Pwn2Own Berlin 2026: Windows 11 und Microsoft Exchange gehackt – Was IT-Verantwortliche jetzt wissen müssen
15 Zero-Day-Lücken in zwei Tagen – und was das für die Sicherheit deutscher Unternehmen bedeutet
1. Einleitung: Wenn Hacker auf der Bühne gewinnen – und die Praxis verliert
Beim renommierten Pwn2Own-Wettbewerb in Berlin haben Sicherheitsforscher am zweiten Wettkampftag insgesamt 385.750 US-Dollar Preisgeld eingestrichen – und dabei 15 einzigartige Zero-Day-Schwachstellen in weit verbreiteten Produkten demonstriert. Im Visier: Windows 11, Microsoft Exchange und Red Hat Enterprise Linux for Workstations – allesamt Systeme, die in tausenden deutschen Unternehmen täglich im Einsatz sind.
Was auf den ersten Blick wie ein spektakulärer Hacker-Wettbewerb klingt, ist in Wahrheit ein frühes Warnsignal für die gesamte IT-Branche. Denn was Sicherheitsforscher unter kontrollierten Bedingungen demonstrieren, können kriminelle Akteure unter realen Bedingungen ausnutzen – oft noch bevor Patches verfügbar sind.
Für IT-Verantwortliche und Geschäftsführer in Deutschland ist das keine abstrakte Bedrohung. Es ist ein konkreter Handlungsauftrag.
2. Technischer Hintergrund: Was ist Pwn2Own – und was sind Zero-Days?
Was steckt hinter Pwn2Own?
Pwn2Own ist ein jährlich von der Zero Day Initiative (ZDI) organisierter Wettbewerb, bei dem Sicherheitsforscher aus aller Welt gezielt nach bisher unbekannten Schwachstellen in Betriebssystemen, Browsern, Virtualisierungslösungen und Unternehmensanwendungen suchen. Wer eine Schwachstelle erfolgreich demonstriert, erhält Preisgeld – und die betroffenen Hersteller werden anschließend informiert, damit sie Patches entwickeln können.
Das klingt nach einem fairen System, und das ist es auch. Aber: Die Zeitspanne zwischen öffentlicher Demonstration und verfügbarem Patch beträgt in der Regel 90 Tage – und in dieser Zeit sind Systeme potenziell verwundbar.
Was ist eine Zero-Day-Schwachstelle?
Ein Zero-Day (auch: 0-Day) bezeichnet eine Sicherheitslücke, für die zum Zeitpunkt der Entdeckung noch kein offizieller Patch des Herstellers existiert. Der Begriff leitet sich davon ab, dass der Hersteller „null Tage" Zeit hatte, die Lücke zu schließen. Solche Schwachstellen sind besonders gefährlich, weil:
- Standardmäßige Patch-Management-Prozesse ins Leere laufen
- Antivirensoftware oft keinen bekannten Signatur-Eintrag besitzt
- Angreifer die Lücke ausnutzen können, bevor Verteidiger reagieren können
Was wurde konkret demonstriert?
Beim diesjährigen Pwn2Own Berlin 2026 gelang es den Teilnehmenden, unter anderem:
- Windows 11 durch eine lokale Privilege-Escalation-Kette zu kompromittieren
- Microsoft Exchange über eine Remote-Code-Execution-Lücke anzugreifen – einem der meistgenutzten E-Mail-Server in deutschen Unternehmen
- Red Hat Enterprise Linux for Workstations erfolgreich zu übernehmen
Die genauen technischen Details werden in der Regel erst nach Bereitstellung der Patches vollständig veröffentlicht. Dennoch zeigt allein die Demonstration: Diese Systeme sind angreifbar – und Angreifer wissen das.
3. NIS2-Relevanz und Auswirkungen auf deutsche Unternehmen
Warum das ein NIS2-Thema ist
Die NIS2-Richtlinie (EU 2022/2555), die in Deutschland durch das BSI-Gesetz (BSIG) umgesetzt wird, verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu einem proaktiven Risikomanagement ihrer IT-Infrastruktur. Dazu gehört ausdrücklich:
- Die kontinuierliche Überwachung von Schwachstellen (Art. 21 NIS2)
- Die unverzügliche Reaktion auf bekannte Sicherheitslücken
- Ein funktionierendes Patch-Management als Bestandteil technischer Schutzmaßnahmen
- Die Meldepflicht bei erheblichen Sicherheitsvorfällen gegenüber dem BSI innerhalb von 24 Stunden (Erstmeldung) bzw. 72 Stunden (detaillierter Bericht)
Wenn in Ihrem Unternehmen Microsoft Exchange oder Windows 11 eingesetzt wird – und das dürfte für die große Mehrheit zutreffen – sind Sie verpflichtet, auf die Bekanntgabe dieser Schwachstellen aktiv zu reagieren.
Was das BSI dazu sagt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgt Pwn2Own-Ergebnisse aktiv und gibt in der Regel kurzfristig Sicherheitshinweise heraus, sobald Hersteller ihre Patches veröffentlichen. Unternehmen sollten:
- Den BSI-Lagedienst und das BSI-Warn- und Informationsdienst (WID)-Portal regelmäßig prüfen
- Sich für den BSI-Newsletter registrieren, um Sicherheitshinweise automatisch zu erhalten
- Die ENISA-Threat-Landscape-Berichte als ergänzende Informationsquelle nutzen
Haftungsrisiken für Geschäftsführer
Nicht zu unterschätzen: Nach NIS2 und der deutschen Umsetzung können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn nachweislich notwendige Sicherheitsmaßnahmen unterlassen wurden. Ein nicht eingespielter Patch nach einer öffentlich bekannten Schwachstelle kann als grobe Fahrlässigkeit gewertet werden.
