Jens FischerEine kritische Zero-Day-Lücke in weit verbreiteter Unternehmenssoftware wird seit Anfang April 2026 aktiv ausgenutzt — betroffen sind unter anderem Google Chrome, Fortinet-Produkte und Videokonferenzlösungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Unternehmen, ihre Systeme umgehend zu überprüfen.
Was ist eine Zero-Day-Lücke und warum ist sie so gefährlich?
Eine Zero-Day-Lücke bezeichnet eine Sicherheitslücke in Software, die dem Hersteller zum Zeitpunkt des Angriffs noch nicht bekannt war — oder für die noch kein Patch verfügbar ist. Der Begriff "Zero Day" bezieht sich darauf, dass Entwickler null Tage Zeit hatten, das Problem zu beheben, bevor Angreifer es ausnutzten.
Laut BSI wurde im April 2026 eine aktiv ausgenutzte Schwachstelle in Ivanti-Produkten identifiziert, deren Ursprung bis Juli 2025 zurückreicht. Parallel dazu verzeichnete CISA (US-amerikanische Cybersicherheitsbehörde) am 1. April 2026 die Aufnahme von CVE-2026-5281, einer kritischen Chrome-Schwachstelle in der WebGPU/Dawn-Komponente, in ihren Katalog bekannter ausgenutzter Sicherheitslücken. Wenige Tage später folgte CVE-2026-35616, eine Fortinet-FortiClient-Lücke mit einem CVSS-Score von 9,8 — der höchsten möglichen Kritikalitätsstufe.
Welche Systeme sind konkret betroffen?
Laut den aktuellen Sicherheitsmeldungen umfasst die Liste der betroffenen Systeme:
- Google Chrome (CVE-2026-5281): Aktiv ausgenutzte Use-after-free-Schwachstelle in der WebGPU-Komponente. Patch steht bereit, muss aber aktiv eingespielt werden. Betrifft alle Chrome-Versionen vor dem 1. April 2026.
- Fortinet FortiClient EMS (CVE-2026-35616): CVSS 9,8 — kritische Schwachstelle, die Angreifern Remote-Code-Ausführung ermöglicht. Bereits aktiv ausgenutzt.
- TrueConf Client (CVE-2026-3502): CVSS 7,8 — ermöglicht unbefugte Code-Updates ohne Verifizierung. Besonders problematisch in Unternehmen, die auf Video-Kollaboration setzen.
- Ivanti-Produkte: Das BSI warnt, dass Anzeichen einer Kompromittierung bis mindestens Juli 2025 zurückverfolgt werden können.
Für viele Mittelstandsunternehmen in Deutschland ist diese Situation besonders brisant: Chrome ist der meist genutzte Browser in deutschen Büros, Fortinet-Produkte sind weit verbreitet im Netzwerkbereich, und Videokonferenzsoftware wurde seit der Pandemie flächendeckend eingeführt.
Was sollten Unternehmen jetzt sofort tun?
Sicherheitsexperten empfehlen drei unmittelbare Maßnahmen:
1. Patches einspielen — ohne Verzögerung Für alle oben genannten Schwachstellen stehen Updates bereit. Laut BSI besteht die größte Gefahr häufig nicht in der Lücke selbst, sondern in der Verzögerung beim Einspielen verfügbarer Patches. In Unternehmen ohne strukturiertes Patch-Management können Wochen zwischen Verfügbarkeit und Installation vergehen — ein Fenster, das Angreifer aktiv nutzen.
2. Systeme auf Kompromittierungsanzeichen prüfen Das BSI empfiehlt, insbesondere bei Ivanti-Produkten aktiv nach sogenannten Indicators of Compromise (IoC) zu suchen. Das bedeutet: Log-Dateien analysieren, ungewöhnliche Netzwerkverbindungen erkennen und nach unautorisierten Zugriffen suchen.
3. Mitarbeitende sensibilisieren Viele Zero-Day-Angriffe starten über Phishing-Mails oder manipulierte Webseiten. Ein Klick auf den falschen Link in Chrome genügt, um die beschriebene WebGPU-Schwachstelle auszulösen. Regelmäßige Schulungen reduzieren das Risiko erheblich.
Wann brauche ich professionelle IT-Unterstützung?
Die Faustregel: Je kleiner das Unternehmen, desto wahrscheinlicher fehlt intern die Kapazität, solche Vorfälle eigenständig zu bewältigen. Ein IT-Sicherheitsexperte kann nicht nur im Notfall helfen, sondern auch präventiv ein Schwachstellenmanagement einrichten, das zukünftige Zero-Day-Risiken minimiert.
