BeyondTrust unter Beschuss: CVSS 9.9, aktive Exploits und die Neuordnung des PAM-Marktes

Datum: 19. Februar 2026
Tags: cybersecurity, PAM, BeyondTrust, CVE-2026-1731, PANW, identity-security, vulnerability

Privilegierter Zugang – das lukrativste Ziel der Angreifer

Wenn Cyberkriminelle in Unternehmensnetzwerke eindringen, suchen sie nicht nach dem schwächsten Glied in der Kette. Sie suchen nach dem wertvollsten: privilegierte Identitäten, Admin-Konten, Fernwartungszugänge. Exactly jenes Segment, das Privileged Access Management (PAM) absichern soll, steht seit dem 6. Februar 2026 unter schwerem Beschuss. An diesem Tag meldete BeyondTrust – Marktführer im PAM-Segment und Anbieter der weltweit meistgenutzten Remote-Support-Plattformen – eine Schwachstelle mit einem fast perfekten CVSS-Score von 9.9. Seit dem 17. Februar 2026 wird sie aktiv ausgenutzt.

Für Sicherheitsverantwortliche ist das ein Worst-Case-Szenario: Eine Lücke im System, das alle anderen Systeme schützen soll.

CVE-2026-1731: Was ist passiert?

Die Schwachstelle, klassifiziert als CVE-2026-1731 mit einem CVSSv4-Score von 9.9, betrifft zwei zentrale BeyondTrust-Produkte:

• Remote Support (RS): Versionen 21.3 bis 25.3.1
• Privileged Remote Access (PRA): Versionen 22.1 bis 24.X

Die kritische Eigenschaft: Es handelt sich um eine Pre-Authentication Remote Code Execution (Pre-Auth RCE). Angreifer benötigen keinerlei gültige Zugangsdaten. Durch speziell präparierte HTTP-Anfragen an exponierte Instanzen können sie beliebige Betriebssystembefehle im Kontext des Site-Nutzers ausführen – die Konsequenz reicht von unautorisiertem Zugang über Datenexfiltration bis zur Dienststörung.

BeyondTrust stellte Patches bereit:

• BT26-02-RS für Remote Support (v21.3–25.3.1)
• BT26-02-PRA für Privileged Remote Access (v22.1–24.X)
• PRA-Versionen ab 25.1 sind von dieser Schwachstelle nicht betroffen.

Vom PoC zur aktiven Exploitation: Das 24-Stunden-Fenster

Hier wird die Situation ernst. Innerhalb von weniger als 24 Stunden nach Veröffentlichung eines funktionsfähigen Proof-of-Concept (PoC) auf GitHub registrierte das Bedrohungsanalyse-Unternehmen GreyNoise erste Reconnaissance-Versuche gegen CVE-2026-1731. Am 17. Februar 2026 bestätigte watchTowr-Head of Threat Intelligence Ryan Dewhurst die ersten In-the-Wild-Exploits: «Overnight we observed first in-the-wild exploitation of BeyondTrust across our global sensors.»

Auffällig: Ein einziger IP-Block aus Frankfurt – hinter einem kommerziellen VPN-Service – stand hinter 86 Prozent aller beobachteten Reconnaissance-Sessions. GreyNoise ordnete ihn als etablierte Scanning-Operation ein, die CVE-2026-1731 schnell in ihr Toolkit integriert hatte. Defused Cyber bestätigte die Exploitation-Versuche unabhängig.

Die CISA (U.S. Cybersecurity and Infrastructure Security Agency) reagierte und fügte CVE-2026-1731 zum Known Exploited Vulnerabilities (KEV) Catalog hinzu – ein klares Signal an Bundesbehörden und Unternehmen, die Patches sofort zu priorisieren.

