Comretix Blog

Internationale Strafverfolger gehen weiter gegen Malware-Autoren vor. Im Rahmen der "Operation Endgame 2.0" haben die Sicherheitsbehörden aus Deutschland – das BKA und die Generalstaatsanwaltschaft Frankfurt am Main – die Cyberkriminellen nun empfindlich getroffen. Allein in Deutschland nahmen die Behörden 50 Server vom Netz, 650 Domains sind nicht mehr unter der Kontrolle der Cybergangster.

Siebenunddreißig Verdächtige haben die Ermittler identifiziert und zwanzig internationale Haftbefehle erlassen, zudem fahndet die Generalstaatsanwaltschaft Frankfurt (Zentralstelle zur Bekämpfung der Internetkriminalität, ZIT) öffentlich nach den mutmaßlichen Cyberkriminellen. Insgesamt 18 mutmaßliche Mitglieder der Gruppierungen Trickbot und Qakbot sucht sie mittels Steckbrief. Diese sind jedoch allesamt russische Staatsbürger, dürften für die westliche Justiz also unerreichbar sein. Dennoch verringert sich der Bewegungsspielraum der Verdächtigen, denen zudem auch einiges Kleingeld in der Krypto-Börse fehlen dürfte: Bitcoin im Gesamtwert von umgerechnet 3,5 Millionen Euro gingen den Fahndern ebenfalls ins Netz.

Auch die technische Infrastruktur der Malware-Autoren haben die Ermittler angegriffen: Insgesamt entzogen sie 300 Server dem Zugang der Täter, wie es in der Pressemitteilung heißt – nahmen diese also vom Netz oder übernahmen sie. Fünfzig der Server standen in Deutschland. Erst am gestrigen Donnerstag, dem 22. Mai hatten Microsoft und Europol bekanntgegeben, dass sie die Command&Control-Infrastruktur der Infostealer-Malware Lumma lahmgelegt haben.

Im Fokus der Ermittlungen stehen die Malware-Gruppierungen und -Varianten Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Warmcookie und Trickbot, allesamt Dropper zum Nachladen weiterer Schadsoftware wie Ransomware. Das ist kein Zufall, sondern Strategie: Die Behörden wollen am vordersten Glied der "Kill Chain" ansetzen, dem Erstzugriff auf angegriffene Systeme. Dieser passiert oft durch Malware-Loader, die sich etwa als legitimer Download tarnen oder über "Clickfix"-Angriffe mittels angeblicher Captchas vom Opfer selbst ausgeführt werden. Behindere man diese Erstinfektion, so könnten die Kriminellen weitere Aktionen wie Ransomware-Infektionen gar nicht erst ausführen, erklären die Ermittler.

BKA-Präsient Holger Münch zeigt sich zufrieden: "Unsere Strategien wirken – auch im vermeintlich anonymen Darknet". Oberstaatsanwalt Krause, Leiter der ZIT, lässt sich mit einem positiven Zwischenfazit zitieren: "Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt."

Angreifer können an drei Sicherheitslücken in Versa Concerto ansetzen und Systeme vollständig kompromittieren. Bislang sind keine Sicherheitspatches erschienen.

Über die Orchestrierungsplattform Versa Concerto verwalten Admins unter anderem Services mit Versa Operating System (VOS). Setzen Angreifer erfolgreich an den Lücken an, können sie etwa eigenen Code ausführen und so die volle Kontrolle über Systeme erlangen.

