Supply-Chain-Kompromittierungen bei deutschen Softwareanbietern bekannt. Angreifer injizierten Schadcode in Update-Mechanismen, der bei Endkunden ausgeführt wurde. Betroffen sind geschätzt mehrere hundert nachgelagerte Unternehmen im DACH-Raum.

Woodlands Einschätzung

Supply-Chain-Angriffe sind das am schnellsten wachsende Angriffsmuster im DACH-Raum – und das am schwersten zu verteidigene. Die Angreifer wissen, dass kleinere Softwareanbieter im Vergleich zu deren Endkunden deutlich schwächere Security-Kontrollen haben. Der Weg ins Zielunternehmen führt damit über den vertrauenswürdigen Lieferanten.

Handlungsempfehlung

Softwarelieferkette auditieren: Welche Drittanbieter haben automatischen Update-Zugriff auf Ihre Systeme? Software-Bill-of-Materials (SBOM) anfordern. Privilegierte Drittanbieter-Zugriffe auf Minimum reduzieren und Audit-Logging aktivieren.

Zusammenfassung

Cisco veröffentlichte einen Patch für CVE-2026-1087 in Cisco ASA und Firepower Threat Defense (FTD). Die Schwachstelle erlaubt authentifizierten Angreifern mit geringen Rechten, vollständige Firewall-Policies zu umgehen. Staatlich gesteuerte APT-Gruppen haben die Schwachstelle nach BSI-Angaben bereits aktiv ausgenutzt.

Woodlands Einschätzung

Cisco ASA ist in der DACH-Unternehmensinfrastruktur allgegenwärtig – als Perimeter-Firewall, als VPN-Konzentrator, in Produktionsnetzen. Ein Firewall-Bypass durch einen bereits kompromittierten Insider oder über initial access via Phishing ist ein Worst-Case-Szenario für Network Segmentation als Defense-in-Depth-Maßnahme.

Handlungsempfehlung

Cisco Security Advisory cisco-sa-asa-ftd-2026-1087 sofort umsetzen. Priorität auf Systeme mit externer Exposition. Change Management für Security-Patches temporär priorisieren. Netzwerksegmentierung als unabhängige Kontrolle überprüfen.

Zusammenfassung

Die BaFin hat angekündigt, ab Q2 2026 erste formelle DORA-Prüfungen bei beaufsichtigten Finanzunternehmen durchzuführen. Schwerpunkte sind ICT-Risikomanagement, Incident-Meldepflichten und Third-Party-Risk-Management. Unternehmen ohne dokumentiertes DORA-Framework riskieren Bußgelder bis zu 1% des weltweiten Jahresumsatzes.

Woodlands Einschätzung

Viele Finanzunternehmen im DACH-Raum haben DORA-Projekte gestartet, aber noch nicht abgeschlossen. Der entscheidende Unterschied bei BaFin-Prüfungen ist nicht, ob Sie DORA umgesetzt haben – sondern ob Sie es nachweisen können. Dokumentation, auditierbare Prozesse und DORA-konforme Drittanbieterverträge sind die kritischen Lücken, die wir regelmäßig sehen.

Handlungsempfehlung

DORA-Readiness-Gap-Assessment durchführen. Schwerpunkte: ICT-Risikoregister, Incident-Klassifizierungsmatrix und Register of Information für IKT-Drittdienstleister. Frühzeitig mit Compliance-Team auf BaFin-Prüfungslogik ausrichten.

Compliance-Kalender

Regulatorische Fristen — nächste 12 Monate

März 26AprMaiJunJulAugSepOktNovDezJan. 27FebMär
Heute
NIS2Mai 26
DORAJuli 26
AI ActAug. 26
ISOOkt. 26
NIS2Nov. 26
DSGVOJan. 27
Sektoranalyse

Risiko-Heatmap nach Branche & Bedrohungsvektor

Gated
Niedrig
Mittel
Hoch
Kritisch
Ransomware
Supply Chain
Phishing / BEC
Regulierung
Data Breach
Insider Threat
SaaS
FinTech
HealthTech
Manufacturing
Retail
Critical Infra

Vollständige Heatmap freischalten

Sehen Sie, wie Ihr Sektor im Vergleich abschneidet.

Historische Trends

Ransomware-Volumen · Breach-Kosten · Exploit-Speed

Gated
94Vorfälle Q1 2026Quelle: BSI Lagebericht + BleepingComputer
94.066.038.0Q1'24Q2'24Q3'24Q4'24Q1'25Q2'25Q3'25Q4'25Q1'2694

Trendanalyse freischalten

Ransomware-Volumen, Breach-Kosten und Exploit-Geschwindigkeit seit Q1 2024.

