Salt Typhoon, VPN-Angriffswelle und „Sneaky2FA: Cybersecurity am Scheideweg

Eine kritische Woche für die globale IT-Sicherheit: Während Angreifer neue Schwachstellen massiv ausnutzen, lockert die US-Regulierung ausgerechnet jetzt die Zügel.

Die vergangenen 72 Stunden haben eine explosive Mischung aus politischen Weichenstellungen und technischen Bedrohungen gebracht. Sicherheitsteams weltweit kämpfen derzeit gegen eine massive Angriffswelle auf Palo Alto Networks VPNs – und das ausgerechnet in dem Moment, als die US-Telekommunikationsbehörde FCC am 21. November die Cybersecurity-Vorschriften für Netzbetreiber aufhebt. Eine Entscheidung, die nur Monate nach den verheerenden „Salt Typhoon”-Angriffen erfolgt. Gleichzeitig sorgt das neue Phishing-Tool „Sneaky2FA” für Aufsehen, das selbst Zwei-Faktor-Authentifizierung aushebelt. Selten hat sich die Bedrohungslage innerhalb einer Woche so dramatisch verschärft.

Unternehmens-Firewalls geraten unter koordinierten Großangriff.

Am Freitag, dem 21. November, registrierten Sicherheitsforscher von GreyNoise einen beispiellosen Anstieg von Attacken auf Palo Alto Networks GlobalProtect VPN-Portale. Das Angriffsvolumen explodierte innerhalb eines Tages um das 40-fache auf rund 2,3 Millionen bösartige Verbindungsversuche. Die Angreifer zielen gezielt auf die /global-protect/login.esp-Schnittstelle ab und versuchen, Schwachstellen auszunutzen, bevor Unternehmen Sicherheitspatches einspielen können. Die Attacken stammen hauptsächlich aus deutscher und kanadischer Infrastruktur – ein Hinweis auf koordiniertes Vorgehen.

Parallel dazu bestätigte Fortinet am 19. November, dass eine neue Zero-Day-Schwachstelle (CVE-2025-58034) in seinen FortiWeb-Firewalls bereits aktiv ausgenutzt wird. Die Lücke ermöglicht authentifizierten Angreifern die Ausführung beliebiger Systembefehle – faktisch die Übernahme des gesamten Geräts. Die US-Cybersecurity-Behörde CISA hat die Schwachstelle umgehend in ihren Katalog kritischer Sicherheitslücken aufgenommen und fordert sofortiges Patchen.

Viele Sicherheitsteams sind derzeit massiv überlastet – Angriffe wie die Millionenversuche gegen VPN-Gateways zeigen, wie schnell kritische Infrastruktur gefährdet ist. Ein kostenloser Praxis-Report erklärt, welche Sofortmaßnahmen wirklich helfen: von Prioritäts-Patching an Edge-Geräten über Netzwerksegmentierung bis zu Awareness-Maßnahmen gegen „Browser-in-the-Browser“-Phishing. Inkl. Checklisten und konkreten Vorlagen für kleine und mittlere IT-Teams, die sofort umsetzbar sind. Gratis Cyber-Sicherheits-E-Book herunterladen

Politische Kehrtwende: FCC hebt Telekom-Schutzregeln auf

Trotz „Salt Typhoon”-Spionagekampagne lockert Washington die Sicherheitsauflagen.

Am 21. November vollzog die FCC eine umstrittene Kehrtwende: Die Behörde hob Cybersecurity-Vorschriften für Telekommunikationsanbieter auf, die erst unter der Biden-Administration als Reaktion auf Salt Typhoon eingeführt worden waren. Diese chinesische Hackergruppe hatte zuvor erfolgreich große US-Carrier wie Verizon und AT&T kompromittiert und Zugang zu rechtlich genehmigten Abhörsystemen erlangt.

Die Aufhebung spaltet die Fachwelt. Während Industrielobbyisten von „überbordender Bürokratie” sprechen, warnen Sicherheitsexperten vor den Folgen. Die Entscheidung verlagert die Verantwortung zurück auf freiwillige Selbstverpflichtungen – ausgerechnet zu einem Zeitpunkt, an dem staatlich gesteuerte Spionage ein historisches Hoch erreicht. Kann die Branche sich wirklich selbst regulieren, wenn bereits bestehende Schutzmaßnahmen versagten?

