{"id":144,"date":"2026-06-15T08:20:07","date_gmt":"2026-06-15T08:20:07","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/15\/cl0p-oracle-ebs-2026\/"},"modified":"2026-06-15T12:05:43","modified_gmt":"2026-06-15T12:05:43","slug":"cl0p-oracle-ebs-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/15\/cl0p-oracle-ebs-2026\/","title":{"rendered":"Cl0p hackt Oracle: 29 Opfer, CVSS 9.8 [2026]"},"content":{"rendered":"\n

Eine einzige Schwachstelle in einer betriebswirtschaftlichen Standardsoftware hat Ende 2025 eine der gr\u00f6\u00dften Erpressungswellen des Jahres ausgel\u00f6st. Die Ransomware-Gruppe Cl0p<\/strong> nutzte eine kritische Zero-Day-L\u00fccke in Oracle E-Business Suite (EBS), um Daten aus Dutzenden Gro\u00dfkonzernen abzuziehen. Auf ihrer Leak-Seite listete die Gruppe 29 Organisationen<\/strong> namentlich, bei 18<\/strong> davon wurden gestohlene Daten tats\u00e4chlich ver\u00f6ffentlicht. Sicherheitsforscher gehen davon aus, dass insgesamt \u00fcber 100 Unternehmen<\/strong> betroffen sein k\u00f6nnten. Dieser Beitrag analysiert die Kampagne, ihre technischen Hintergr\u00fcnde, den deutschen und europ\u00e4ischen Bezug sowie die Marktfolgen, Stand 15. Juni 2026.<\/p>\n\n\n\n

Cl0p attackiert Oracle E-Business Suite: Was geschehen ist<\/h2>\n\n\n\n

Im Sp\u00e4tsommer 2025 begannen Empf\u00e4nger in Finanz- und IT-Abteilungen gro\u00dfer Unternehmen, Erpressungs-E-Mails zu erhalten. Die Absender behaupteten, sensible Gesch\u00e4ftsdaten aus Oracle E-Business Suite kopiert zu haben, und forderten L\u00f6segeld. Anfang Oktober 2025 best\u00e4tigte sich, dass hinter der Welle die Gruppe Cl0p<\/strong> steckt. Sie ist seit Jahren f\u00fcr ihr Gesch\u00e4ftsmodell bekannt: Statt Systeme zu verschl\u00fcsseln, stiehlt sie gro\u00dfe Datenmengen \u00fcber eine einzige verwundbare Software, die viele Konzerne gleichzeitig einsetzen, und erpresst dann Schweigegeld.<\/p>\n\n\n\n

Oracle E-Business Suite ist eine ERP-Plattform, die zentrale Gesch\u00e4ftsprozesse wie Finanzbuchhaltung, Beschaffung, Personalwesen und Lieferkettensteuerung abbildet. Genau das macht sie f\u00fcr Angreifer wertvoll: In einer einzigen Anwendung liegen Gehaltsdaten, Lieferantenvertr\u00e4ge, Steuerinformationen und Kundendaten geb\u00fcndelt. Wer hier eindringt, greift nicht auf ein Randsystem zu, sondern auf das wirtschaftliche Nervenzentrum eines Konzerns.<\/p>\n\n\n\n

Die Kampagne folgt einem Muster, das Cl0p perfektioniert hat. Die Gruppe identifiziert eine weit verbreitete Unternehmenssoftware, findet oder kauft eine Zero-Day-L\u00fccke, automatisiert die Ausnutzung \u00fcber viele Ziele hinweg und schl\u00e4gt in einem kurzen Zeitfenster zu, bevor Patches verf\u00fcgbar sind. Bei Oracle EBS verschickte Cl0p die Erpressungsschreiben bereits Ende September 2025, also noch bevor Oracle die zugrunde liegende Schwachstelle \u00f6ffentlich best\u00e4tigte.<\/p>\n\n\n\n

CVE-2025-61882: Die Schwachstelle im Detail<\/h2>\n\n\n\n

Die zentrale L\u00fccke tr\u00e4gt die Kennung CVE-2025-61882<\/strong> und ist mit dem h\u00f6chstm\u00f6glichen Schweregrad eingestuft: CVSS 9.8 von 10<\/strong>. Laut Oracle ist sie aus der Ferne ohne jede Authentifizierung ausnutzbar. Angreifer ben\u00f6tigen also keinen Benutzernamen, kein Passwort und keinen vorher kompromittierten Zugang. Eine \u00fcber das Internet erreichbare EBS-Instanz gen\u00fcgt, um Schadcode auszuf\u00fchren (Remote Code Execution). Das ist die gef\u00e4hrlichste Kombination, die eine Schwachstelle haben kann.<\/p>\n\n\n\n