Sicherheitsforscher von ProjectDiscovery haben die Schwachstellen entdeckt. Ihre Erkenntnisse haben sie in einem Beitrag zusammengetragen. Sie geben an, die Entwickler erstmals im Februar dieses Jahres bezüglich der Sicherheitsprobleme kontaktiert zu haben. Ende März wurden Sicherheitsupdates für April zugesichert. Die sind den Forschern zufolge aber bis zum heutigen Tag nicht erschienen. Wann sie erscheinen, ist bislang unklar. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Setzen Angreifer erfolgreich an den Lücken an, können sie die Authentifizierung umgehen, sich höhere Nutzerrechte verschaffen und Schadcode ausführen. Die Sicherheitsforscher zufolge ist eine Kombination der Schwachstellen möglich, um die Anwendung und das zugrundeliegende Hostsystem vollständig zu kompromittieren. Zwei Lücken gelten als "kritisch" (CVE-2025-34026, CVE-2025-34027). Letztere ist sogar mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Für die dritte Schwachstelle (CVE-2025-34025) gilt der Bedrohungsgrad "hoch".

In ihrem Bericht beschreiben sie die Sicherheitslücken ausführlich. Dort geben sie auch Hinweise, wie Admins ihre Systeme bis zum Erscheinen der Updates temporär vor den geschilderten Attacken schützen können. Dafür müssen sie unter anderem eine Regel zum Blockieren von bestimmten Headern erstellen.

Der Netzwerkausrüster Cisco schützt mehrere Produkte vor möglichen Attacken. Im schlimmsten Fall können Angreifer als Root-Nutzer auf Systeme zugreifen. Das geht aber nicht ohne Weiteres. Sicherheitspatches stehen zum Download bereit.

In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins Hinweise zu den abgesicherten Versionen. Bislang gibt es keine Berichte zu laufenden Attacken. Weil Cisco-Hardware in Unternehmen an zentralen Stellen genutzt wird, sollten Admins das Patchen nicht zu lange herauszögern.

Da die RADIUS-Implementierung in Identity Services Engine defekt ist, können Angreifer an dieser Schwachstelle (CVE-2025-20152 "hoch") für eine DoS-Attacke ansetzen. Das soll ohne Authentifizierung und aus der Ferne funktionieren. Attacken lassen sich über präparierte RADIUS-Anfragen einleiten. Am Ende kommt es zu Neustarts.

Eine Lücke (CVE-2025-20113 "hoch") in Unified Intelligence Center kann dazu führen, dass sich Angreifer höhere Nutzerrechte aneignen können. Im Kontext von Secure Network Analytics Manager können sich Angreifer sogar Root-Rechte verschaffen (CVE-2025-20256 "mittel"). Dafür müssen sie vorher aber schon Admin sein. An dieser Stelle können Angreifer auch Alarme auslösen (CVE-2025-20257 "mittel").

Außerdem können Angreifer Daten in Unified Contact Center Enterprise (CVE-2025-20242 "mittel") manipulieren.

Die Diskussionen auf der Potsdamer Konferenz für Nationale Cybersicherheit versuchten die ganze Bandbreite des Schlagworts abzudecken: Was tun gegen Desinformation? Ist die Cloudifizierung ein Segen oder ein Fluch? Und kann KI die Cybersicherheit zerstören – oder doch retten? Auf solche Fragen definitive Antworten zu finden, gelang auch den im Hasso-Plattner-Institut (HPI) versammelten Experten kaum. Aber vor allem die Sicherheitsorganisationen gaben Einblicke in ihre Wahrnehmung.

Diese ist primär von der Bedrohungslage durch Russland geprägt. Deutschland und Russland seien nicht im Krieg, sondern weiterhin im Frieden, aber: "Es ist ein anderer Frieden denn 2022", beschrieb Generalmajor Jürgen Setzer, stellvertretender Inspekteur für die Teilstreitkraft Cyber- und Informationsraum (CIR) der Bundeswehr, seine Sicht. Dass das mit einer deutlichen Stärkung der eigenen Fähigkeiten auf allen Ebenen einhergehen müsse, ist für ihn eine Selbstverständlichkeit. Die Bundeswehr sei für die "Siegfähigkeit" auch auf dem "Gefechtsfeld CIR" gut aufgestellt, allerdings gebe es bei den elektromagnetischen Mitteln noch Nachholbedarf. Angesichts der russischen Maßnahmen gegen westliche Staaten sei für ihn allerdings klar: "Es gibt keine Trennung zwischen innerer und äußerer Sicherheit bei hybrider Bedrohung."