DACH Threat Feed

Aktuelle Cybervorfälle im DACH-Raum

Gated
Kritisch14:22

Fortinet FortiOS RCE (CVE-2026-1337) aktiv ausgenutzt – Sofortpatch erforderlich

CISA KEV
Hoch11:05

BSI warnt vor gezielten Phishing-Kampagnen gegen DACH-Energieversorger

BSI CERT-Bund
Hoch09:47

BlackForest-Ransomware: Neues Sample mit verbesserter Persistenz entdeckt

BleepingComputer
Mittel08:30

SAP Security Note #3441234 – Privilege Escalation in NetWeaver AS ABAP

SAP
Hoch07:15

Europäisches Parlament: KI-Haftungsrichtlinie in zweiter Lesung angenommen

EU Parlament
MittelGestern

Verizon DBIR 2026: 68 % aller Breaches involvieren menschliches Versagen

Verizon
KritischGestern

Zero-Day in Ivanti Connect Secure – PoC-Exploit öffentlich verfügbar

heise Security
HochMo, 23.03.

BaFin kündigt DORA-Prüfungen für Q2 2026 bei 23 Instituten an

BaFin

DACH Threat Feed freischalten

Alle aktuellen DACH-Cybervorfälle auf einen Blick.

Woodlands Einschätzung

Monatliches Statement des Gründers

FH
April 2026

Warum die makroökonomische Volatilität Cybersecurity-Budgets zerstört – und was Entscheider jetzt tun müssen.

Die geopolitische Unsicherheit des ersten Quartals 2026 hat eine paradoxe Situation erzeugt: Unternehmen, die angesichts wirtschaftlicher Unsicherheit Budgets kürzen, tun das häufig zuerst bei Sicherheitsausgaben – während genau diese Unsicherheit die Angriffsfläche dramatisch vergrößert. Staatlich gesteuerte Akteure nutzen wirtschaftliche Instabilität gezielt aus, weil sie wissen, dass Unternehmen in Konsolidierungsphasen organisatorisch und technisch verwundbarer werden.

Hinzu kommt ein strukturelles Problem: In einem Umfeld steigender Finanzierungskosten und rückläufiger Bewertungsmultiplikatoren gerät IT-Security in Budgetverhandlungen systematisch unter Druck. Die klassische Argumentation – „wir investieren in Security, weil wir es müssen" – verfängt in Board-Diskussionen über Kostensenkung immer weniger. Was verfängt: die Sprache der Werterhaltung. Ein nicht behobenes Sicherheitsrisiko ist kein IT-Problem. Es ist ein Abwertungsrisiko für das Unternehmen – und das ist genau die Sprache, die PE-Investoren und Kreditgeber sprechen.

Meine Empfehlung für April: Wenn Sie in einem Budget-Review-Gespräch sitzen und Security-Ausgaben verteidigen müssen – rahmen Sie die Frage nicht als Kostendebatte, sondern als Bewertungsfrage. Ein ungesichertes Unternehmen wird bei der nächsten Due Diligence abgewertet. Das ist keine Theorie – das ist der Markt, der seit 2024 Sicherheitsreife systematisch bepreist.

Fabian Hausner · Gründer & CEO, Woodlands AdvisoryStrategiegespräch vereinbaren →
März 2026

Warum NIS2 kein IT-Thema ist – und warum das entscheidend ist.

In den letzten Wochen führe ich auffällig viele Gespräche mit Geschäftsführern, die dasselbe sagen: „Das macht meine IT." Wenn es um NIS2 geht. Wenn es um Lieferkettensicherheit geht. Wenn es um Incident Response geht. Und jedes Mal denke ich: Das ist das eigentliche Risiko.

NIS2 ist kein Technik-Gesetz. Es ist ein Governance-Gesetz. Es regelt, wer persönlich haftet, wenn ein Unternehmen seiner Sorgfaltspflicht nicht nachkommt – und das ist nicht der IT-Leiter. Die erste Welle der BSI-Bußgeldverfahren, die wir gerade sehen, richtet sich gezielt gegen Unternehmen, bei denen die Geschäftsführung nachweislich keine Kenntnis von den eigenen Sicherheitsprozessen hatte. Das ist keine Fahrlässigkeit. Das ist Gleichgültigkeit vor dem Gesetz.

Meine Empfehlung für den März: Setzen Sie sich mit Ihrer IT zusammen und beantworten Sie drei Fragen schriftlich: (1) Was würde in unserem Unternehmen passieren, wenn wir morgen einen Ransomware-Angriff erleben? (2) Wer ist verantwortlich, das BSI zu informieren, und in welchem Zeitfenster? (3) Können wir das belegen? Wenn Sie auf eine dieser Fragen keine klare Antwort haben – sprechen Sie mit uns.

Selbstbewertung

Wie exponiert ist Ihr Unternehmen?

RISIKO
Frage 1 von 5

In welcher Branche ist Ihr Unternehmen tätig?

Woodlands Advisory

Was bedeuten diese Daten für Ihr Unternehmen?

Wir übersetzen die Bedrohungslage in konkrete Handlungsempfehlungen für Ihre spezifische Situation.

Erstgespräch vereinbaren →Insights lesen

Die hier dargestellten Daten basieren auf öffentlichen Quellen (BSI, ENISA, BaFin, CISA) und eigener Analyse. Sie stellen keine Rechts- oder Compliance-Beratung dar.