Comretix Blog

Minimale Container-Images verzichten auf Komponenten wie Shells oder Paketmanager, die zur Laufzeit normalerweise nicht gebraucht werden. Sie sind auch als "distroless" oder "chiseled" Images bekannt. Weil weniger Komponenten weniger Schwachstellen bedeuten, reduzieren diese Images die Angriffsfläche und erhöhen dadurch die Sicherheit.

Schlüsselfertige Images für ein Basis-Linux sowie die Sprachen PHP, Python, Java, C# und Node.js hat Teil 2 der Artikelserie vorgestellt. Diese vorkonfektionierten Images passen jedoch nicht immer zu den eigenen Anforderungen und es kann notwendig sein, eigene zu erstellen. Dieser Artikel zeigt, wie Softwareentwicklerinnen und -entwickler eigene minimale Images basierend auf den Angeboten Ubuntu Chiseled, Chainguard/WolfiOS und Azure Linux bauen (siehe die folgende Tabelle).

Canonical verwendet die Bezeichnung "Chiseled" für minimale, Ubuntu-basierte Images. Ein Blogbeitrag stellt das Chisel-CLI von Ubuntu vor. Chisel ist ein Build-Tool, das Entwickler mit der gewünschten Ubuntu-Version (beispielsweise "24.04") und einer Liste von "Slices" aufrufen, die Chisel zu einem neuen Root-Filesystem zusammenbaut. Dieses Filesystem kopiert man anschließend in ein leeres scratch-Image, wie der Ablaufplan in Abbildung 1 verdeutlicht:

Bau eines Chiseled-Image via Multi-Stage Dockerfile (Abb.1)

Das Ubuntu-Team hat einige (jedoch nicht alle) der offiziellen Ubuntu-Pakete in mehrere Slices aufgeteilt und diese auf GitHub veröffentlicht. Falls Slices für ein gewünschtes Paket fehlen, sollte man auf andere im Artikel erwähnte Ansätze wechseln. Denn bestehende GitHub Issues zeigen, dass reine Feature-Requests lange oder gänzlich ignoriert werden, und der Zeitinvest für die Einarbeitung für eigene Pull Requests (PRs) hoch ist.

Die Eclipse Foundation hat ihren jüngsten Sicherheitsvorfall rund um Open VSX – den Open-Source-Marktplatz für VS-Code-Erweiterungen – aufgearbeitet. In den vergangenen Wochen war bekannt geworden, dass Zugangstokens versehentlich in öffentlichen Repositories gelandet waren. Ein Teil davon wurde missbraucht, um manipulierte Erweiterungen einzuschleusen.

Wie die Stiftung mitteilt, hatte das Cloud‑Sicherheitsunternehmen Wiz mehrere offengelegte Tokens gemeldet, die von Entwicklern unbeabsichtigt veröffentlicht worden waren. Einige davon betrafen Konten auf Open VSX. Die Token wurden unmittelbar nach Bekanntwerden gesperrt. Ein Hack der Infrastruktur habe zu keinem Zeitpunkt stattgefunden – der Vorfall sei allein auf menschliche Fehler zurückzuführen.

Um ähnliche Probleme künftig schneller zu erkennen, führte das Team in Abstimmung mit Microsofts Security Response Center ein neues Präfix‑Format für Tokens ein, das automatisierte Scans erleichtert.

Zeitgleich meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle mit dem Namen "GlassWorm". Sie nutzte einige der geleakten Tokens, um bösartige Open‑VSX‑Erweiterungen zu veröffentlichen. Dabei handelte es sich jedoch laut Eclipse Foundation nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um Schadcode, der gezielt Entwickleranmeldedaten stahl.

Alle betroffenen Erweiterungen wurden umgehend entfernt, und sämtliche kompromittierten Tokens widerrufen. Die Berichte über rund 35.800 Downloads seien laut Eclipse übertrieben, da viele Abrufe von Bots oder durch Sichtbarkeits-Tricks erzeugt worden seien.

In Episode 146 des c't-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich einem Grundsatzthema: Wo steht steht der Datenschutz zwischen notwendiger Machtbegrenzung und störendem Innovationshindernis? Juraprofessorin Hannah Ruschemeier beschäftigt sich genau mit derlei Fragen. Sie forscht an der Universität Osnabrück zu KI-Regulierung, Plattformrecht und den Herausforderungen der digitalen Transformation. Auf dem DatenTag der Stiftung Datenschutz hatte sie jüngst ihre Thesen zur "Datenmacht" in einer Keynote zusammengefasst.