Neben CVE-2025-61882 spielt eine verwandte L\u00fccke mit der Kennung CVE-2025-61884<\/strong> eine Rolle. Sicherheitsanalysten von Mandiant und der Google Threat Intelligence Group stellten zudem fest, dass Cl0p nicht nur den neuen Zero-Day einsetzte, sondern auch bereits im Juli 2025 gepatchte Schwachstellen, sofern Unternehmen die Updates noch nicht eingespielt hatten. Die Angreifer kombinierten also mehrere Einfallstore und nutzten konsequent die L\u00fccke zwischen Patch-Ver\u00f6ffentlichung und tats\u00e4chlicher Installation aus.<\/p>\n\n\n\n

Warum unauthentifizierte RCE so brisant ist<\/h3>\n\n\n\n

Eine unauthentifizierte Remote-Code-Execution-L\u00fccke verschiebt die gesamte Verteidigungslogik. Klassische Schutzma\u00dfnahmen wie starke Passw\u00f6rter, Mehr-Faktor-Authentifizierung oder Berechtigungskonzepte greifen nicht, weil der Angreifer sie umgeht, bevor eine Anmeldung \u00fcberhaupt stattfindet. Bei einem CVSS-Wert von 9.8 bleibt Betreibern in der Praxis nur eine Option: das System sofort patchen oder vom Netz nehmen. Genau deshalb stuften Sicherheitsbeh\u00f6rden weltweit die L\u00fccke als akut ein und dr\u00e4ngten auf umgehendes Handeln.<\/p>\n\n\n\n

Oracles Notfall-Patch und der Zeitstrahl der Eskalation<\/h2>\n\n\n\n

Oracle reagierte mit einer au\u00dferplanm\u00e4\u00dfigen Sicherheitswarnung. Am 4. Oktober 2025<\/strong> ver\u00f6ffentlichte der Konzern einen Notfall-Patch f\u00fcr CVE-2025-61882 samt Hinweisen zur Erkennung von Kompromittierungen. Einen Tag sp\u00e4ter, am 5. Oktober 2025, ordnete die Google Threat Intelligence Group den Vorfall \u00f6ffentlich Cl0p zu und beschrieb die Kombination aus altem und neuem Angriffsweg. Die zeitliche Abfolge zeigt, wie kurz das Reaktionsfenster war.<\/p>\n\n\n\n

Datum (2025)<\/th>Ereignis<\/th><\/tr><\/thead>
Ende September<\/td>Cl0p verschickt erste Erpressungs-E-Mails an F\u00fchrungskr\u00e4fte betroffener Konzerne<\/td><\/tr>
Anfang Oktober<\/td>Sicherheitsforscher verkn\u00fcpfen die Welle mit Oracle E-Business Suite<\/td><\/tr>
4. Oktober<\/td>Oracle ver\u00f6ffentlicht Notfall-Patch f\u00fcr CVE-2025-61882 (CVSS 9.8)<\/td><\/tr>
5. Oktober<\/td>Google Threat Intelligence Group ordnet die Kampagne Cl0p zu<\/td><\/tr>
Mitte Oktober<\/td>Erste Opfer wie Harvard und Envoy Air best\u00e4tigen die Betroffenheit<\/td><\/tr>
November<\/td>Cl0p nennt 29 Organisationen auf der Leak-Seite, bei 18 folgen Datenver\u00f6ffentlichungen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Bemerkenswert ist der Vorlauf: Die Erpressung lief bereits, bevor der Patch existierte. F\u00fcr die Verteidiger bedeutete das, dass der reine Software-Fix das Problem nicht l\u00f6ste. Wer eine \u00fcber das Internet erreichbare EBS-Instanz betrieb, musste davon ausgehen, dass die Daten m\u00f6glicherweise schon abgeflossen waren, und parallel zur Installation des Updates eine forensische Untersuchung einleiten.<\/p>\n\n\n\n

