Pwn2Own Berlin 2026: 47 Zero-Days, 1,3 Millionen Dollar — und was das für Enterprise-Security bedeutet
Drei Tage, 47 Zero-Day-Exploits, vollständig gepatchte Enterprise-Systeme — und das erste Mal KI-Coding-Assistenten auf der Zielliste. Pwn2Own Berlin 2026 war ein Rekordevent. Was die Ergebnisse über den Zustand der Enterprise-Security verraten, geht weit über die Schlagzeilen hinaus.
Was ist Pwn2Own — und warum ist es relevant?
Pwn2Own ist der bekannteste Hacking-Wettbewerb der Welt — organisiert von Trend Micros Zero Day Initiative (ZDI). Die Regeln sind einfach: Elite-Sicherheitsforscher aus aller Welt demonstrieren live, vollständig vorher unbekannte Exploits gegen aktuelle, vollständig gepatchte Software. Wer eine Schwachstelle erfolgreich ausnutzt, kassiert das Preisgeld — und die Schwachstelle wird koordiniert an den Hersteller gemeldet.
Die Bedeutung für die Praxis: Pwn2Own ist kein akademisches Experiment. Jeder dort demonstrierte Exploit beweist, dass eine reale Schwachstelle in Software existiert, die Millionen von Unternehmen weltweit gerade produktiv einsetzen. Nach dem Wettbewerb haben Hersteller 90 Tage, um Patches zu liefern — danach veröffentlicht ZDI die technischen Details.
Drei Tage, 47 Zero-Days: Die Highlights
Der stärkste Eröffnungstag in der Geschichte von Pwn2Own Berlin. 24 einzigartige Zero-Days in einem einzigen Tag — mehr als der Gesamtwettbewerb in manchen früheren Jahren.
Vier Logic-Bugs verkettet zu einem vollständigen Sandbox Escape. Der Exploit macht aus vier Einzelschwächen einen kompletten System-Kompromiss — ein Paradebeispiel für Exploit-Chain-Techniken.
Erstmals ein KI-Coding-Assistent als Pwn2Own-Zielkategorie. Compass Security demonstrierte erfolgreich einen Exploit gegen OpenAI Codex.
Lokale Privilege-Escalation auf Windows 11, LiteLLM als Open-Source-LLM-Proxy-Framework und mehrere Enterprise-Anwendungen.
Tag zwei brachte den Einbruch in Microsoft Exchange — einen der meistgenutzten Mail-Server weltweit — sowie mehrere Angriffe auf KI-Coding-Agenten.
Drei Schwachstellen zu einer Remote Code Execution mit SYSTEM-Privilegien verkettet. Der höchste Einzelpayout für ein Exchange-Target in der Wettbewerbsgeschichte.
Root-Privilege-Escalation auf RHEL for Workstations, weitere Windows-11-LPE-Varianten, und erneut mehrere erfolgreiche Angriffe auf KI-Entwicklungstools.
Der finale Tag brachte die schwerwiegendsten Infrastruktur-Exploits: VMware ESXi und Microsoft SharePoint — und einen bemerkenswerten Ausgang beim Angriff auf Claude Code.
Memory Corruption Bug mit Cross-Tenant Code Execution Add-On. ESXi läuft in praktisch jeder größeren Unternehmensumgebung — ein erfolgreicher Exploit auf einem Hypervisor kompromittiert potenziell alle darauf laufenden VMs.
Zwei Bugs verkettet zu einem erfolgreichen SharePoint-Kompromiss.
Beide Teams hatten funktionierende Exploits gegen Anthropics Claude Code — trafen jedoch auf Schwachstellen, die bereits aus früheren Einreichungen bekannt waren. Collision bedeutet: Die Forschung war valide, die Bug-Klasse aber nicht mehr neu. Dennoch ein klares Signal: Claude Code ist ein echtes Angriffsziel.
Master of Pwn: Die Rangliste
| Platz | Team | Punkte | Gewinn | Stärken |
|---|---|---|---|---|
| 🥇 | DEVCORE (Taiwan) | 50.5 | $505,000 | Edge, Exchange, SharePoint, Windows |
| 🥈 | STARLabs SG | 25 | $242,500 | VMware ESXi, Red Hat Linux |
| 🥉 | Out of Bounds | 12.75 | $95,750 | Verschiedene Enterprise-Targets |
| 4. | Compass Security (CH) | – | $60,000 | OpenAI Codex, Claude Code (Collision) |
DEVCORE gewann durch konsequentes Verketten mehrerer kleiner Schwachstellen zu mächtigen Exploit-Chains. Weder Edge noch Exchange wurden durch einen einzelnen kritischen Bug kompromittiert — sondern durch die Kombination von jeweils mehreren, für sich genommen weniger gravierenden Schwachstellen. Das ist die eigentliche Botschaft an Hersteller und Security-Teams.
Das neue Frontier: KI-Coding-Assistenten als Angriffsziel
Die wichtigste Neuerung bei Pwn2Own Berlin 2026 ist keine einzelne Schwachstelle — es ist die Tatsache, dass KI-Coding-Assistenten erstmals als eigenständige Zielkategorie eingeführt wurden. LiteLLM, OpenAI Codex und Claude Code standen auf der Liste. Das ist kein Zufall.
KI-Coding-Tools haben in den letzten zwei Jahren eine Besonderheit entwickelt, die sie zu attraktiven Angriffszielen macht: Sie haben direkte Verbindung zu Quellcode-Repositories, CI/CD-Pipelines und oft Datenbankzugängen — und sie laufen mit den Rechten des jeweiligen Entwicklers. Ein kompromittierter AI-Coding-Agent ist kein harmloses Frontend-Problem, sondern ein potenzielles Initial-Access-Gateway in die Entwicklungsinfrastruktur eines Unternehmens.