Die neue Phishing-Generation: „Sneaky2FA” täuscht selbst Experten

Browser-in-the-Browser-Technik hebelt Sicherheitsbewusstsein aus.

Während Infrastruktur-Angriffe die Schlagzeilen dominieren, entwickelt sich parallel eine raffinierte neue Phishing-Bedrohung. Das am 19. November identifizierte Toolkit „Sneaky2FA” nutzt die sogenannte „Browser-in-the-Browser”-Technik (BitB): Es erzeugt ein täuschend echtes Pop-up-Fenster, das eine Microsoft-Anmeldeseite perfekt nachahmt – inklusive korrekter URL in der Adressleiste.

Besonders perfide: Die Methode zielt genau auf geschulte Nutzer ab, die „immer die URL prüfen” sollen. Sobald Anmeldedaten eingegeben werden, fungiert das Tool als Reverse-Proxy, fängt Session-Token ab und umgeht so selbst Zwei-Faktor-Authentifizierung.

Die realen Auswirkungen zeigten sich bereits am 20. November: Das Schulsystem von New Haven in Connecticut wurde Opfer einer massiven Phishing-Attacke. Über 10.000 bösartige E-Mails kompromittierten Schülerkonten und legten die Verwundbarkeit des Bildungssektors offen.

Paradigmenwechsel: Von „Durchbrechen” zu „Umgehen”

Die Entwicklungen der letzten Tage offenbaren einen beunruhigenden Trend: Angreifer setzen nicht mehr auf rohe Gewalt, sondern auf intelligentes Umgehen von Schutzmaßnahmen. Ob die Salt-Typhoon-Gruppe systematische Telekom-Schwächen ausnutzt oder Phishing-Kits wie Sneaky2FA die Zwei-Faktor-Authentifizierung aushebeln – traditionelle Sicherheitsmauern werden übersprungen statt niedergerissen.

Die Gleichzeitigkeit von FCC-Deregulierung und den Palo Alto/Fortinet-Angriffen schafft ein komplexes Umfeld für Sicherheitsverantwortliche. Während der Regulierungsdruck in manchen Bereichen nachlässt, explodiert das operative Risiko. Der am 19. November bestätigte Ransomware-Angriff auf LG Energy Solution – 1,7 Terabyte gestohlene Daten durch die Akira-Gruppe – unterstreicht brutal: Compliance bedeutet nicht automatisch Sicherheit.

Feiertags-Bedrohung: Der perfekte Sturm steht bevor

Für die kommenden Wochen warnen Experten vor einer „perfekten Kombination” für Phishing-Angriffe. Ein Bericht von Bolster AI vom 19. November prognostiziert einen Anstieg von SMS-Phishing („Smishing”) und QR-Code-Betrug („Quishing”) um 122 Prozent während der Weihnachtseinkaufssaison.

Sicherheitsteams müssen mit folgenden Entwicklungen rechnen:

Anhaltende Ausnutzung der FortiWeb- und Palo-Alto-Schwachstellen über das gesamte Wochenende.

Zunahme von „Versandverzögerungs”-Betrug, der Sneaky2FA oder Quishing-Techniken nutzt, um Zugangsdaten von privaten Geräten abzugreifen.

Erhöhter Druck auf Telekommunikationsanbieter, ihre Sicherheitsmaßnahmen freiwillig nachzuweisen – nach der FCC-Entscheidung nun ohne regulatorischen Zwang.

Die Empfehlung ist eindeutig: Sofortiges Patchen von Edge-Geräten und gezielte Aufklärung der Mitarbeiter über Browser-in-the-Browser-Angriffe. Denn eines zeigt diese Woche überdeutlich: Die Angreifer schlafen nicht – und nutzen jede Schwäche gnadenlos aus.

PS: Gerade jetzt, wo Phishing-Tools Zwei-Faktor-Schutz umgehen und regulatorische Vorgaben gelockert werden, kostet ein verspätetes Awareness-Update schnell hohe Schäden. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ fasst praxisnahe Schutzmaßnahmen zusammen – von Mitarbeiter-Schulungsplänen über technische Kontrollen bis zu Vorlagen für Incident-Response. Ideal für IT-Verantwortliche, die ohne großen Aufwand die Abwehr stärken wollen. Jetzt kostenlosen Cyber-Report sichern