Wer betroffen ist: 29 namentlich genannte Opfer<\/h2>\n\n\n\n

Auf der Leak-Seite von Cl0p tauchten 29 Organisationen<\/strong> auf. Bei 18<\/strong> von ihnen ver\u00f6ffentlichte die Gruppe nach eigenen Angaben gestohlene Daten. Mehrere prominente Namen best\u00e4tigten den Vorfall \u00f6ffentlich, andere reagierten nicht oder bestritten eine erfolgreiche Kompromittierung. Die folgende \u00dcbersicht fasst den Stand der Berichterstattung zusammen.<\/p>\n\n\n\n

Organisation<\/th>Sektor<\/th>Status laut Berichterstattung<\/th><\/tr><\/thead>
Harvard University<\/td>Bildung<\/td>Betroffenheit Mitte Oktober 2025 best\u00e4tigt<\/td><\/tr>
Envoy Air<\/td>Luftfahrt<\/td>Betroffenheit Mitte Oktober 2025 best\u00e4tigt<\/td><\/tr>
The Washington Post<\/td>Medien<\/td>erfolgreicher Angriff best\u00e4tigt, keine Details<\/td><\/tr>
Wits University<\/td>Bildung (S\u00fcdafrika)<\/td>als Opfer genannt<\/td><\/tr>
Schneider Electric<\/td>Industrie<\/td>gelistet, Kompromittierung nicht best\u00e4tigt<\/td><\/tr>
Emerson<\/td>Industrie<\/td>gelistet, Kompromittierung nicht best\u00e4tigt<\/td><\/tr>
Logitech<\/td>Hardware<\/td>gelistet, Kompromittierung nicht best\u00e4tigt<\/td><\/tr>
Cox Enterprises<\/td>Medien\/Telekom<\/td>gelistet, Kompromittierung nicht best\u00e4tigt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die Bandbreite der Branchen ist auff\u00e4llig. Bildungseinrichtungen, Luftfahrt, Medienh\u00e4user und Industriekonzerne haben technisch wenig gemeinsam, eint aber der Einsatz von Oracle E-Business Suite. Das ist der Kern von Cl0ps Strategie: Nicht ein Sektor wird ins Visier genommen, sondern eine Software, die quer durch alle Branchen l\u00e4uft. Damit verwandelt sich eine einzelne L\u00fccke in ein branchen\u00fcbergreifendes Lieferketten-Risiko.<\/p>\n\n\n\n

Der deutsche und europ\u00e4ische Bezug<\/h2>\n\n\n\n

F\u00fcr den DACH-Raum ist die Kampagne keineswegs ein fernes US-Ph\u00e4nomen. In erweiterten Opferlisten der Berichterstattung tauchte unter anderem Carglass Germany<\/strong> als deutsche Einheit auf. Aus dem europ\u00e4ischen Umfeld wurden zudem britische Organisationen wie der Ingenieurkonzern John Wood Group<\/strong>, der Versicherer LV=<\/strong>, das Bauunternehmen Kier Group<\/strong> sowie der Gesundheitsdienst NHS England<\/strong> genannt. Die Reichweite der Kampagne endete also nicht an der amerikanischen Grenze.<\/p>\n\n\n\n

Das passt zu einem klaren Trend in der Region. Laut Check Point Research stiegen die Cyberangriffe auf Organisationen in Deutschland, \u00d6sterreich und der Schweiz im Jahr 2025 um 124 Prozent<\/strong>, wobei auf Deutschland mehr als 80 Prozent<\/strong> der erfassten Vorf\u00e4lle entfielen. Deutsche Konzerne mit international vernetzten ERP-Systemen sind damit ein attraktives Ziel f\u00fcr genau jene Massen-Erpressung, die Cl0p betreibt.<\/p>\n\n\n\n

Hinzu kommt die wirtschaftliche Dimension. Der Branchenverband Bitkom bezifferte den Gesamtschaden der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage f\u00fcr 2025 auf rund 289,2 Milliarden Euro<\/strong>, von denen etwa 202,4 Milliarden Euro<\/strong> direkt auf Cyberattacken entfielen. 87 Prozent<\/strong> der befragten Unternehmen waren in den vorangegangenen zw\u00f6lf Monaten betroffen oder vermuteten Angriffe. Eine Kampagne wie die gegen Oracle EBS zahlt direkt auf diese Schadensbilanz ein.<\/p>\n\n\n\n