Prof. Hannah Ruschemeier erläutert im c't-Podcast ihre Ansichten zur Datenmacht der US-Tech-Konzerne.

Ruschemeier bestreitet vehement, dass Datenschutz obsolet oder gar tot sei. Sie beobachte zwar eine gewisse Resignation in der Gesellschaft, sehe aber gerade deshalb die Notwendigkeit für mehr Aufklärung. Viele Menschen verstünden nicht, was mit ihren Daten passiert und welche Macht große Tech-Konzerne damit ausüben. Diese "informationelle Machtasymmetrie" zwischen Datenkonzernen und Verbrauchern hält sie für ein zentrales Problem.

Besonders kritisch sieht die Professorin das Geschäftsmodell vieler Tech-Giganten, die nach dem Prinzip "move fast and break things" Fakten schaffen und sich erst später um rechtliche Konformität kümmern. Während Meta oder Google Milliardenstrafen quasi aus der Portokasse zahlen können, kämpfen kleine und mittlere Unternehmen mit hohen Compliance-Kosten. Diese Asymmetrie zeige sich auch im mangelnden Vollzug: Große Player würden unzureichend belangt, während kleinere Betriebe unter der Bürokratielast leiden.

Aus der Praxis berichtet Heidrich, dass die bürokratischen Hürden für Start-ups und kleine Unternehmen enorm sein können. Seiner These, dass Datenschutz durchaus Innovationen ausbremse, steht Ruschemeier allerdings kritisch gegenüber. Sie fordert hier eine differenziertere Sichtweise. Der Begriff "Innovation" dürfe kein Totschlagargument gegen jede Regulierung sein. Vielmehr müsse man fragen, wem eine Neuerung nützt. Sie plädiert für stärker gemeinwohlorientierte Definitionen und Entwicklungen. Regulierung schütze, statt zu hemmen – Europa solle stolz auf seinen starken Grundrechtsschutz sein.

Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko "kritisch"). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option "Trust this site completely" für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.

Dem chinesischen Hersteller TP-Link droht in den USA ein Verkaufsverbot seiner Router. Als Grund wird eine von den Geräten ausgehende Sicherheitsgefahr genannt. Momentan ist aber unklar, ob das Weiße Haus angesichts der laut Aussage von US-Präsident Donald Trump positiv verlaufenen Handelsgespräche mit China mit einem Verbot eine neue Auseinandersetzung riskieren möchte.

Mehr als ein halbes Dutzend US-Bundesbehörden unterstützen einen Vorschlag zum Verkaufsverbot der meistverkauften Heimrouter in den Vereinigten Staaten. Wie die Washington Post berichtet, begründen die Behörden dies mit Sicherheitsrisiken durch die Verbindungen des chinesischen Herstellers TP-Link nach Festlandchina. Das US-Handelsministerium (Commerce Department) nahm eine behördenübergreifende Risikobewertung vor. Diese kam zu dem Schluss, dass ein Verbot aus Gründen der nationalen Sicherheit gerechtfertigt sei.

TP-Link dominiert den US-Markt für Router in Privathaushalten und kleinen Unternehmen mit einem geschätzten Marktanteil von 50 Prozent. Das Unternehmen selbst bezifferte seinen Marktanteil im Frühjahr nur mit einem Drittel.

Die Sicherheitsbedenken erstrecken sich über mehrere Bereiche: TP-Link hat seinen Hauptsitz in Shenzhen, China. Damit unterliegt das Unternehmen chinesischen Gesetzen zur nationalen Sicherheit, die Unternehmen zur Zusammenarbeit mit Geheimdiensten verpflichten können. Zudem wurden in der Vergangenheit wiederholt Sicherheitslücken in TP-Link-Produkten entdeckt. Das Unternehmen wird beschuldigt, nicht ausreichend auf gemeldete Schwachstellen zu reagieren.

Besonders problematisch sehen US-Sicherheitsbehörden, dass TP-Link-Router häufig in kritischer Infrastruktur eingesetzt werden. Die Geräte finden sich nicht nur in Millionen Privathaushalten, sondern auch in kleinen Unternehmen, Regierungsbüros und anderen sensiblen Bereichen. Ein koordinierter Angriff über kompromittierte Router könnte erheblichen Schaden anrichten.

Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 "hoch") hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

Künstliche Intelligenz entwickelt sich zum wichtigsten Werkzeug in der Cyberabwehr deutscher Unternehmen. Laut der aktuellen IT-Sicherheitsumfrage des eco, des Verbands der Internetwirtschaft, bewerten 88 Prozent der befragten IT-Sicherheitsfachleute die Bedrohungslage als hoch oder sehr hoch. Rund 40 Prozent der Unternehmen setzen bereits aktiv KI-gestützte Systeme ein – etwa zur automatisierten Anomalieerkennung, Analyse von Logdaten oder für Incident-Response-Prozesse.

Ransomware bleibt die häufigste Angriffsform, dicht gefolgt von CEO Fraud, der im Vergleich zum Vorjahr deutlich zugelegt hat. Besonders kritisch sind sogenannte Double-Extortion-Angriffe, bei denen Kriminelle Daten nicht nur verschlüsseln, sondern sie zusätzlich stehlen und zur Erpressung nutzen. Jedes sechste Unternehmen war im vergangenen Jahr von mindestens einem gravierenden Sicherheitsvorfall betroffen.

Positiv bewerten die Studienautoren, dass kein befragtes Unternehmen angab, Lösegeld gezahlt zu haben. Dies deute auf eine wachsende Professionalität im Umgang mit Vorfällen hin, so der eco. Zudem verfügen inzwischen 60 Prozent der Unternehmen über definierte Notfallpläne und führen regelmäßige Mitarbeiterschulungen durch. Fast die Hälfte plant, ihre Sicherheitsbudgets im kommenden Jahr zu erhöhen.

"KI ist ein entscheidender Hebel für mehr Cybersicherheit", erklärte Professor Norbert Pohlmann, eco-Vorstand für IT-Sicherheit. Allerdings erwarten über 90 Prozent der Befragten, dass auch Angreifer zunehmend auf KI zurückgreifen – für täuschend echte Phishing-Mails, Deepfakes oder automatisierte Schwachstellenscans. Der Verband warnt vor überbordender KI-Regulierung, die Unternehmen daran hindern könnte, sich mit denselben Technologien gegen Angriffe zu wappnen.

Alle Ergebnisse der Umfrage finden sich beim eco. Einen Überblick zum aktuellen Stand der IT-Sicherheit bietet außerdem ein aktueller iX-Artikel – von Malware, über SOC-Architekturen bis hin zur KI.

Das kürzlich veröffentlichte Update auf GIMP 3.0.6 bringt nicht nur Verbesserung der Nutzbarkeit, sondern schließt auch handfeste Sicherheitslücken. Jetzt sind die Schwachstellenbeschreibungen verfügbar: GIMP kann bei der Verarbeitung einiger manipulierter Bildformate untergejubelten Schadcode ausführen.

In der Release-Ankündigung schreiben die GIMP-Entwickler nur knapp, dass sie Berichte der Zero-Day-Initiative (ZDI) über potenzielle Sicherheitslücken in einigen der Datei-Import-Plug-ins erhalten haben. "Während diese Probleme sehr unwahrscheinlich mit echten Dateien auftreten", haben die Entwickler "proaktiv die Sicherheit" für diese Import-Komponenten verbessert.

In mehreren Import-Routinen für Bildformate hat die ZDI Sicherheitslücken gemeldet. Und anders als die GIMP-Entwickler sehen die IT-Forscher ein hohes Risiko darin.

Im Parser für XWD-Dateien können manipulierte Dateien demnach einen Heap-basierten Pufferüberlauf provozieren und dadurch Code einschleusen und ausführen (CVE-2025-10934 / EUVD-2025-36722, CVSS 7.8, Risiko "hoch"). Bei ILBM-Dateien kann ein Stack-basierter Pufferüberlauf mit denselben Folgen auftreten (CVE-2025-10925 / EUVD-2025-36713, CVSS 7.8, Risiko "hoch"), FF-Dateien können einen Integer-Überlauf auslösen (CVE-2025-10924 / EUVD-2025-36714, CVSS 7.8, Risiko "hoch").