Open-Source-Proxy-Framework für LLM-APIs. Erfolgreich kompromittiert. Weitverbreitet in eigenen KI-Infrastrukturen von Unternehmen.
Erfolgreich kompromittiert durch Compass Security — $40.000 Payout. Erster bestätigter Zero-Day-Exploit gegen Codex.
Zwei Teams mit validen Exploits — beide Collisions. Bedeutet: Bekannte Bugs waren bereits vor dem Wettbewerb vorhanden und werden aktiv geforscht.
Zwei unabhängige Teams hatten arbeitsfähige Exploits gegen Claude Code vorbereitet — und trafen auf denselben Bug. Das bedeutet nicht, dass Claude Code sicher ist. Es bedeutet, dass dieselbe Schwachstelle von mindestens zwei Forschungsgruppen unabhängig voneinander gefunden wurde. Die Wahrscheinlichkeit, dass staatliche Akteure oder Kriminelle diese Bug-Klasse kennen, steigt damit erheblich.
Die Zero-Day-Ökonomie: Zwischen Disclosure und Exploit
Pwn2Own-Ergebnisse sind nicht nur interessante Hacker-Geschichten. Sie zeigen ein strukturelles Problem, das Mandiant im aktuellen M-Trends 2026 Report mit harten Zahlen belegt:
Die Konsequenz ist brutal: Während ein Hersteller nach Pwn2Own 90 Tage hat, um einen Patch zu entwickeln, stehen Angreifer oft schon vor Erscheinen des Patches mit einem funktionierenden Exploit bereit. Das Zeitfenster zwischen Disclosure und Patch — früher Monate, heute Tage — ist das gefährlichste Terrain in der Enterprise-Security.
Was IT-Auditoren aus Pwn2Own mitnehmen müssen
Pwn2Own ist kein Hacker-Sportevent — es ist der verlässlichste jährliche Seismograph für den Zustand der Enterprise-Software-Sicherheit. Für IT-Auditoren ergeben sich direkte Prüfungsimplikationen:
Wie lange dauert es durchschnittlich, bis ein kritischer CVE in der Organisation gepatcht ist? Gibt es definierte SLAs nach CVSS-Score? Exchange, Windows und VMware ESXi aus Pwn2Own 2026 sind ab August 2026 öffentlich — Unternehmen ohne strukturiertes Patch-Management stehen dann ungeschützt da.
Claude Code, Copilot, Cursor — welche KI-Coding-Assistenten sind im Einsatz? Mit welchen Rechten? Welchen Zugang haben sie zu Repositories und Pipelines? Pwn2Own bestätigt: Diese Tools sind valide Angriffsziele, die bisher in keinem klassischen Prüfungsprogramm auftauchen.
DEVCORE zeigte: Niedrige CVSS-Scores einzelner Schwachstellen sagen nichts über das Gesamtrisiko aus, wenn mehrere kombiniert werden. Rein scorebasiertes Priorisieren reicht nicht mehr — Kontext und Combinability müssen bewertet werden.
Der erfolgreiche VMware-ESXi-Exploit mit Cross-Tenant-Code-Execution ist ein direktes Signal: Virtualisierungsisolation ist kein Selbstläufer. Prüfungsrelevant: Wie werden Mandanten-Grenzen auf Hypervisor-Ebene durchgesetzt und überwacht?
ZDI veröffentlicht Technical Details 90 Tage nach dem Wettbewerb, also ab Mitte August 2026. Exchange, Windows 11, ESXi, Edge und SharePoint müssen bis dahin gepatcht sein. Das ist ein konkreter Fristenplan für Prüfungskalender und Maßnahmen-Tracking.
✅ Fazit
Pwn2Own Berlin 2026 war ein Rekordevent — und ein nüchterner Spiegel. 47 Zero-Days in drei Tagen gegen vollständig gepatchte Software zeigen: Die Angriffsfläche moderner Enterprise-Umgebungen ist weiter gewachsen, nicht geschrumpft. DEVCORE hat eindrucksvoll demonstriert, wie aus vier kleinen Fehlern ein vollständiger System-Kompromiss wird.
Das eigentlich Neue: KI-Coding-Assistenten sind angekommen — auf der Angreifer-Seite wie auf der Zielliste. Wer Claude Code, Copilot oder Codex im Einsatz hat, ohne diese Tools in sein Security-Programm aufgenommen zu haben, hat eine blinde Flanke. Und wer 74 Tage braucht, um einen kritischen Patch einzuspielen, lebt im Risiko-Zeitfenster anderer.
- Exchange, Windows, ESXi, Edge, SharePoint sind für Pwn2Own-Schwachstellen anfällig — Patches bis August 2026 sind Pflicht.
- KI-Coding-Tools sind valide Angriffsziele und müssen ins Security-Programm.
- CVSS-Score allein reicht nicht — Exploit Chains aus niedrig bewerteten Bugs können vollständige Kompromittierungen ermöglichen.
- 74 Tage Remediation sind zu lang. 28 % der CVEs werden innerhalb eines Tages ausgenutzt.
IT-Auditor by day, Homelab-Bastler by night. Ich baue, teste und dokumentiere – von Proxmox-Clustern über Smart-Home-Setups bis hin zu 3D-Druck. Wenn du Technik so liebst wie ich, bist du hier genau richtig.