Wer ist Cl0p? FIN11 und eine Dekade der Massen-Erpressung<\/h2>\n\n\n\n

Cl0p wird in der Berichterstattung mit dem finanziell motivierten Aktivit\u00e4tscluster FIN11<\/strong> in Verbindung gebracht. Die Gruppe ist keine Neuerscheinung, sondern ein etablierter Akteur, der seit Jahren ein wiederkehrendes Muster verfolgt: Sie sucht sich Software f\u00fcr den unternehmensweiten Datentransfer oder die Gesch\u00e4ftssteuerung und nutzt darin Zero-Day-L\u00fccken, um in einem Rutsch viele Opfer zu treffen. Die Oracle-EBS-Welle ist die j\u00fcngste Eskalationsstufe dieser Taktik.<\/p>\n\n\n\n

Jahr<\/th>Zielsoftware<\/th>Charakter der Kampagne<\/th><\/tr><\/thead>
2020\/2021<\/td>Accellion FTA<\/td>Massenhafter Datendiebstahl \u00fcber ein Managed-File-Transfer-System<\/td><\/tr>
2023<\/td>Fortra GoAnywhere MFT<\/td>Zero-Day-Ausnutzung mit Datenabfluss bei zahlreichen Firmen<\/td><\/tr>
2023<\/td>MOVEit Transfer<\/td>Eine der gr\u00f6\u00dften Erpressungswellen \u00fcberhaupt, hunderte Organisationen weltweit<\/td><\/tr>
2024\/2025<\/td>Cleo MFT<\/td>Erneute Massenausnutzung einer Datei-Transfer-L\u00f6sung<\/td><\/tr>
2025<\/td>Oracle E-Business Suite<\/td>CVE-2025-61882, 29 genannte Opfer, mutma\u00dflich \u00fcber 100 betroffen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die MOVEit-Kampagne von 2023 gilt bis heute als Referenzfall. Cl0p kompromittierte \u00fcber eine einzige Schwachstelle in der weit verbreiteten Datei-Transfer-Software MOVEit hunderte Organisationen und mittelbar Millionen Menschen, deren Daten bei diesen Organisationen gespeichert waren. Mit der Verlagerung von Datei-Transfer-Tools (MOVEit, GoAnywhere, Cleo) hin zu einer Kern-ERP-Plattform wie Oracle EBS hebt die Gruppe ihr Modell auf eine neue Ebene, weil ERP-Daten gesch\u00e4ftskritischer und sensibler sind als Dateianh\u00e4nge.<\/p>\n\n\n\n

Wie Mandiant und Google den Angriff einordnen<\/h2>\n\n\n\n

Die forensische Aufarbeitung \u00fcbernahm ma\u00dfgeblich die Google Threat Intelligence Group (GTIG), zu der die Sicherheitsfirma Mandiant geh\u00f6rt. Ihre Analysten best\u00e4tigten am 5. Oktober 2025, dass Cl0p sowohl die neue Zero-Day-L\u00fccke als auch zuvor gepatchte Schwachstellen aus dem Juli 2025 nutzte. Diese Doppelstrategie erkl\u00e4rt, warum auch Unternehmen getroffen wurden, die ihre Systeme f\u00fcr ausreichend abgesichert hielten.<\/p>\n\n\n\n

Charles Carmakal<\/strong>, Chief Technology Officer der Google Threat Intelligence Group, mahnte zugleich zur Vorsicht bei den Opferzahlen. Er erkl\u00e4rte, dass GTIG zum damaligen Zeitpunkt noch nicht \u00fcber ausreichende Beweise verf\u00fcge, um den Wahrheitsgehalt aller Behauptungen von Cl0p abschlie\u00dfend zu beurteilen. Diese Einordnung ist wichtig: Ransomware-Gruppen \u00fcbertreiben regelm\u00e4\u00dfig den Umfang ihrer Beute, um den Druck auf die Opfer zu erh\u00f6hen. Nicht jede genannte Organisation ist zwangsl\u00e4ufig erfolgreich kompromittiert worden.<\/p>\n\n\n\n

Sicherheitsanbieter wie Tenable und Oligo Security erg\u00e4nzten die technische Analyse. Tenable wies darauf hin, dass die L\u00fccke ohne Authentifizierung aus der Ferne ausnutzbar ist und Code-Ausf\u00fchrung erlaubt, und stufte sie als sofort behebungsbed\u00fcrftig ein. Oligo beschrieb CVE-2025-61882 als kritische, unauthentifizierte RCE-Schwachstelle, die aktiv in Cl0ps Erpressungskampagne ausgenutzt wird. Die \u00dcbereinstimmung mehrerer unabh\u00e4ngiger Analysen unterstreicht den Ernst der Lage.<\/p>\n\n\n\n