Ein weiterer Integer-Überlauf befindet sich im WBMP-Parser (CVE-2025-10923 / EUVD-2025-36715, CVSS 7.8, Risiko "hoch"), manipulierte DCM-Dateien können hingegen einen Heap-basierten Puffer überlaufen lassen (CVE-2025-10922 / EUVD-2025-36716, CVSS 7.8, Risiko "hoch") – ebenso HDR-Dateien (CVE-2025-10921 / EUVD-2025-36717, CVSS 7.8, Risiko "hoch"). Schließlich können präparierte ICNS-Dateien zu Schreibzugriffen außerhalb der vorgesehenen Grenzen und in der Folge zur Ausführung eingeschmuggelten Codes führen (CVE-2025-10920 / EUVD-2025-36718, CVSS 7.8, Risiko "hoch").

Im JavaScript-Paketmanager npm waren seit Anfang Juli Pakete mit gut verstecktem Schadcode verfügbar. Das auf Software-Supply-Chain-Security spezialisierte Unternehmen Socket hat zehn Pakete gefunden, die zusammen auf 9900 Downloads kommen. Laut dem Socket-Blog waren sie am 28. Oktober noch auf npm verfügbar, sind dort inzwischen aber nicht mehr zu finden.

Die Pakete laden einen für das Betriebssystem passenden Infostealer nach, der unter Windows, macOS und Linux Zugangsdaten abgreift. Der Angriff ist mehrfach verschleiert.

Die Angreifer setzen bei der Verteilung des Schadcodes auf Typosquatting: Die npm-Pakete tragen ähnliche Namen wie legitime Packages, darunter typescriptjs statt TypeScript und dizcordjs statt discord.js. Socket hat folgende Pakete mit Schadcode gefunden: typescriptjs, deezcord.js, dizcordjs ,dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js und zustand.js.

Die Installationsroutine, die sich im "postinstall" der Konfiguration in package.json befindet, öffnet betriebssystemabhängig ein neues Terminalfenster, in dem sie dann mittels Node die Anwendung app.js startet. Auf die Weise bleibt die Ausführung im Hauptfenster verborgen.

Die Datei app.js verschleiert den Schadcode mit unterschiedlichen Methoden, darunter URL-Encoding und Switch-Anweisungen mit hexadezimalen und oktale Berechnungen:

Der Internationale Strafgerichtshof (IStGH) will sich von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps, hat das Handelsblatt erfahren. Die Institution in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen.

Laut Handelsblatt ist die Entscheidung vor dem Hintergrund von Sanktionen durch die derzeitige US-Regierung unter Präsident Donald Trump gegen Mitarbeiter wie dem Chefankläger Karim Khan zu sehen. Microsoft hatte seinen E-Mail-Zugang einfach gesperrt. Er musste daher zum Schweizer E-Mail-Dienst Proton wechseln. Da der IStGH in hohem Maße auf Dienstleister wie Microsoft angewiesen sei, werde er in seiner Arbeit geradezu gelähmt, hieß es im Mai.

Zudem prüfe die US-Regierung in Washington weitere Maßnahmen gegen den Internationalen Strafgerichtshof, erörtert das Handelsblatt weiter. Auch das könnte die Arbeitsfähigkeit der Einrichtung erheblich einschränken.

Die OpenDesk-Software wird vom Zentrum für Digitale Souveränität (Zendis) entwickelt, einer Firma des Bundes. Ihre Aufgabe ist es, beim Auflösen kritischer Abhängigkeiten von einzelnen Technologieanbietern zu helfen.

Beim Internationalen Strafgerichtshof geht es zwar "nur" um 1800 Arbeitsplätze, die aus der US-Abhängigkeit gelöst werden sollen. Das Handelsblatt sieht das jedoch als Hinweis darauf, dass Geopolitik sich zunehmend um Technologie dreht. Wirtschaft und Politik erkennen die Abhängigkeit von US-amerikanischen Digitalkonzernen als Problem, insbesondere mit Hinblick darauf, dass die USA die Technologie als Druckmittel einsetzen.

Bei Collins Aerospace ist ein weiteres schwerwiegendes IT-Sicherheitsproblem aufgetreten. Ende September kam es bei dem Dienstleister für diverse Flughäfen weltweit zu einem Datenabzug, bei dem das Unternehmen von Ransomware sprach, die Boarding- und Check-in-Systeme offline nahm und in der Folge der Flugbetrieb an den Flughäfen Berlin oder Brüssel beeinträchtigt wurde. Nun hat der Chaos Computer Club (CCC) herausgefunden, dass auch weitere Systeme schlecht gesichert waren und es etwa möglich war, Nachrichten in Flugzeug-Cockpits zu senden.

