Top 5 Cybersecurity-Nachrichten vom 13. März 2026

Von Editorial Team | März 13, 2026

Dies ist ein strategischer Überblick über die wichtigsten Cybersecurity-Nachrichten vom 13. März 2026, und was sie über die Verschiebung systemischer Risiken verraten.

Über Datenvermittler, Healthcare‑Prozessoren, browserbasierte KI, Phishing‑as‑a‑Service‑Plattformen und Entwicklungswerkzeuge hinweg zeigt sich dieselbe Richtung: Angreifer zielen zunehmend auf die Steuerungsebenen der digitalen Wirtschaft, nicht nur auf Endgeräte.
Für CISOs und Technologieverantwortliche sind diese Geschichten weniger Einzelfälle – sie sind Marktsignale, die zeigen, wie schnell Governance‑Modelle hinter der realen Nutzung von Systemen zurückbleiben.

LexisNexis: Legacy‑Cloudalsblinder Fleck im Datenbroker‑Risiko

LexisNexis Legal & Professional bestätigte, dass die Gruppe FulcrumSec die React2Shell‑Schwachstelle in einer ungepatchten React‑Frontend‑Anwendung ausnutzte, um Zugriff auf die AWS‑Umgebung zu erhalten und etwa 2 GB strukturierter Daten zu exfiltrieren – darunter Millionen von Datensätzen und Zehntausende von Kundenkonten.
Das Unternehmen betont, dass der Vorfall hauptsächlich „veraltete, außer Betrieb genommene“ Daten aus der Zeit vor 2020 betraf, nicht aktive, hochsensible Inhalte.
LexisNexis dient als Infrastruktur für Kanzleien, Unternehmen und Behörden – selbst „alte“ Datensätze bilden ab, wer mit wem, woran und über welche Konten arbeitet.
Für Kunden geht es weniger um direkten PII‑Verlust als um die Einblicke, die Angreifer in juristische Arbeitsabläufe, Abhängigkeiten des öffentlichen Sektors und die Struktur hochkarätiger Beziehungen erhalten.

Datenbroker und Analyseplattformen werden zunehmend zu systemischen Konzentrationspunkten; ihre Legacy‑Cloud‑Bestände liegen oft außerhalb moderner Kontrollstandards, enthalten aber dennoch genügend Kontext für gezielte Angriffe, Erpressung und langfristige Social‑Engineering‑Kampagnen.
Mehr dazu: BleepingComputer

TriZetto: Krankenversicherungs‑Schnittstellenals systemisches Risiko

TriZetto Provider Solutions, eine Cognizant‑Tochter, die Versicherungs‑Berechtigungsprüfungen für US‑Gesundheitsdienstleister abwickelt, gab bekannt, dass ein Angriff aus dem Jahr 2024 personenbezogene und medizinische Daten von über 3,4 Millionen Menschen offenlegte und fast ein Jahr unentdeckt blieb.
Gestohlene Datensätze enthalten Namen, Geburtsdaten, Adressen, Sozialversicherungsnummern und detaillierte Berichte über Versicherungsansprüche.

TriZetto ist Teil des transaktionalen Kerns des US‑Gesundheitswesens und bedient Hunderttausende Anbieter mit rund 200 Millionen versicherten Personen.
Ein solcher Vorfall offenbart nicht nur einzelne Patientenakten, sondern übergreifende Sichtweisen über Versicherer und Anbieter hinweg – mit langfristigen Folgen für Betrug und Identitätsdiebstahl.
Das Risiko im Gesundheitswesen verlagert sich von einzelnen Krankenhäusern hin zu gemeinsamen Clearingstellen und Prozessoren – Akteuren, die Berechtigungs‑, Abrechnungs‑ und Routing‑Daten bündeln, aber häufig unter älteren Überwachungs‑ und Vorfallerkennungs‑Systemen arbeiten.
Mehr dazu: TechCrunch

Schädliche KI-Erweiterungen: Nutzung von LLM als Exfiltrationsfläche

Microsoft meldete schädliche Chromium‑Erweiterungen, die sich als KI‑Assistenten ausgaben und über offizielle Stores vertrieben wurden, mit rund 900.000 Installationen in über 20.000 Unternehmensumgebungen.
Diese Add‑ons sammelten Browser‑Daten und LLM‑Chat‑Inhalte aus Diensten wie ChatGPT und DeepSeek und exfiltrierten interne Prompts, Code und Dokumente an von Angreifern kontrollierte Infrastruktur.