Kontext: 15 Minuten bis zur Exploitation

Was bei CVE-2026-1731 zu beobachten ist, ist kein Einzelfall – es ist die neue Normalität. Palo Alto Networks veröffentlichte am 18. Februar 2026 seinen Unit 42 Global Incident Response Report 2026, basierend auf über 750 IR-Fällen weltweit. Das Ergebnis ist alarmierend:

• Angreifer beginnen, nach CVE-Disclosures innerhalb von 15 Minuten mit Scanning-Versuchen
• In den effizientesten Angriffen werden Daten 72 Minuten nach dem initialen Zugriff exfiltriert
• 90 Prozent aller IR-Fälle involvierten kompromittierte Identitäten
• Ransomware-Angriffe laufen im Durchschnitt viermal schneller als noch vor einem Jahr

Sam Rubin, Senior Vice President bei Unit 42, fasste es so zusammen: «Once an attacker has legitimate credentials, they're not breaking in, they're logging in.» Genau das macht PAM-Schwachstellen wie CVE-2026-1731 so gefährlich: Wer Remote-Support-Systeme kontrolliert, sitzt im Cockpit privilegierter Zugänge.

PAM als systemisches Risiko: Der strukturelle Hintergrund

Privileged Access Management war lange ein Nischensegment der IT-Security. Das hat sich geändert. In einer Welt, in der KI-Agenten, Service-Accounts und Cloud-Workloads massenhaft privilegierten Zugang benötigen, ist PAM zum Rückgrat moderner Sicherheitsarchitekturen geworden.

Gartner prognostiziert, dass bis 2027 mehr als 50 Prozent aller identitätsbezogenen Angriffe auf nicht-menschliche Identitäten abzielen werden – also Maschinen, Skripte, API-Keys, KI-Agenten. Der PAM-Markt wächst entsprechend: Laut Mordor Intelligence lag er 2026 bei 5,17 Milliarden US-Dollar und wird bis 2031 auf 13,83 Milliarden USD ansteigen – eine jährliche Wachstumsrate (CAGR) von 21,72 Prozent.

BeyondTrust hat mit ~500 Millionen US-Dollar ARR und Hunderttausenden von Unternehmenskunden eine kritische Infrastrukturrolle in diesem Markt eingenommen. Eine CVSS-9.9-Lücke im Kernprodukt – und deren aktive Ausnutzung – trifft damit nicht nur einen Anbieter, sondern das Vertrauen in eine gesamte Produktkategorie.

Handlungsempfehlungen: Was CISOs jetzt tun müssen

Für Security-Teams, die BeyondTrust-Produkte betreiben, sind folgende Maßnahmen unmittelbar notwendig:

• ✅ Patch sofort einspielen: BT26-02-RS und BT26-02-PRA – keine Ausnahmen für Produktionsumgebungen
• ✅ Internet-Exposition prüfen: Laut BeyondTrust beschränkte sich die beobachtete Exploitation auf internet-zugängliche, selbstgehostete Instanzen ohne Patch-Stand vor dem 9. Februar 2026
• ✅ Netzwerk-Segmentierung überprüfen: Remote-Support-Systeme dürfen keinen direkten Zugang zu kritischen Backend-Systemen haben
• ✅ Logs auswerten: Insbesondere get_portal_info-Anfragen und ungewöhnliche WebSocket-Sessions analysieren
• ✅ GreyNoise und KEV-Feeds abonnieren: Echtzeit-Threat-Intelligence ist kein Luxus mehr, sondern Grundvoraussetzung
• ✅ Zero-Trust-Prinzip anwenden: Privilegierte Sitzungen müssen sessionbezogen überwacht und aufgezeichnet werden

Investment-Implikationen: Neuordnung eines Milliarden-Marktes

Die Investmentperspektive rund um CVE-2026-1731 ist vielschichtiger als sie auf den ersten Blick erscheint.

BeyondTrust ist nicht börsennotiert. Das Unternehmen befindet sich seit 2018 im Portfolio von Francisco Partners, seit 2021 auch mit Clearlake Capital als Co-Investor. Seit August 2025 wird ein Verkauf diskutiert – Analysten schätzten die Bewertung auf das Fünf- bis Zwanzigfache des ARR, also zwischen 2,5 und 10 Milliarden USD. Eine aktiv ausgenutzte CVSS-9.9-Schwachstelle ist kein Verkaufsargument.

