Cyberangriff auf VPNs trifft auf neue EU-Meldepflicht

Ein koordinierter Großangriff auf Unternehmens-VPNs überschattet den Jahreswechsel. Angreifer nutzen die Urlaubszeit und testen Millionen gestohlener Zugangsdaten – genau jetzt treten verschärfte EU-Meldepflichten in Kraft.

Die Angriffswelle rollt seit Mitte Dezember 2025 und erreichte am Neujahrstag ihren vorläufigen Höhepunkt. Dabei nutzen die Täter typisch reduzierte IT-Besetzung während der Feiertage aus. Sicherheitsforscher beobachten massenhaft Credential Stuffing: Automatisierte Skripte testen Tausende Kombinationen aus Benutzernamen und Passwörtern an VPN-Gateways.

Laut Analysen stammt der bösartige Verkehr größtenteils von Servern des deutschen Hosting-Anbieters 3xK GmbH. In einem einzigen 16-Stunden-Fenster Ende Dezember registrierten Forscher über 1,7 Millionen Login-Versuche gegen Palo-Alto-Networks-Portale. Die Aktivitäten weiten sich nun auch auf Cisco-SSL-VPN-Endpunkte aus. Die Zahl der angreifenden IP-Adressen schnellte von unter 200 auf über 10.000 hoch.

Der Angriff ist technisch simpel, aber wirkungsvoll. Statt komplexer Softwarelücken nutzen die Angreifer riesige Datenbanken mit geleakten Zugangsdaten. Sie bringen ihre eigenen Passwörter mit. Erfolg haben sie vor allem dort, wo Multi-Faktor-Authentifizierung (MFA) fehlt. Die einheitlichen Angriffsmuster deuten auf einen einzigen, gut ausgestatteten Akteur hin.

Passend zum Thema Cyber-Angriffe: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche Sofortmaßnahmen jetzt helfen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt aktuelle Bedrohungen wie Credential Stuffing und Botnetze, ordnet neue Regeln (z. B. NIS-2) ein und liefert konkrete Checklisten — von MFA-Richtlinien über Patch-Planung bis hin zu Awareness-Maßnahmen für Mitarbeitende. Ideal für Geschäftsführung und IT-Verantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen

Cisco und Palo Alto Networks im Fadenkreuz

Der Angriff setzt zwei weltweit führende Sicherheitsanbieter unter Druck. Palo Alto Networks betonte zwar, es handele sich um gescheiterte Login-Versuche, nicht um eine Schwachstelle in ihrer Software. Doch das Datenvolumen kann die Performance beeinträchtigen und andere Attacken verschleiern.

Für Cisco kommt die Brute-Force-Welle zur Unzeit. Erst Ende Dezember 2025 warnte das Unternehmen vor einer kritischen Zero-Day-Lücke (CVE-2025-20393) in seiner AsyncOS-Software. Diese wird aktiv von der mutmaßlich chinesischen Hackergruppe UAT-9686 ausgenutzt. Zwar gibt es keine direkte Verbindung zur aktuellen Brute-Force-Welle, doch die parallelen Bedrohungen strapazieren die Incident-Response-Teams.

Besonders brisant: Die Angriffe laufen über deutsche Infrastruktur, während sie Unternehmen weltweit treffen. Schwerpunkte liegen in den USA, Mexiko und Pakistan. Das lenkt den Blick der europäischen Behörden erneut auf das Problem missbräuchlich genutzter Hosting-Dienste innerhalb der EU.

NIS-2: Neue Meldepflichten im Ernstfall getestet

Das Timing ist für europäische Unternehmen kritisch. Die Angriffswelle fällt mit der Vollanwendung der NIS-2-Richtlinie zusammen. Diese wurde in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das seit 6. Dezember 2025 gilt.

Die neuen Regeln sind jetzt voll wirksam. Betroffene „wesentliche“ und „wichtige“ Einrichtungen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „Frühwarnung“ innerhalb von 24 Stunden nach Kenntnis einer erheblichen Störung melden. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen. Das digitale Meldeportal des BSI geht Anfang Januar 2026 vollständig online. Viele Unternehmen erleben so den ersten Praxistest der Compliance unter Beschuss.

Rechtsexperten weisen auf die persönliche Haftung der Geschäftsleitungen bei Verstößen hin. Die Kombination aus Großangriff an einem Feiertag und der 24-Stunden-Frist stellt Vorstände und IT-Leiter vor eine schwierige Entscheidung: Wann sind fehlgeschlagene Login-Versuche ein „erheblicher Vorfall“, der sofort gemeldet werden muss?

So sollten sich Unternehmen jetzt schützen

Das BSI hält die Warnstufe hoch und rät zu einer „Assume-Breach“-Mentalität. Die wichtigste Verteidigung gegen Credential Stuffing ist die konsequente Nutzung von Multi-Faktor-Authentifizierung (MFA). Da die Angreifer mit gültigen Passwörtern arbeiten, stellt MFA die entscheidende Hürde dar.

Sicherheitsexperten empfehlen für Januar 2026 folgende Sofortmaßnahmen:
* MFA erzwingen: Für alle VPN- und Remote-Zugänge aktivieren.
* Geo-Blocking: Verkehr aus IP-Bereichen blockieren, in denen kein legitimes Geschäft besteht.
* Rate Limiting: Strenge Zugriffsbeschränkungen für VPN-Login-Seiten einrichten.
* Patchen: Die kritische Cisco-AsyncOS-Lücke (CVE-2025-20393) und kürzliche Fortinet-Schwachstellen priorisiert schließen.

Der Blick auf 2026 zeigt eine weitere Verschmelzung von Cyberkriminalität und staatlichen Angriffsmustern. Die Nutzung legitimer Cloud-Infrastruktur zur Tarnung, wie beim 3xK-Botnetz, erschwert die Zuordnung und Abwehr. Mit der NIS-2-Richtlinie wird die Transparenz über solche Angriffe steigen – und könnte das wahre Ausmaß der Bedrohung in den kommenden Wochen erst richtig offenlegen.

PS: Sie müssen jetzt technische Abwehr und Meldepflichten vereinen? Unser Praxis-Leitfaden zeigt, wie Unternehmen IT-Sicherheit stärken – ohne sofort Personal aufzustocken. Mit konkreten Vorlagen für MFA-Rollouts, Incident-Response-Checklisten und Compliance-Schritten für NIS-2 unterstützt der Report IT-Leiter und Vorstände bei schnellen Entscheidungen. Gratis Leitfaden zur Cyber-Security anfordern