Das kürzliche Datenleck ging auf Zugangsdaten aus dem Jahr 2022 zurück, die seitdem nicht geändert wurden und aufgrund eines Infostealers ins Internet gelangten. Etwas mehr Kopfschütteln verursacht der nun vom CCC gefundene, mit trivialen Zugangsdaten "geschützte" Zugang. Collins Aerospace betreibt das ARINC Opcenter, mit dem Nachrichten von und zu Flugzeugen verteilt und aufbereitet werden, etwa von Betriebsdaten. Dazu gehören auch ACARS-Nachrichten (Aircraft Communications Addressing and Reporting System), die technische Zustandsdaten, Flugpläne oder auch Verspätungen umfassen.

Der CCC konnte sich mit Benutzername "test" – und IT-Experten vermuten es bestimmt schon – Passwort "test" in das ARINC OpCenter einloggen und dort in den Message Browser gelangen. Ein Eintrag in der Wayback-Machine (PDF) zeigt die Benutzeroberfläche und die Abfrage von Nachrichten zu einem bestimmten Flugzeug. Der Zugang wies die IT-Forscher als "US Navy Fleet Logistics Support Wing" aus.

Mit dem Zugang ließen sich versendete Nachrichten einsehen. Das Portal ermöglicht auch das Senden von Nachrichten ins Flugzeug-Cockpit – was der CCC jedoch ausdrücklich nicht ausprobiert hat.

Die CCC-Analysten haben sowohl die Muttergesellschaft RTX Corporation von Collins Aerospace, als auch das Department of Defense Cyber Crime Center der USA kontaktiert und über die Schwachstelle informiert. Rückmeldungen gab es keine. Jedoch wurde der Zugang inzwischen deaktiviert.

Angreifer attackieren DELMIA Apriso von Dassault Systèmes und führen im schlimmsten Fall Schadcode aus. Aufgrund der derzeit laufenden Attacken sollten Admins zügig handeln.

DELMIA Apriso fungiert als Manufacturing-Operations-Management-Software (MOM) und Manufacturing-Execution-System (MES). Damit werden unter anderem globale Produktionsabläufe, hierzulande etwa im Automobilbereich, gesteuert.

Vor den Attacken warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Die Entwickler haben im August dieses Jahres Warnmeldungen zu zwei Schwachstellen (CVE-2025-6204 "hoch", CVE-2025-6205 "kritisch") veröffentlicht.

Davon sind ihnen zufolge verschiedene Versionen der Releases 2020 bis 2025 betroffen. Leider geht die Versionsnummer der gepatchten Ausgabe nicht aus den Warnmeldungen hervor. Sie ist in einem nur für Kunden einsehbaren Bereich sichtbar.

Nutzen Angreifer die Lücken erfolgreich aus, können sie sich höhere Rechte verschaffen oder sogar Schadcode ausführen, um Systeme zu kompromittieren. Wie die derzeit ablaufenden Attacken vonstatten gehen, ist zurzeit unklar.

Bayerischen Strafverfolgern ist ein Schlag gegen zwei pädokriminelle Video-Plattformen im Darknet gelungen. Die Darknetseiten wurden in Rechenzentren in Deutschland betrieben.

Die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg und das Bayerische Landeskriminalamt (BLKA) berichten nun von der erfolgreichen Abschaltung. Es handelt sich um eine internationale Zusammenarbeit, bei der die pädokriminellen Plattformen "Videos Sebick" sowie "Videos Yad" offline genommen und deren Webseiten durch einen Beschlagnahme-Hinweis ersetzt wurden.

Die Plattformen waren demnach ausschließlich im Darknet erreichbar. Gegen eine monatliche Abo-Gebühr von 0,001 Bitcoin, derzeit knapp 100 Euro, gab es Vollzugriff auf die Angebote. Einige (wenige) Videos ließen sich auch kostenlos abspielen. Sie zeigen teils schweren sexuellen Missbrauch von Kindern und Jugendlichen.