Die Erpressungs-Mechanik: Datendiebstahl statt Verschl\u00fcsselung<\/h2>\n\n\n\n

Cl0p verzichtet bei diesen Kampagnen weitgehend auf die klassische Verschl\u00fcsselung von Systemen. Das Gesch\u00e4ftsmodell ist reine Daten-Erpressung: Die Gruppe kopiert sensible Informationen, kontaktiert die F\u00fchrungsebene des Opfers per E-Mail und droht mit der Ver\u00f6ffentlichung auf der Leak-Seite, falls kein L\u00f6segeld flie\u00dft. Der Vorteil f\u00fcr die Angreifer liegt in Geschwindigkeit und Skalierbarkeit. Sie m\u00fcssen keine Systeme lahmlegen, sondern nur Daten abziehen, was technisch unauff\u00e4lliger und schneller geht.<\/p>\n\n\n\n

F\u00fcr die Opfer versch\u00e4rft das die Lage. Eine Verschl\u00fcsselung l\u00e4sst sich durch Backups r\u00fcckg\u00e4ngig machen, ein Datendiebstahl nicht. Sind die Informationen erst abgeflossen, helfen weder Sicherungskopien noch eine schnelle Wiederherstellung. Die Drohung mit der Ver\u00f6ffentlichung von Gehaltsdaten, Vertr\u00e4gen oder personenbezogenen Kundendaten erzeugt zudem regulatorischen Druck, weil in der EU bei Datenschutzverletzungen Meldepflichten nach der DSGVO greifen.<\/p>\n\n\n\n

Warum die Reaktionszeit \u00fcber den Schaden entscheidet<\/h3>\n\n\n\n

Wie wenig Zeit Verteidigern bleibt, zeigt der Global Incident Response Report 2026 von Palo Alto Networks Unit 42. Demnach erreichte das schnellste Viertel aller Einbr\u00fcche im Jahr 2025 den Punkt der Datenexfiltration bereits nach 1,2 Stunden<\/strong>, gegen\u00fcber 4,8 Stunden im Vorjahr. Der Anteil der Vorf\u00e4lle, bei denen Daten in unter einer Stunde abflossen, stieg von 19 auf 22 Prozent<\/strong>. Bei Angriffen dieser Geschwindigkeit ist die reine Patch-Strategie oft zu langsam. Es z\u00e4hlt die F\u00e4higkeit, Anomalien in Echtzeit zu erkennen.<\/p>\n\n\n\n

Marktauswirkungen: Oracle, Versicherer und der ERP-Markt<\/h2>\n\n\n\n

Die Kampagne trifft Oracle in einem sensiblen Moment. Der Konzern positioniert sich stark im Cloud- und Datenbankgesch\u00e4ft, und ein hochkar\u00e4tiger Sicherheitsvorfall in einem Kernprodukt belastet das Vertrauen gro\u00dfer Unternehmenskunden. Auch wenn der Patch z\u00fcgig kam, verschiebt sich die Diskussion bei Bestandskunden hin zu der Frage, wie viele weitere unentdeckte L\u00fccken in komplexen, jahrzehntealten ERP-Codebasen schlummern.<\/p>\n\n\n\n

Sp\u00fcrbar werden die Folgen auch im Markt f\u00fcr Cyber-Versicherungen. Massen-Erpressungskampagnen \u00fcber eine einzelne Lieferantensoftware erzeugen korrelierte Sch\u00e4den: Dutzende Versicherte sind gleichzeitig betroffen, was die Risikomodelle der Versicherer durcheinanderbringt. In der Folge ist mit strengeren Vorgaben zu rechnen, etwa der Pflicht zu nachweisbarem Patch-Management und zur Segmentierung internetexponierter Systeme, bevor Policen abgeschlossen werden.<\/p>\n\n\n\n

Mittelbar profitieren Anbieter von L\u00f6sungen f\u00fcr Angriffserkennung, Datenklassifizierung und Drittparteien-Risikomanagement. Der Vorfall verdeutlicht, dass klassische Perimeter-Sicherheit nicht ausreicht, wenn die Bedrohung \u00fcber eine vertrauensw\u00fcrdige Gesch\u00e4ftsanwendung hereinkommt. Das verschiebt Budgets in Richtung kontinuierlicher \u00dcberwachung und Lieferketten-Sicherheit, ein Thema, das auch durch europ\u00e4ische Regulierung wie NIS2 und den Cyber Resilience Act zus\u00e4tzlich Auftrieb erh\u00e4lt.<\/p>\n\n\n\n