Dass die Lage alles andere als friedlich sei, beschrieben auch der Vizepräsident des Bundesamtes für Verfassungsschutz Sinan Selen ("Wir sehen eine hohe Risikobereitschaft, sogar Personenschäden werden hier in Kauf genommen") und die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, Claudia Plattner ("die Lage ist und bleibt angespannt und das ist und bleibt besorgniserregend").

Dass insbesondere Russland derzeit gefährlichster Urheber von Angriffen auf digitale Endpunkte sei, daran äußerten weder Sicherheitsbehörden noch Vertreter von Wissenschaft, Wirtschaft oder Zivilgesellschaft am HPI Zweifel. Und daran dürfte sich so schnell auch nichts ändern, schätzt BfV-Vize Selen: "Wir gehen davon aus, dass auch nach einem Waffenstillstand Russlands Angriffe gegen NATO und EU fortgeführt werden." Die Sicherheitsbehörden vermuten, dass Cyberangriffe oft zwei Zielen zugleich dienten. "Wenn es richtig blöd läuft, liegen zwischen Spionage und Sabotage nur zwei Klicks", sagte Plattner in Potsdam.

Was in der jetzigen Situation helfe, da gingen die Meinungen bei der Konferenz dann aber doch deutlich auseinander. So betrachtet der Leiter der Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS), Wilfried Karl, die Cloud unter gewissen Voraussetzungen wie souveränem Betrieb als Teil der Lösung der IT-Sicherheitsprobleme. Manuel Atug von der Arbeitsgemeinschaft Kritis hingegen konstatierte, dass es in den meisten Fällen überhaupt nicht um "shiny Glitzer"-Lösungen gehe. Sondern dass ganz grundlegende Dinge weiterhin die größten Probleme bereiteten: "Jeder will Wiederherstellung, keiner will Backup", sagte Atug er.

Der Blog des Sicherheitsforschers Brian Krebs ist vorige Woche Ziel eines der bislang stärksten DDoS-Angriffe überhaupt geworden, lediglich eine Attacke wenige Wochen vorher auf Cloudflare war noch stärker. Das hat Krebs jetzt selbst publik gemacht und gleich noch eine Reihe von Informationen über jene Person zusammengefasst, die die Grundlage für die Attacke gelegt haben soll. Verantwortlich war demnach ein riesiges Botnet aus gekaperten Geräten, das an das berüchtigte Mirai-Botnet erinnert – nur, dass der Angriff ungleich heftiger war. Er hat lediglich deshalb für keine merklichen Unterbrechungen gesorgt, weil er weniger als eine Minute gedauert hat. Es habe sich womöglich um eine Vorführung gehandelt.

Wie Krebs ausführt, wurden bei dem Angriff für insgesamt etwa 45 Sekunden 6,3 Terabit an Daten pro Sekunde an seine Seite geschickt. Das war zehnmal so viel, wie bei einem Angriff im Jahr 2016, der den Blog für vier Tage aus dem Netz gekickt hat. Diese Attacke war damals so stark, dass der Anti-DDoS-Dienst Akamai kapitulierte und den Schutz für die Seite beendete. Geschützt werde der Blog seitdem von einem kostenfreien Angebot von Google, das speziell für Nachrichtenseiten, Menschenrechtsaktivismus und Inhalte mit Bezug zu Wahlen bereitgestellt werde, schreibt der Sicherheitsforscher. Die Attacke vom 12. Mai war demnach die größte, der "Project Shield" jemals gegenübergestanden hat.