Die meisten Unternehmen verfügen über keine Governance‑Schicht für Browser‑Erweiterungen oder den täglichen Umgang mit LLMs.
Dadurch können sensible IP, Entscheidungsprotokolle und vertrauliche Gespräche abfließen – ohne kompromittiertes Konto, nur durch die Installation eines angeblichen „Produktivitäts‑Plugins“.
Die KI‑Adoption überholt die Kontrollmechanismen: Der Browser ist stillschweigend zu einer Schatten‑Datenebene für KI geworden, in der Richtlinien, DLP und Allow‑Lists weit hinter der tatsächlichen Nutzung zurückliegen.
Mehr dazu: Microsoft Security Blog

GitHub‑basierterStealer: BoryptGrab über gefälschte Repositories

Forschende entdeckten BoryptGrab, einen Informations‑Stealer, der über mehr als 100 täuschend echte GitHub‑Repositories verteilt wurde, die beliebte Tools, Game‑Utilities und „Crack“-Pakete imitierten.
Nutzer, die ZIP‑Archive aus diesen Repos herunterluden und ausführten, starteten damit die Malware, die Browser‑Daten, gespeicherte Anmeldedaten und Kryptowallet‑Informationen vom Host‑System abgriff.

Da GitHub als Kollaborationsplattform und nicht primär als Malware‑Verteilungsweg gilt, besitzen viele Organisationen keine Richtlinien oder Kontrollen, die festlegen, aus welchen externen Repositories Entwickler Code oder Skripte beziehen dürfen.
So werden Open‑Source‑Workflows zu einem weichen Supply‑Chain‑Risiko: Ein einziges manipuliertes Repository kann Malware in großem Umfang verbreiten, ohne offizielle Softwareverteilungskanäle zu nutzen.
Öffentliche Code‑Hosting‑Plattformen entwickeln sich zu Angriffsflächen in der Software‑Lieferkette; sie als neutrale oder „entwicklersichere“ Umgebungen zu behandeln, ist nicht mehr tragbar.
Unternehmen sollten ZIPs und Skripte aus externen Repositories als nicht vertrauenswürdig einstufen und Sandboxing, Allow‑Listing und strenge Freigabeprozesse vorschreiben.
Mehr dazu: Trend Micro Research

Tycoon 2FA: Industrialisierter MFA-Umgehungsdienst als Service

Eine von Europol angeführte Koalition mit Microsoft und weiteren Partnern zerschlug Tycoon 2FA, eine Phishing‑as‑a‑Service‑Plattform, die „Adversary‑in‑the‑Middle“‑Techniken einsetzte, um Anmeldedaten, MFA‑Codes und Sitzungscookies abzufangen.

Der Dienst steht im Zusammenhang mit über 64.000 Phishing‑Kampagnen, Dutzenden Millionen E‑Mails pro Monat und unbefugtem Zugriff auf nahezu 100.000 Organisationen; dabei wurden über 330 Domains beschlagnahmt.
Tycoon 2FA machte MFA‑Bypassing zu einer mietbaren Commodity, die auch weniger versierte Täter nutzen konnten – und verkleinerte damit die Lücke zwischen einfachen und fortgeschrittenen Phishern.
Für Verteidiger untergräbt das die Annahme „Wir sind sicher, weil wir MFA haben“ und rückt phishing‑resistente Methoden sowie sitzungsbasierte Erkennung in den Fokus.
Identität ist inzwischen ein Ökosystem‑Schlachtfeld, in dem sich kriminelle Werkzeuge so schnell weiterentwickeln wie unternehmensweite IAM‑Lösungen. Nachfolger von Tycoon dürften wieder auftauchen – dezentralisiert und stärker automatisiert.
Mehr dazu: Cybersecurity Dive

Wenn uns diese Woche etwas zeigt, dann dies:

Das Risiko wandert in das verbindende Gewebe Ihrer Organisation – in Broker, Prozessoren, Controller, KI‑Oberflächen und Identitätsökosysteme, die zwischen traditionellen „Systemen der Aufzeichnung“ und der Außenwelt liegen.
Endpunkte und Anwendungen abzusichern, ist Basisschutz; die strategische Frage ist heute, wie schnell die Führungsebene Legacy‑Clouds, gemeinsame Branchenplattformen, browserbasierte KI‑Nutzung, Netzwerk‑Kontrollebenen und Identitäts‑Lieferketten unter dieselbe architektonische Prüfung stellen kann wie die Kernsysteme.

Bei DIESEC sind unsere Experten bereit, Sie bei allen Ihren Cybersecurity-Anforderungen zu unterstützen. Wir stellen sicher, dass Ihr System sicher und geschützt ist, und bieten Schulungen für Ihre Mitarbeiter an, damit diese nicht Opfer von Social-Engineering-Taktiken werden.
Für weitere Informationen kontaktieren Sie uns jetzt!

Gepostet in DIESEC™ abgelegt unter Bedrohungsanalyse, cloud-sicherheit, critical infrastructure, Cybersecurity Nachrichten, Cybersicherheit, Datenbroker, Gesundheits‑IT, Identitätsmanagement, KI‑Sicherheit, ransomware