Einordnung in die DACH-Bedrohungslage 2025\/2026<\/h2>\n\n\n\n

Der Oracle-Vorfall ist kein Einzelfall, sondern Teil eines breiteren Trends. Die folgende Tabelle stellt die wichtigsten Kennzahlen zur Bedrohungslage in Deutschland und der DACH-Region zusammen, die den Kontext f\u00fcr Cl0ps Kampagne liefern.<\/p>\n\n\n\n

Kennzahl<\/th>Wert<\/th>Quelle\/Zeitraum<\/th><\/tr><\/thead>
Gesamtschaden deutsche Wirtschaft<\/td>289,2 Mrd. Euro<\/td>Bitkom, 2025<\/td><\/tr>
davon durch Cyberattacken<\/td>202,4 Mrd. Euro<\/td>Bitkom, 2025<\/td><\/tr>
Gesamtschaden Vorjahr<\/td>266,6 Mrd. Euro<\/td>Bitkom, 2024<\/td><\/tr>
betroffene Unternehmen<\/td>87 Prozent<\/td>Bitkom, 2025<\/td><\/tr>
Anstieg Angriffe DACH<\/td>plus 124 Prozent<\/td>Check Point, 2025<\/td><\/tr>
Anteil Deutschland an DACH-Vorf\u00e4llen<\/td>\u00fcber 80 Prozent<\/td>Check Point, 2025<\/td><\/tr>
Angriffe pro Organisation\/Woche (global)<\/td>2.090<\/td>Check Point, Januar 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Global registrierte Check Point Research im Januar 2026 durchschnittlich 2.090 Angriffe pro Organisation und Woche<\/strong>, ein Plus von 17 Prozent gegen\u00fcber dem Vorjahresmonat. Die Zahl der weltweit beobachteten Ransomware-Vorf\u00e4lle lag bei 678<\/strong> allein im Januar 2026, 10 Prozent mehr als im Januar 2025. Diese Zahlen zeigen, dass Erpressungskampagnen wie die von Cl0p nicht abebben, sondern sich weiter verst\u00e4rken.<\/p>\n\n\n\n

KI als Brandbeschleuniger der Bedrohung<\/h2>\n\n\n\n

Ein wiederkehrendes Thema in der Analyse der aktuellen Bedrohungslage ist der Einsatz k\u00fcnstlicher Intelligenz. Laut dem Global Cybersecurity Outlook 2026 des World Economic Forum sehen 94 Prozent<\/strong> der Befragten KI als den bedeutendsten Treiber des Wandels in der Cybersicherheit f\u00fcr das kommende Jahr. 64 Prozent<\/strong> der Organisationen ber\u00fccksichtigen mittlerweile geopolitisch motivierte Cyberangriffe in ihren Risikoplanungen.<\/p>\n\n\n\n

KI senkt den Aufwand f\u00fcr ausgefeilte Angriffe. Phishing-Mails, Sprachnachrichten und sogar videobasierte Social-Engineering-Versuche lassen sich 2026 immer schwerer von echter Kommunikation unterscheiden. F\u00fcr Massen-Erpresser wie Cl0p bedeutet das, dass die Vorbereitung von Kampagnen, das Aufsp\u00fcren verwundbarer Systeme und das Verfassen \u00fcberzeugender Erpressungsschreiben g\u00fcnstiger und schneller werden. Die menschliche Schwachstelle bleibt damit ein zentrales Einfallstor.<\/p>\n\n\n\n

Wie sich Unternehmen jetzt sch\u00fctzen<\/h2>\n\n\n\n

Die unmittelbare Konsequenz aus dem Oracle-Vorfall ist klar: Betreiber von Oracle E-Business Suite m\u00fcssen die Patches f\u00fcr CVE-2025-61882 und CVE-2025-61884 einspielen, sofern noch nicht geschehen, und parallel pr\u00fcfen, ob ihre Systeme bereits kompromittiert wurden. Oracle hat Hinweise zur Erkennung von Angriffsspuren bereitgestellt. Dar\u00fcber hinaus gelten allgemeine Prinzipien, die das Risiko solcher Massen-Kampagnen senken.<\/p>\n\n\n\n