Für die Attacke war laut Krebs wohl ein auf Aisuru getauftes Botnet aus gekaperten Geräten verantwortlich, das im August 2024 erstmal aktiv gewesen ist. Dessen Dienste werden demnach über Telegram angeboten, wer will, kann damit für 150 US-Dollar pro Tag oder 600 US-Dollar pro Woche gezielt Seiten aus dem Internet kicken lassen. Nur die wenigsten Seiten könnten der Menge an Zugriffen widerstehen, die damit möglich seien, zitiert Krebs seinen Kontakt bei Google. Der Angriff auf seinen Blog und ein noch etwas stärkerer auf Cloudflare im April waren demnach zu kurz, um für Störungen zu sorgen, aber stark genug, um die Leistungsfähigkeit zu beweisen. Beide seien wohl als Präsentation für mögliche Kundschaft gedacht gewesen, spekuliert er.

Krebs hat demnach herausgefunden, dass das Botnet von einem Mann aus Brasilien aufgebaut wurde. Der behauptet aber, dass er die Verantwortung für das Botnet inzwischen abgegeben hat. Offenbar fühlt er sich in seiner Heimat ziemlich sicher vor Strafverfolgung. Wer genau für die Rekordattacken verantwortlich war, habe er nicht verraten. Der Sicherheitsforscher erklärt noch, dass ein erfolgreiches Botnet wie vor Jahren Mirai und jetzt womöglich Aisuru weniger schlagkräftige Konkurrenten rasch verdrängen könne. Helfen würde es deshalb, wenn wie bei Mirai der Quellcode öffentlich gemacht würde. Das würde die Konkurrenz beleben und die Schlagkraft der Attacken verringern.

Einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ist ein Schlag gegen die weitverbreitete Malware Lumma gelungen. Die Schadsoftware nistet sich über verschiedene Tricks auf Windows-PCs ein und stiehlt Zugangsdaten, Kryptowährung und Dokumente. Fast 400.000 infizierte Windows-PCs stellte Microsoft allein zwischen Mitte März und Mitte Mai fest und schlug nun zu. Europol zeigt sich erfreut über die erfolgreiche Zusammenarbeit.

Lumma, der mittlerweile weltweit am weitesten verbreitete Infostealer, wird von seinem Entwickler als "Malware-as-a-Service" (MaaS) vermarktet. Das Logo der Schadsoftware – eine blau-weiße Kolibri-Silhouette – könnte ein unbedarfter Betrachter mit dem eines Tech-Startups verwechseln, doch verbirgt sich dahinter eine ausgeklügelte Maschinerie.

Lumma nutzt verschiedene Verbreitungswege: Über Malvertising, also Werbeanzeigen für trojanisierte Software, "Drive-By-Downloads", als Beifang bei anderer Malware, mit Phishing-Kampagnen oder über die derzeit populäre "Clickfix"-Methode gelangt Lumma auf die PCs seiner Opfer. Und das sehr erfolgreich: Zwischen 16. März und 16. Mai 2025 identifizierte Microsoft 394.000 mit dem Infostealer verseuchte Windows-PCs. Auf denen sucht Lumma nach Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumenten etwa im PDF- oder Word-Format. Auch die Hardwarespezifikation des PC sammelt der Infostealer ein und überträgt ihn an seine Gebieter.

Das geschieht über ein mehrstufiges System aus sogenannten "C2"-Adressen (Command & Control), teilweise bei CDNs wie Cloudflare gehostet, zum Teil aber auch in Steam-Spielerprofilen oder Telegram-Gruppen versteckt. Gleichzeitig agieren die Domains als Administrationsoberfläche für die Kriminellen. Diese melden sich auf der C2-Domain an und können ihren Schädling dann fernsteuern – etwa, um weitere Exploits zu starten. Bei diesen C2-Domains griffen Microsoft und seine Partner nun an: Über 1.300 dieser Kontrolladressen setzten sie außer Gefecht und leiteten sie auf von Microsoft betriebene, harmlose "Sinkholes" um.

So exfiltriert der Lumma-Infostealer Daten in mehreren Schritten. Mittendrin: Das Cloudflare-CDN.