Auf den Plattformen waren mehr als 350.000 User registriert, führen die Strafverfolger aus. Der Großteil habe ausschließlich die kostenlosen Videos konsumiert. Insgesamt hosteten die Plattformen 21.324 Videodateien, deren Spieldauer sich auf 660 Stunden summiert. Sie wurden insgesamt knapp 900.000 Mal abgerufen. Die Server konnten beschlagnahmt, abgeschaltet und die Seiten durch ein Sperrbanner ersetzt werden. Da die Dateien ausschließlich auf den Servern im Rechenzentrum vorgehalten wurden, konnten sie sichergestellt und ihre weitere Verbreitung unterbunden werden.

Während die Darknetseiten von Servern in deutschen Rechenzentren ausgeliefert wurden, fanden die Ermittler als Betreiber bei der Serverauswertung einen peruanischen Staatsbürger, der sich in Brasilien aufhielt. In Zusammenarbeit mit dem BKA und der Brasilianischen Bundespolizei wurde der Verdächtige bereits im September festgenommen. Derzeit befindet er sich in Untersuchungshaft. Ihm droht nach brasilianischem Recht eine mehrjährige Haft.

Eigentlich sollen IBM Concert und QRadar SIEM Systeme vor Attacken schützen. Aufgrund mehrerer Softwareschwachstellen können sie nun aber selbst als Angriffspunkt dienen. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten mit der Installation der Sicherheitsupdates jedoch nicht zu lange zögern.

Wie aus zwei Warnmeldungen hervorgeht, ist QRadar SIEM über insgesamt drei Sicherheitslücken (CVE-2025-36007 "hoch", CVE-2025-36170 "mittel", CVE-2025-36138 "mittel") angreifbar. Sind Attacken erfolgreich, können sich Angreifer höhere Nutzerrechte verschaffen oder Schadcode im Web UI verankern, um an Zugangsdaten zu gelangen. Für letzteres müssen sie aber bereits authentifiziert sein.

Die Entwickler geben an, dass davon die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 IF02 bedroht sind. Sie versichern, die Schwachstellen in QRadar 7.5.0 UP14 geschlossen zu haben.

Wie die Entwickler in einer Warnmeldung auflisten, ist IBM Concert über 15 Sicherheitslücken angreifbar. Davon sind drei Stück als "kritisch" eingestuft (CVE-2025-7783, CVE-2025-9288, CVE-2024-33531). Setzen Angreifer daran erfolgreich an, können sie unter anderem Daten manipulieren. Wie Attacken ablaufen könnten, ist derzeit nicht bekannt.

Die verbleibenden Schwachstellen erlauben unter anderem DoS-Zustände. Außerdem können Angreifer unberechtigt auf Daten zugreifen und Sicherheitschecks umgehen. Den Entwicklern zufolge sind davon die Concert-Ausgaben 1.0.0 bis einschließlich 2.0.0 betroffen. IBM Concert Software 2.1.0 ist gegen die geschilderten Attacken abgesichert. Woran Admins bereits attackierte Computer erkennen können, ist zurzeit nicht bekannt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor, dass nach dem Support-Ende für Microsoft Exchange 2016 und 2019 zigtausende Systeme in Deutschland offen im Netz stehen und zunehmend gefährdet sind. Der Support endete wie für Windows 10 am 14. Oktober 2025, hat jedoch viel weniger öffentliche Beachtung erfahren.

Das BSI teilt mit, dass "weiterhin über 30.000 MS-Exchange-Server in Deutschland mit diesen oder noch älteren Versionen und einem offen über das Internet erreichbaren Outlook Web Access betrieben" werden. Die Behörde warnt weiter, "dass diese Installationen für neu entdeckte Schwachstellen voraussichtlich dauerhaft verwundbar bleiben und nicht kurzfristig abgesichert werden können. Dies betrifft nach Kenntnis des BSI Unternehmen, Krankenhäuser, Schulen, Stadtwerke, Kommunen und viele weitere Organisationen". Sie hat daher eine Bedrohungsinformation veröffentlicht und an diese Zielgruppen versandt.

Der Vizepräsident des BSI, Thomas Caspers, sagte in dem Zusammenhang: "Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig. Wenn für diese Software Schwachstellen entdeckt werden – und damit ist leider jederzeit zu rechnen – sind die Daten der Unternehmen und Organisationen Cyberangriffen schutzlos ausgeliefert. