Cyberangriffe im Februar 2026

Von Editorial Team | März 11, 2026

Wenn man sich später an den Februar 2026 erinnert, dann wohl vor allem an den Krieg, der am letzten Tag des Monats im Nahen Osten ausbrach. Für alle, die sich für Cybersicherheit interessieren, boten jedoch auch die vorangegangenen 27 Tage eine Reihe bemerkenswerter Ereignisse. Im Folgenden findest du eine Zusammenfassung der wichtigsten Cyberangriffe und CVEs dieses Monats.

Cyberangriffe im Februar 2026

Microsoft Outlook

Forschende entdeckten das erste bekannte bösartige Outlook-Add-in, das aktiv in freier Wildbahn eingesetzt wurde, nachdem Angreifer die Domain eines aufgegebenen Plugins namens AgreeTo übernommen hatten. Das Add-in leitete Benutzer auf eine gefälschte Microsoft‑Anmeldeseite um und erbeutete so erfolgreich mehr als 4.000 Microsoft‑Kontozugangsdaten, bevor es aus dem Office‑Marktplatz entfernt wurde.

Februar 2026

Angreifer zielen zunehmend auf Vertrauensebenen im Ökosystem ab, in denen ein legitimes Tool unauffällig bösartig werden kann, wenn sich die Eigentumsverhältnisse ändern oder die Infrastruktur aufgegeben wird. Da Organisationen Dutzende von Produktivitäts‑Erweiterungen in ihre täglichen Arbeitsabläufe integrieren, wird das Add‑in‑Ökosystem zu einer weiteren Software‑Lieferkette.

Google Chrome

In einem verwandten Vorfall entdeckten Sicherheitsforschende mehr als 30 bösartige Chrome‑Erweiterungen, die sich als KI‑Assistenten ausgaben. Diese wurden von über 300.000 Nutzern installiert. Die Erweiterungen versprachen Funktionen für ChatGPT‑ähnliche Produktivitätsgewinne, sammelten jedoch stattdessen Browserdaten – darunter E‑Mails, Zugangsdaten und Surfverläufe –, die an serverseitig von Angreifern kontrollierte Systeme übermittelt wurden.

Februar 2026

Angreifer nutzen den aktuellen KI‑Boom auf dieselbe Weise aus, wie sie früher den Kryptowährungs‑Hype ausgenutzt haben. Sie konzentrieren sich auf gehypte Technologiebereiche, in denen die Nachfrage die Prüftiefe übersteigt. Browser‑Erweiterungen sind besonders gefährlich, weil sie mit weitreichenden Berechtigungen arbeiten und ein Großteil der Arbeit heute im Browser mit verschiedenen SaaS‑Lösungen erledigt wird. Wenn Nutzer KI‑gebrandete Erweiterungen installieren, ohne deren Herkunft zu hinterfragen, gewähren sie Angreifern faktisch einen dauerhaften „Gegner‑im‑Browser“-Zugang.

ManoMano

Der europäische DIY‑Marktplatz ManoMano meldete eine groß angelegte Datenschutzverletzung, nachdem Angreifer einen externen Kundensupport‑Dienstleister in Tunis kompromittiert und dessen Zendesk‑Konto übernommen hatten, das für die Bearbeitung von Support‑Anfragen genutzt wurde. Der Angreifer (unter dem Pseudonym „Indra“) soll dabei personenbezogene Daten exfiltriert haben, darunter Namen, E‑Mail‑Adressen, Telefonnummern und Kundenservice‑Kommunikationen, insgesamt bis zu 37,8 Millionen betroffene Nutzer. Das Unternehmen bestätigte den Vorfall, entzog dem Subunternehmer den Zugriff und informierte Regulierungsbehörden wie die französische CNIL und die nationale Cybersicherheitsbehörde ANSSI.

Bedrohungsakteure kompromittierten hier die Kundendienst‑Ebene rund um die Plattform, nicht jedoch die eigentliche E‑Commerce‑Seite von ManoMano selbst. Da Unternehmen Kundenservice, Marketing, Logistik und Support‑Werkzeuge zunehmend auslagern, liegt ein immer größerer Teil der Angriffsfläche außerhalb der primären Plattform von E‑Commerce‑Unternehmen. Der klassische Perimeter hat sich faktisch in ein Geflecht aus Subunternehmern und SaaS‑Integrationen aufgelöst.

Phishing‑Kampagne gegen Fracht‑ und Logistikunternehmen Februar 2026

Gegen Ende Februar 2026 wurde über eine groß angelegte Phishing‑Kampagne berichtet, die Fracht‑ und Logistikunternehmen in den USA und Europa ins Visier nahm. Die Angreifer gaben sich als Logistikunternehmen aus, um Personen dazu zu bringen, schädliche Dateien zu öffnen oder auf Anmeldeseiten zur Zugangsdaten‑Abfrage zu gelangen. Insgesamt gelang es ihnen, 1.649 eindeutige Zugangsdaten‑Paare aus rund 3.500 gestohlenen Login‑Datensätzen zu stehlen, verteilt über 52 gefälschte Domains.

Fracht‑ und Logistikunternehmen sind zu bevorzugten Zielen für Cyberangriffe geworden, weil sie im Zentrum globaler Kommunikationsströme des Handels stehen. Mitarbeitende erhalten routinemäßig Rechnungen, Versand‑Updates, Zolldokumente und Lieferanten‑E-Mails – Phishing bietet sich hier geradezu an.

Conpet

Der staatliche rumänische Öl‑Pipeline‑Betreiber Conpet bestätigte, dass er Opfer eines Cyberangriffs wurde, der der Ransomware‑Gruppe Qilin zugeschrieben wird. Qilin ist dafür bekannt, hochrangige Organisationen in kritischen Sektoren wie Energie und Gesundheitswesen ins Visier zu nehmen.

Der Angriff beeinträchtigte die IT‑Systeme des Unternehmens und legte die öffentliche Website lahm, während Ermittler feststellten, dass interne Daten während des Vorfalls gestohlen worden waren. Entscheidend ist, dass Conpet berichtete, dass der Pipeline‑Betrieb und die industriellen Steuerungssysteme normal weiterliefen.

Eine wirksame Segmentierung zwischen IT und OT hat hier wahrscheinlich einen deutlich schwerwiegenderen Vorfall verhindert. Angreifer müssen Pipelines jedoch nicht zwingend stilllegen, um Druck auszuüben. Unternehmenssysteme enthalten Verträge, Logistikpläne, Lieferanteninformationen und interne Kommunikation. All diese Informationen sind für Erpressung oder nachrichtendienstliche Zwecke äußerst wertvoll.

Wichtige CVEs im Februar 2026

Fazit

Von bösartigen Outlook‑Add-ins und gefälschten KI‑Browsererweiterungen bis hin zu kompromittierten Support‑Werkzeugen und Entwicklerumgebungen richteten Bedrohungsakteure ihre Aufmerksamkeit im Februar 2026 vor allem auf Alltagssoftware und vertrauenswürdige Integrationen. Gleichzeitig zeigen Vorfälle wie ManoMano und der Angriff auf Conpet, dass Abhängigkeiten von Drittanbietern und kritische Infrastrukturen attraktive Einstiegspunkte bleiben.
Kontaktieren Sie uns jetzt, um zu erfahren, wie wir Ihre Cybersicherheitslage stärken können.

Gepostet in DIESEC™ abgelegt unter , , , , , , , , , ,