Die Nutzung von "Big Data" ist im Zusammenhang mit polizeilichen Ermittlungen umstritten – neu in der Diskussion ist hingegen "Small Data". Die Probleme scheinen aber im Grunde dieselben und Polizisten und Datenschützer sind sich oft uneins. Das zeigte sich bei einer Debatte über den Technologieeinsatz in Polizeien beim 28. Europäischen Polizeikongress in Berlin.

Carolina Stindt von der Unternehmensberatung PwC stellte eine Studie auf der Grundlage von Interviews und Gesprächen mit Mitarbeitern der Polizei vor. Demnach ist der Technologieeinsatz in traditionellen Bereichen wie Videoüberwachung, Grenzkontrolle und Vorgangsbearbeitung vergleichsweise etabliert. Neuere, insbesondere KI-gestützte Technologien würden jedoch in Deutschland "häufig nur zaghaft und pilotartig" in einzelnen Bundesländern und Polizeibehörden eingesetzt. Die Rahmenbedingungen, so Stindt, seien oft "vor-digital" und die allermeisten Interviewpartner hätten gesagt, "dass gerade diese Technologien wichtig wären, um die Datenerfassung und -auswertung effizienter zu gestalten und insbesondere Muster besser zu erkennen". Stindt verwies aber auch darauf, dass gerade datenbasierte Entscheidungen in der Bevölkerung immer noch auf große Skepsis stießen.

Andreas Stenger, Präsident des LKA Baden-Württemberg, fand offene Worte. Er sieht den Status quo der Ausstattung in den Polizeien kritisch: Die IT-Landschaft sei heterogen, manche Bundesländer seien weit, andere nicht, die Technik zum Teil veraltet, Infrastruktur marode, Glasfaser problematisch, Automatisierungsprozesse teils schwierig umzusetzen, weil es an der Infrastruktur krankt. Das Hauptproblem für ihn als Praktiker sei die langsame Umsetzung im Zuge der Saarbrücker Agenda. Mit einem kleinen Seitenhieb auf drei der Diskussionsteilnehmer (inklusive Moderator), die beim Beratungshaus PwC arbeiten, regte er "mehr Governance und weniger externe Beratung" an.

Für Gerald Eder, den fachlichen Leiter des "Programm 20" zur Digitalisierung der Polizei, ist die heterogene Ausgangssituation in einem föderalen Staat die größte Herausforderung. Schon bei der Frage, welcher Beamte zu welchen Informationen Zugang habe, sei der Abstimmungsprozess gigantisch. Man stecke in einem Dilemma, so Eder: Derzeit habe man teils "tolle Daten", die aber nicht verfügbar seien, weil es die entsprechenden Regelungen dafür noch nicht gebe. Als Beispiel führte er den Attentäter von Magdeburg an – die mit dem Fall befassten Ermittler hätten bloß Daten aus Sachsen-Anhalt gesehen, nicht aber die bundesweit zum Täter erfasste Datenmenge.

Die Publizistin Anke Domscheit-Berg, ehemaliges Linken-MdB, gab zu bedenken, dass es immer um Balance gehe und verwies auf das Bundesverfassungsgericht. Das verlange Abwägungen: Ist eine Maßnahme überhaupt nachweislich geeignet, um ein Problem zu lösen? Und wenn sie geeignet ist, aber einen Eingriff in die Grundrechte bedeute: Kann man sie durch eine andere Maßnahme ersetzen? Und ist die Maßnahme angemessen, also stehen die "Nebenwirkungen" in einem Verhältnis zum erwartbaren Nutzen? "Das funktioniert in der Praxis ganz oft ganz schlecht", konstatierte Domscheit-Berg.

Admins, die Single-Sign-On-Anmeldungen (SSO) über die weitverbreitete Node.js-Bibliothek Samlify realisieren, sollten den verfügbaren Sicherheitspatch zeitnah installieren. Geschieht das nicht, können Angreifer die Authentifizierung umgehen und mit weitreichenden Rechten auf Systeme zugreifen.