Konkret lohnt sich externe Unterstützung, wenn:
- Kein dediziertes IT-Security-Team vorhanden ist
- Patch-Zyklen länger als zwei Wochen dauern
- Keine regelmäßigen Security-Audits stattfinden
- Mitarbeitende nicht geschult sind, Phishing-Versuche zu erkennen
- Kunkundendaten oder kritische Geschäftsdaten auf betroffenen Systemen liegen
Rechtliche Hinweis: Unternehmen in Deutschland unterliegen nach DSGVO einer Meldepflicht bei Datenpannen. Werden durch eine ausgnutzte Sicherheitslücke personenbezogene Daten kompromittiert, muss dies der zuständigen Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden. Ein IT-Experte kann dabei helfen, diese Pflichten korrekt zu erfüllen.
Zero-Day-Schutz: Die wichtigsten Maßnahmen im Überblick
Ein strukturierter Ansatz schützt am wirksamsten:
- Patch-Management: Kritische Patches innerhalb von 48 Stunden einspielen, weniger kritische innerhalb einer Woche
- Netzwerksegmentierung: Verhindert, dass ein kompromittiertes System das gesamte Netzwerk infiziert
- Endpoint Detection & Response (EDR): Erkennt ungewöhnliches Verhalten auf Endgeräten auch bei unbekannten Angriffen
- Zero Trust Architecture: Kein System vertraut einem anderen automatisch — jeder Zugriff wird verifiziert
- Incident Response Plan: Unternehmen sollten einen klaren Plan haben, was zu tun ist, wenn eine Kompromittierung entdeckt wird
Das BSI bietet auf seiner Webseite bsi.bund.de aktuelle Warnmeldungen und Handlungsempfehlungen — eine Ressource, die jeder IT-Verantwortliche regelmäßig konsultieren sollte.
Wie lange dauert eine typische IT-Sicherheitsprüfung?
Viele Unternehmen scheuen den Aufwand einer professionellen Sicherheitsüberprüfung — dabei ist eine erste Bestandsaufnahme oft schneller erledigt als befürchtet. Ein erfahrener IT-Sicherheitsberater kann in einem eintägigen Assessment folgendes leisten:
- Überprüfung aller eingesetzten Softwareversionen gegen bekannte CVE-Datenbanken
- Analyse von Firewall-Regeln und Zugriffsrechten
- Überprüfung der Backup-Strategie und Wiederherstellungsprozesse
- Bewertung des Patch-Managements und Empfehlungen zur Optimierung
Das Ergebnis: ein klares Bild der Sicherheitslage und ein priorisierter Maßnahmenplan. Bei kritischen Befunden — wie einem laufend ungepatchten Chrome-System oder einem Fortinet-Gerät ohne aktuellen Sicherheits-Update — kann der Berater sofort handeln.
Für größere Unternehmen oder solche mit besonders sensiblen Daten empfiehlt das BSI darüber hinaus regelmäßige Penetrationstests: dabei versucht ein autorisierter Sicherheitsexperte, in das System einzudringen — genau wie ein echter Angreifer. So werden Schwachstellen aufgedeckt, bevor externe Kriminelle sie finden.
Fazit: Handeln Sie jetzt — nicht erst nach einem Vorfall
Die aktuellen Zero-Day-Lücken im April 2026 zeigen einmal mehr: Cybersicherheit ist kein Projekt, sondern ein kontinuierlicher Prozess. Wer jetzt die verfügbaren Patches einspielt, Systeme auf Kompromittierung prüft und seine IT-Sicherheitsstrategie überdenkt, minimiert das Risiko erheblich.
Besonders der aktiv ausgenutzte Chrome-Exploit CVE-2026-5281 macht deutlich, wie schnell Angreifer auf neue Lücken reagieren — in diesem Fall innerhalb von Stunden nach Bekanntwerden. Unternehmen, die noch kein strukturiertes Patch-Management eingeführt haben, riskieren, immer einen Schritt hinter den Angreifern zu sein.
Ein qualifizierter IT-Sicherheitsexperte kann Ihrem Unternehmen helfen, Schwachstellen zu identifizieren, bevor Angreifer es tun. Auf Expert Zoom finden Sie geprüfte IT-Spezialisten, die kurzfristig verfügbar sind und praktische Lösungen liefern — nicht nur Berichte.
Hinweis: Dieser Artikel dient der allgemeinen Information. Bei konkretem Verdacht auf eine Kompromittierung wenden Sie sich sofort an einen IT-Sicherheitsexperten und informieren Sie ggf. das BSI.