Der direkte öffentliche Nutznießer dieser Situation ist Palo Alto Networks (NASDAQ: PANW), das am 11. Februar 2026 seine Übernahme von CyberArk – bis dato der schärfste öffentlich gehandelte PAM-Konkurrent von BeyondTrust – für 25 Milliarden US-Dollar abgeschlossen hat. Unternehmen, die angesichts der BeyondTrust-Lücke ihr PAM-Portfolio konsolidieren wollen, schauen jetzt direkt auf die PANW/CyberArk-Plattform.

Weitere Profiteure: Delinea (privat), One Identity (Teil von Quest Software) sowie Anbieter, die Identity Threat Detection (ITDR) mit PAM kombinieren – darunter CrowdStrike (CRWD) mit Falcon Identity. Letztere profitieren vom strukturellen Shift: Unternehmen suchen nicht mehr nur PAM-Tools, sondern integrierte Plattformen, die Identitäten sowohl verwalten als auch überwachen.

Der Cybersecurity Leaders Fonds investiert unter anderem in führende Anbieter dieser Technologien und profitiert vom strukturellen Wachstum des PAM- und Identity-Security-Marktes.

Fazit: PAM ist keine Nische mehr

CVE-2026-1731 ist mehr als eine kritische Einzelschwachstelle. Sie ist Symptom einer strukturellen Verschiebung: Privilegierte Zugänge – einst eine IT-interne Spezialität – sind zum primären Schlachtfeld moderner Cyberangriffe geworden. Der Unit-42-Bericht bestätigt: 90 Prozent aller Incidents beginnen mit kompromittierten Identitäten. Wer PAM-Systeme nicht durch Patches, Segmentierung und Zero-Trust-Monitoring härtet, hält sein wertvollstes Angriffsziel ungeschützt offen.

Für Investoren bedeutet das: Das strukturelle Wachstum im PAM- und Identity-Security-Segment ist real – und hält auf dem Weg von 5,17 zu 13,83 Milliarden Dollar bis 2031 an. Die aktuelle Konsolidierung, angeführt durch PANWs CyberArk-Übernahme, dürfte sich beschleunigen.

Quellen

• The Hacker News: «Researchers Observe In-the-Wild Exploitation of BeyondTrust CVSS 9.9 Vulnerability» (17. Februar 2026): https://thehackernews.com/2026/02/researchers-observe-in-wild.html
• BeyondTrust Security Advisory BT26-02: https://www.beyondtrust.com/trust-center/security-advisories/bt26-02
• Rapid7 ETR: «CVE-2026-1731: Critical Unauthenticated RCE in BeyondTrust Remote Support and PRA»: https://www.rapid7.com/blog/post/etr-cve-2026-1731-critical-unauthenticated-remote-code-execution-rce-beyondtrust-remote-support-rs-privileged-remote-access-pra/
• Orca Security: «Critical CVE-2026-1731 Vulnerability in BeyondTrust Remote Support and PRA»: https://orca.security/resources/blog/cve-2026-1731-beyondtrust-vulnerability/
• GreyNoise: BeyondTrust CVE-2026-1731 Reconnaissance Activity: https://www.greynoise.io/blog/reconnaissance-beyondtrust-rce-cve-2026-1731
• CISA KEV Catalog, Eintrag CVE-2026-1731 (12. Februar 2026): https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• Palo Alto Networks Unit 42 Global IR Report 2026 (18. Februar 2026): https://www.paloaltonetworks.com/blog/2026/02/unit-42-global-ir-report/
• Cybersecurity Dive: «Threat groups using AI to speed up and scale cyberattacks» (18. Februar 2026): https://www.cybersecuritydive.com/news/threat-groups-ai-speed-scale-cyberattacks/812439/
• Mordor Intelligence: PAM Market Size, Share & Growth Trends Report 2026–2031: https://www.mordorintelligence.com/industry-reports/privileged-access-management-pam-market
• Private Equity Wire: «Francisco Partners weighs multi-billion dollar sale of BeyondTrust» (August 2025): https://www.privateequitywire.co.uk/francisco-partners-weighs-multi-billion-dollar-sale-of-cybersecurity-firm-beyondtrust/
• FinancialContent: «Palo Alto Networks Closes $25 Billion Acquisition of CyberArk» (11. Februar 2026)
• Verwandter Artikel: Palo Alto Networks: Drei Deals, starke Zahlen – und trotzdem -6% (18. Februar 2026, AIFence)