Samlify vereinfacht die Implementierung des SAML-Standards (Security Assertion Markup Language), um in Webanwendungen SSO-Anmeldungen zu ermöglichen. Auf die "kritische" Sicherheitslücke (CVE-2025-47949) sind Sicherheitsforscher von Endor Labs gestoßen. In einem Bericht führen sie aus, dass Attacken mit vergleichsweise wenig Aufwand möglich sind. Eine Hürde gibt es aber.

Um Attacken einzuleiten, müssen Angreifer im Besitz eines vom Identitätsproviders signierten XML-Dokumentes sein. Der Zugriff auf so ein Dokument ist etwa als Man-in-the-Middle möglich. Nun können sie das Dokument etwa mit dem Nutzernamen eines Admins manipulieren. Weil kryptografische Signaturen aufgrund der Schwachstelle nicht korrekt verifiziert werden, können sie sich als Admin anmelden.

Samlify ist weitverbreitet und wird unter anderem in großen Firmen und Cloudumgebungen eingesetzt. Aus dem Paketmanager npm wird das Modul wöchentlich rund 200.000-mal heruntergeladen. Derzeit gibt es zwar noch keine Berichte zu Attacken, das kann sich aber schnell ändern. Dementsprechend sollten Admins zügig handeln.

Um Systeme vor der geschilderten Attacke zu schützen, müssen Admins Samlify 2.10.0 installieren. Alle vorigen Versionen sollen verwundbar sein. Vorsicht: Bei Github steht noch die angreifbare Ausgabe 2.9.1 zum Download. Im npm-Paketmanager gibt schon die abgesicherte Version zum Download.

Mutmaßliche Mitarbeiter des russischen Militärgeheimdienstes GRU haben sich Zugriff auf Netzwerke und IP-Kameras von Betreibern kritischer Infrastrukturen (KRITIS) verschafft. Das melden unter anderem NSA, FBI, der Bundesnachrichtendienst (BND) und die Bundesämter für Verfassungsschutz (BfV) sowie Sicherheit in der Informationstechnik (BSI). BSI-Präsidentin Claudia Plattner warnt im Gespräch mit heise online, dass es sich um Vorbereitungshandlungen für Sabotage handelt.

Betroffen sind laut einer Mitteilung der Behörden vor allem Unternehmen aus der Logistikbranche. Hier hätten Angreifer der Gruppierung APT-28 (alias "Fancy Bear", bekannt u.a. durch einen Angriff auf die SPD) zugeschlagen, hinter der sich laut westlichen Diensten eine Einheit des russischen Militärgeheimdienstes GRU verbirgt. Die Angreifer hätten potenzielle Schwachstellen in der physischen Sicherheit ausgekundschaftet, bei mehr als 10.000 Kameras habe es Angriffsversuche gegeben.

Ob damit die gleichen Logistikunternehmen gemeint sind, die etwa von den im vergangenen Jahr entdeckten Brandsatz-Paketen betroffen waren, teilten die Behörden nicht mit. Vor allem Kameras in der Ukraine, in Rumänien, Polen und Ungarn seien angegriffen worden. Der ukrainische Nachrichtendienst hatte bereits im vergangenen Jahr vor derartigen Attacken gewarnt, nachdem ihm zwei Fälle bekannt wurden. BSI-Präsidentin Claudia Plattner mahnt deutsche Firmen, die Warnung ernst zu nehmen und eine Betroffenheit zu prüfen. "Wir haben eine sehr hohe Dunkelziffer", sagt sie im Gespräch mit heise security. "Angreifer, die sich in unseren kritischen Infrastrukturen positionieren, tun das deshalb, damit sie in einem später gelagerten Fall schnell zuschlagen und die Kontrolle übernehmen können."

BSI-Präsidentin Plattner warnte im Gespräch mit heise Security vor Cybersabotage aus Russland.