4. Praktische Schutzmaßnahmen: Was Sie jetzt tun sollten
Maßnahme 1: Sofortiger Schwachstellen-Scan durchführen
Überprüfen Sie unmittelbar, welche Versionen von Windows 11, Microsoft Exchange und Red Hat Enterprise Linux in Ihrer Infrastruktur im Einsatz sind. Tools wie Microsoft Defender Vulnerability Management, Tenable Nessus oder Qualys können dabei helfen, betroffene Systeme schnell zu identifizieren.
Maßnahme 2: Patch-Management-Prozess aktivieren und priorisieren
Stellen Sie sicher, dass Ihr Patch-Management-Prozess für kritische Zero-Day-Patches eine beschleunigte Spur vorsieht. Praxisempfehlung: Kritische Patches sollten innerhalb von 24–72 Stunden in einer Testumgebung geprüft und innerhalb von 7 Tagen produktiv eingespielt werden – sofern keine kritische Abhängigkeit dagegen spricht.
| Schweregrad | Patch-Ziel (Test) | Patch-Ziel (Produktion) |
|---|---|---|
| Kritisch | 24 Stunden | 7 Tage |
| Hoch | 72 Stunden | 14 Tage |
| Mittel | 7 Tage | 30 Tage |
| Niedrig | 30 Tage | 90 Tage |
Maßnahme 3: Netzwerksegmentierung und Least-Privilege-Prinzip prüfen
Viele der bei Pwn2Own demonstrierten Angriffe kombinieren eine initiale Schwachstelle mit einer Privilege-Escalation – also der Ausweitung von Rechten. Durch konsequente Netzwerksegmentierung und das Prinzip der minimalen Rechtevergabe (Least Privilege) lässt sich der mögliche Schaden erheblich begrenzen, selbst wenn ein System kompromittiert wird.
Maßnahme 4: Exchange-Zugänge absichern
Microsoft Exchange ist ein bevorzugtes Angriffsziel – nicht erst seit Pwn2Own. Konkrete Sofortmaßnahmen:
- Multi-Faktor-Authentifizierung (MFA) für alle Exchange-Zugänge aktivieren
- Autodiscover- und OWA-Endpunkte auf notwendige Exposition prüfen
- Exchange-Logs auf ungewöhnliche Aktivitäten überwachen (z. B. unbekannte PowerShell-Ausführungen)
- Überprüfen, ob ein Migration zu Exchange Online (mit Microsoft-seitigen Sicherheitsupdates) sinnvoll ist
Maßnahme 5: Incident-Response-Plan aktualisieren
Sollte eine der demonstrierten Schwachstellen aktiv ausgenutzt werden, bevor ein Patch verfügbar ist, müssen Sie handlungsfähig sein. Prüfen Sie jetzt:
- Ist Ihr Incident-Response-Plan aktuell und kennt jedes Teammitglied seine Rolle?
- Sind die BSI-Meldeformulare und -kontakte hinterlegt?
- Haben Sie eine definierte Kommunikationskette für den Ernstfall – intern wie extern?
Maßnahme 6: Bedrohungsintelligenz integrieren
Abonnieren Sie aktiv Threat-Intelligence-Feeds, die Zero-Day-Informationen aggregieren. Quellen wie Microsoft Security Response Center (MSRC), Red Hat Security Advisories, CERT-Bund und die ENISA liefern frühzeitig Hinweise, sobald Patches oder Workarounds verfügbar sind.
5. Fazit: Pwn2Own ist kein Spektakel – es ist eine Warnung
Pwn2Own Berlin 2026 hat einmal mehr bewiesen: Selbst die meistgenutzten Unternehmenssysteme sind nicht immun gegen Angriffe. 15 Zero-Days in zwei Tagen – das ist keine Randnotiz für Sicherheitsnerds, das ist ein Warnsignal für die gesamte Unternehmens-IT.
Für deutsche Unternehmen bedeutet das konkret: Passivität ist keine Option mehr. NIS2 schreibt aktives Risikomanagement vor, und Schwachstellen wie die bei Pwn2Own demonstrierten fallen eindeutig in diesen Verantwortungsbereich. Wer jetzt nicht reagiert – mit Patches, mit Überwachung, mit Vorbereitung – riskiert nicht nur einen Sicherheitsvorfall, sondern auch regulatorische Konsequenzen und persönliche Haftung.
Die gute Nachricht: Mit den richtigen Prozessen, Tools und dem nötigen Überblick über Ihre Compliance-Lage ist dieser Verantwortung gut zu begegnen.
💡 Tipp für Ihre NIS2-Compliance
Die beschriebenen Anforderungen – Schwachstellenmanagement, Patch-Dokumentation, Meldepflichten und Risikobeurteilung – lassen sich deutlich effizienter umsetzen, wenn sie in einer zentralen NIS2-Compliance-Software zusammengeführt werden. Solche Lösungen helfen dabei, den Überblick über offene Schwachstellen zu behalten, Maßnahmen zu dokumentieren und im Ernstfall BSI-konforme Meldungen schnell zu erstellen. Prüfen Sie, ob ein solches Tool in Ihrer Infrastruktur den nächsten Schritt in Richtung Compliance-Reife darstellen kann.
Quellen: Bleeping Computer (15.05.2026), BSI-Grundschutz, NIS2-Richtlinie EU 2022/2555, Microsoft Security Response Center, ENISA Threat Landscape 2024