Cyberlagebericht & Sicherheitsbetrieb
„`Cyberlage Juni 2026: VPN-Zugänge und veraltete Systeme werden zum Risiko
Im Juni 2026 standen vor allem Firewall- und VPN-Zugänge, kompromittierte Zugangsdaten und ein außergewöhnlich umfangreicher Microsoft-Patchday im Mittelpunkt. Für kleine und mittlere Unternehmen wird damit deutlich: Nicht nur neue Schwachstellen sind gefährlich, sondern auch veraltete Systeme, fehlende Mehrfaktor-Authentifizierung und schlecht überwachte Fernzugriffe.
Der Juni 2026 war aus Sicht der IT-Sicherheit kein Monat mit einer einzelnen großen Katastrophe. Es gab keine neue flächige Massenwurm-Lage, die alles dominiert hat. Trotzdem war die Lage für Unternehmen deutlich erhöht.
Besonders auffällig waren Angriffe auf Firewall- und VPN-Systeme, der Missbrauch von Zugangsdaten und ein sehr großer Microsoft-Patchday mit zahlreichen sicherheitsrelevanten Aktualisierungen.
Für kleine und mittlere Unternehmen bedeutet das:
Die größte Gefahr liegt häufig nicht in komplizierter Angriffstechnik, sondern in ganz praktischen Schwachstellen des laufenden IT-Betriebs.
„`
VPN-Zugänge und Firewalls standen besonders im Fokus
Ein zentrales Thema im Juni waren Angriffe auf Firewall- und VPN-Systeme. Besonders relevant war die Lage rund um Fortinet- und FortiGate-Systeme. Dabei ging es nicht nur um eine einzelne technische Schwachstelle, sondern vor allem um den Missbrauch von Zugangsdaten.
Angreifer nutzen bei solchen Kampagnen alte Passwörter, geleakte Zugangsdaten, Brute-Force-Angriffe und Credential-Stuffing. Das Ziel ist klar: Zugriff auf VPN- oder Administrationszugänge.
Das ist für Unternehmen besonders kritisch, weil ein gültiger VPN-Zugang oft direkt in das interne Netzwerk führt. Ein Angreifer muss dann nicht mehr zwingend eine komplexe Sicherheitslücke ausnutzen. Im schlechtesten Fall meldet er sich einfach mit gültigen Zugangsdaten an.
Die entscheidende Frage lautet nicht nur:
Ist die Firewall aktuell?Die bessere Frage lautet:
Sind alle Zugänge, Benutzerkonten und Anmeldungen wirklich unter Kontrolle?
Fortinet und Sophos zeigen das eigentliche Problem
Im Juni wurde deutlich, dass das Risiko nicht auf einen einzelnen Hersteller begrenzt ist. Neben Fortinet-Systemen wurden auch öffentlich erreichbare Sophos-Firewall-Appliances mit Credential-Stuffing- und Brute-Force-Angriffen attackiert.
Wichtig ist dabei: Das eigentliche Problem ist häufig nicht nur eine bestimmte Schwachstelle in einem Produkt. Das größere Problem sind unzureichend geschützte Zugänge.
- VPN-Zugänge ohne Mehrfaktor-Authentifizierung
- alte lokale Benutzerkonten
- ehemalige Dienstleisterkonten
- öffentlich erreichbare Admin-Portale
- schwache oder wiederverwendete Passwörter
- fehlende Kontrolle erfolgreicher und fehlgeschlagener Anmeldungen
Gerade in kleinen und mittleren Unternehmen laufen Firewalls oft jahrelang stabil im Hintergrund. Genau das kann gefährlich werden, wenn niemand regelmäßig prüft, welche Konten existieren, welche Zugänge aktiv sind und ob verdächtige Anmeldungen stattgefunden haben.
Microsoft-Patchday Juni 2026: Updates nicht aufschieben
Ein weiterer Schwerpunkt war der Microsoft-Patchday im Juni 2026. Dieser war außergewöhnlich umfangreich und betraf zahlreiche zentrale Komponenten. Dazu gehörten unter anderem Windows, Windows Server, Hyper-V, Exchange Server, Office, Kerberos, DHCP, BitLocker, HTTP.sys und weitere Microsoft-Produkte.
Für Unternehmen bedeutet das: Windows-Clients und Server sollten nicht erst irgendwann später aktualisiert werden. Besonders wichtig sind Systeme, die zentrale Dienste bereitstellen oder von außen erreichbar sind.