(Bild: BSI)

Googles Chrome-Browser soll bald automatisch Passwörter ändern können, wenn bei der Anmeldung damit erkannt wird, dass es kompromittiert wurde. Das hat der US-Konzern im Rahmen der hauseigenen Entwicklerkonferenz angekündigt und erklärt, wie Websites dafür angepasst werden müssen. Im Idealfall bekommen Nutzer und Nutzerinnen in Chrome dann künftig einen Hinweis, wenn ein gespeichertes Passwort in einem Datenleck gefunden wurde und können den Browser dazu bringen, das Passwort durch ein sicheres zu ersetzen. Das wird dann im Passwortmanager von Chrome abgespeichert, das unsichere wird ersetzt. Die automatische Passwortänderung benötigt dafür insgesamt nur einen Klick.

Mit der Funktion geht man bei Chrome ein altbekanntes Problem an. Zwar kann nicht nur der Browser von Google, sondern beispielsweise auch Firefox eine Warnung ausgeben, wenn ein kompromittiertes Passwort entdeckt wird. Ändern muss man das aber bislang selbst. Häufig dürfte man das nicht direkt angehen, etwa weil gerade keine Zeit ist. Chrome soll den Aufwand nun soweit reduzieren, dass Nutzerkonten geschützt werden können, ohne dass man sich dafür umständlich durch schwer zu findende Kontoeinstellungen suchen muss. Noch muss sich aber zeigen, wie rasch und umfangreich die Funktion auch von Websites unterstützt wird.

"Wir befinden uns im Jahre 2025. Die ganze Kryptografie wird von Quantencomputern geknackt... die ganze? Nein, ein von unbeugsamen quantensicheren Algorithmen bewohntes Rechenzentrum hört nicht auf, der neuartigen Bedrohung Widerstand zu leisten." So oder ähnlich könnte eine Einleitung zur aktuellen Folge des Passwort-Podcasts lauten. Denn sie befasst sich mit der mittlerweile allgegenwärtigen Frage: Wie konkret bedrohen Quantencomputer unsere moderne Verschlüsselung?

Und das in leicht veränderter Besetzung: Co-Host Christopher ist dieses Mal nicht mit von der Partie, daher hat Sylvester sich zwei Kolleg:innen eingeladen. Die kürzlich mit dem Journalismuspreis Informatik ausgezeichnete Dr. Sabrina Patsch und Wilhelm Drehling blicken mit ihm hinter den Quantenhype.

Ein Cyberangriff hat am Dienstagmorgen das Gesundheitsnetzwerk "Kettering Health" in Ohio getroffen und zu erheblichen Betriebsstörungen geführt. Dies berichtet der Nachrichtensender CNN. Wie Kettering Health in einer Erklärung mitteilte, wurden infolge des Angriffs nicht dringend notwendige Eingriffe für den Tag abgesagt und müssen neu terminiert werden. Notfälle können jedoch weiter versorgt werden.

Laut einer Stellungnahme von Kettering Health gibt es erhebliche Einschränkungen bei der Patientenversorgung, im Callcenter und beim Zugriff auf elektronische Patientenakten. Die Klinikleitung und mehrere Teams arbeiten mit Hochdruck daran, die Auswirkungen des Angriffs einzudämmen und die Systeme wiederherzustellen.

Hinter dem Angriff steht nach Informationen von CNN die Ransomware-Gruppe "Interlock", die seit Herbst 2024 verschiedene Branchen ins Visier nimmt. In einer von CNN eingesehenen Lösegeldforderung drohen die Täter, sensible Daten von Kettering Health zu veröffentlichen, sollte das Netzwerk nicht mit ihnen verhandeln.

Als Folge der Störung werden derzeit Rettungsdienste zu anderen Krankenhäusern umgeleitet. Auch die Kommunikation zwischen verschiedenen Kliniknetzwerken ist beeinträchtigt. Zusätzlich warnt Kettering Health vor vermehrten Betrugsanrufen, bei denen Unbekannte sich als Mitarbeitende ausgeben und Kreditkartendaten erfragen – alle offiziellen Anrufe wurden bis auf Weiteres eingestellt.

Der Vorfall reiht sich in eine Serie von Cyberangriffen auf das US-Gesundheitswesen ein, etwa den Angriff auf den Zahlungsdienstleister Change Healthcare, von dem Informationen 190 Millionen US-Bürger betroffen sind. Auch in Europa häufen sich Cyberangriffe auf Gesundheitseinrichtungen. In Deutschland war beispielsweise das Krankenhaus Agatharied betroffen, woraufhin laut der Tageszeitung Merkur auf "alte Kassendiktiergeräte" zurückgegriffen werden musste.

Broadcoms Entwickler haben in VMware Cloud Foundation insgesamt drei Softwareschwachstellen geschlossen. Daran können Angreifer für Attacken ansetzen.

Wie aus einer Warnmeldung hervorgeht, sind die Lücken (CVE-2025-41229, CVE-2025-41230, CVE-2025-41231) mit dem Bedrohungsgrad "hoch" eingestuft. Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie etwa im Netzwerk über den Port 443 auf sensitive Informationen oder interne Services zugreifen.

Bislang gibt es keine Berichte zu Attacken. Die Entwickler versichern, die Lücken in den Ausgaben 5.2.1.2 und 4.5.x KB398008 geschlossen zu haben.

Zuletzt sorgten Sicherheitslücken in VMware Aria Automation für Schlagzeilen. Auch an dieser Stelle konnten Angreifer unbefugt auf eigentlich abgeschottete Bereiche zugreifen.

Ein indischer Sicherheitsforscher hat erhebliche Sicherheitslücken in der “My Volkswagen”-App entdeckt. Alleine mit der Angabe der Fahrzeugidentifikationsnummer (VIN) sei es ihm möglich gewesen, über die API der Smartphone-App weitreichende Daten über Fahrzeuge abzurufen. Der Autohersteller aus Wolfsburg habe die Lücken nach seinem Hinweis inzwischen geschlossen, berichtet er in einem Blogpost. Ob sich das Problem auf die indische Variante der App reduziert, ist unklar.

Vishal Baskar, der sich in seinem Medium-Blog loopsec nennt, hatte nach dem Kauf eines Gebrauchtwagens ein Problem: Als er mit der Smartphone-App des Herstellers auf die Daten seines Fahrzeugs zugreifen wollte, war die Eingabe eines One-Time-Passworts (OTP) nötig. Dies landete allerdings auf dem Smartphone des Vorbesitzers, der nicht auf Anrufe reagierte.

Die genauere Beschäftigung mit der App weckte dann allerdings die Neugierde des Technikinteressierten. Trotz diverser Falscheingaben der OTP-Zahl erfolgte keine Sperrung. Daraufhin installierte Baskar die Software Burp Suite, um die API-Aufrufe der App auf seinem iPhone auslesen zu können. Tatsächlich, so fand er heraus, war eine unbegrenzte Zahl an Versuchen möglich, sodass er schließlich mithilfe eines Python-Skripts die richtige Zahl ermittelte und Zugriff auf seinen Wagen nehmen konnte.

Aber mehr noch: Seiner Dokumentation zufolge entdeckte er bei dieser Gelegenheit, dass offene API-Endpunkte Daten wie Passwörter, Tokens und Benutzernamen im Klartext offenbarten. Nur mithilfe der Identifikationsnummer des Autos gelang ihm zudem der Zugriff auf Informationen über Service- und Wartungspakete – er habe Namen, Telefonnummern, Adressen, E-Mails, Fahrzeugdetails und Vertragsinformationen einsehen können, berichtet er.

Auch die komplette Werkstatthistorie und Fahrzeugtelematikdaten habe er über die API aufrufen können. Ihm zufolge hätte man die Lücken nutzen können, um den Standort des Fahrzeugs aus der Ferne zu kontrollieren, etwa für Stalking. Auch ein Betrug mit den detaillierten persönlichen Informationen wäre möglich gewesen.