- Windows Server
- Hyper-V-Hosts
- Exchange Server
- Terminalserver
- Domänencontroller
- Clients mit Zugriff auf sensible Daten
- Systeme mit extern erreichbaren Diensten
Patchmanagement ist dabei mehr als das reine Installieren von Updates. Entscheidend ist eine saubere Reihenfolge im Betrieb.
- Backupstatus vor dem Patchen prüfen
- Updates geplant und gestaffelt einspielen
- notwendige Neustarts durchführen
- Dienste nach dem Neustart kontrollieren
- Backupjobs und Monitoring prüfen
- auffällige Ereignisse nach Updates auswerten
Wer Updates nur installiert, aber danach Dienste, Sicherungen und Monitoring nicht prüft, hat den Prozess nicht sauber abgeschlossen.
Öffentlich erreichbare Systeme brauchen Priorität
Der Juni hat erneut gezeigt, dass öffentlich erreichbare Systeme besonders kritisch sind. Dazu gehören nicht nur klassische Webserver, sondern vor allem Systeme, die den Zugriff auf interne Netze oder zentrale Daten ermöglichen.
Besonders kritisch sind:
- VPN-Gateways
- Firewalls
- Exchange Server
- Remote-Monitoring- und Management-Systeme
- Backup-Portale
- NAS-Systeme
- Webserver und Hosting-Systeme
- MDM- und Administrationsportale
Nicht jede Schwachstelle hat die gleiche Priorität. Systeme, die direkt aus dem Internet erreichbar sind, müssen schneller bewertet und abgesichert werden als interne Systeme ohne externe Erreichbarkeit.
Für jedes extern erreichbare System sollte klar sein:
- Wer ist verantwortlich?
- Ist der Patchstand aktuell?
- Ist Mehrfaktor-Authentifizierung aktiv?
- Wer darf sich anmelden?
- Werden Anmeldungen protokolliert?
- Wer prüft auffällige Ereignisse?
- Gibt es einen Notfallplan bei Kompromittierung?
Ohne diese Klarheit bleibt IT-Sicherheit Zufall.
Browser, Microsoft 365 und Phishing bleiben Alltagsrisiken
Neben Firewalls, VPN und Servern bleibt auch der normale Arbeitsplatz ein wichtiges Angriffsziel. Browser, Office-Dateien, Microsoft-365-Konten und täuschend echte Phishing-Mails gehören weiterhin zu den typischen Einfallstoren.
Gerade für kleine Unternehmen kann ein kompromittiertes Microsoft-365-Konto erhebliche Folgen haben. Häufig sind darüber E-Mails, OneDrive, SharePoint, Kalender und interne Kommunikation erreichbar.
Dadurch geht es nicht nur um Technik, sondern auch um Organisation und Aufmerksamkeit im Alltag.
- Chrome und Microsoft Edge regelmäßig aktualisieren
- Browser nach Updates wirklich neu starten
- MFA für Microsoft 365 aktivieren
- externe Freigaben in OneDrive und SharePoint prüfen
- ungewöhnliche Anmeldungen kontrollieren
- Mitarbeiter für Rechnungs-, Bewerbungs-, Paket- und Microsoft-Phishing sensibilisieren
Backups sind nur dann wertvoll, wenn der Restore funktioniert
Auch im Juni blieb Ransomware ein zentrales Risiko. Dabei geht es längst nicht mehr nur um verschlüsselte Dateien. Angreifer stehlen Daten, setzen Unternehmen unter Druck und versuchen teilweise auch, Backups zu manipulieren oder unbrauchbar zu machen.
Deshalb reicht es nicht, wenn ein Backupjob grün angezeigt wird. Entscheidend ist, ob Daten im Ernstfall tatsächlich wiederhergestellt werden können.
- Laufen die Backupjobs zuverlässig?
- Werden Fehler aktiv gemeldet?
- Gibt es getrennte oder unveränderbare Sicherungen?
- Wurde ein Restore in den letzten Wochen getestet?
- Sind Server, Dateien und Microsoft-365-Daten ausreichend gesichert?
- Ist klar, wer im Notfall welche Schritte ausführt?
Ein nicht getestetes Backup ist im Ernstfall nur eine Hoffnung. Ein getesteter Restore ist eine belastbare Schutzmaßnahme.
Was Unternehmen jetzt konkret prüfen sollten
Die Cyberlage im Juni zeigt, dass Unternehmen nicht alles gleichzeitig lösen müssen. Entscheidend ist, die wichtigsten Risiken zuerst anzugehen.
- Sind alle VPN- und Firewall-Zugänge mit MFA geschützt?
- Gibt es noch alte lokale Benutzer oder Dienstleisterkonten?
- Sind Windows-Server und Clients auf aktuellem Patchstand?
- Wurden Browser nach Updates wirklich neu gestartet?
- Sind Backupjobs erfolgreich gelaufen?
- Wurde in den letzten Wochen ein Restore getestet?
- Werden ungewöhnliche VPN-Logins überwacht?
- Werden neue Admin-Konten erkannt?
- Werden Defender-Deaktivierungen oder verdächtige PowerShell-Aktivitäten erkannt?
Diese Fragen sind keine Theorie. Sie entscheiden darüber, ob ein Angriff früh erkannt, begrenzt oder im schlechtesten Fall erst nach einem größeren Schaden bemerkt wird.
Cyberlage im Ruhrgebiet: KMU brauchen praktikable Sicherheit
Viele kleine und mittlere Unternehmen im Ruhrgebiet arbeiten mit gewachsenen IT-Strukturen. Ob in Bochum, Herne, Dortmund, Essen, Gelsenkirchen, Witten, Recklinghausen, Castrop-Rauxel, Hattingen, Duisburg, Oberhausen oder Mülheim an der Ruhr: Die Herausforderungen ähneln sich häufig.
Es gibt Server, Arbeitsplätze, Microsoft 365, NAS-Systeme, Firewalls, VPN-Zugänge, Branchensoftware, Backups und externe Dienstleister. Was oft fehlt, ist ein klarer Sicherheitsbetrieb, der diese Systeme regelmäßig prüft und verständlich bewertet.
Kleine Unternehmen brauchen keinen überdimensionierten Sicherheitsapparat. Sie brauchen klare Zuständigkeiten, regelmäßige Kontrolle und Maßnahmen, die im Alltag wirklich funktionieren.
Fazit: Die größte Gefahr ist der unkontrollierte Normalbetrieb
Die Cyberlage im Juni 2026 war erhöht, aber nicht durch eine einzelne neue Katastrophe geprägt. Der Schwerpunkt lag auf realistischen Betriebsrisiken: Zugangsdaten, VPN-Systeme, Firewalls, Microsoft-Patches, Browser, Microsoft 365 und fehlende Überwachung.
Die wichtigste Erkenntnis lautet:
IT-Sicherheit scheitert aktuell selten an fehlender Theorie, sondern an fehlender Umsetzung.
Wer Patchstand, MFA, Backups, Restore-Tests und Fernzugänge sauber im Griff hat, reduziert sein reales Risiko deutlich. Wer dagegen Firewalls, VPN-Zugänge und Benutzerkonten jahrelang einfach laufen lässt, bietet Angreifern genau die Angriffsfläche, die sie suchen.
InoBit Datensysteme GmbH unterstützt Unternehmen beim Sicherheitsbetrieb
„`Die InoBit Datensysteme GmbH unterstützt kleine und mittlere Unternehmen dabei, ihre IT-Sicherheit nicht nur punktuell, sondern im laufenden Betrieb zu verbessern.
Dazu gehören unter anderem:
- Prüfung von Firewall- und VPN-Zugängen
- Bewertung von Benutzerkonten und Mehrfaktor-Authentifizierung
- Patchmanagement für Server und Arbeitsplätze
- Microsoft-365-Sicherheitsprüfung
- Backup- und Restore-Kontrollen
- Monitoring und Schwachstellenanalyse
- regelmäßige Statusberichte für Verantwortliche
- Aufbau eines bezahlbaren Sicherheitsbetriebs für KMU
Ziel ist kein komplizierter Sicherheitsapparat. Ziel ist ein sicherer, nachvollziehbarer und praktikabler IT-Betrieb.
„`Wichtiger Hinweis
Welche Maßnahmen sinnvoll sind, hängt von der vorhandenen IT-Umgebung, den eingesetzten Systemen, der externen Erreichbarkeit, den Datenarten und den betrieblichen Abläufen ab. Entscheidend ist ein Ansatz, der verständlich, realistisch und dauerhaft umsetzbar bleibt.


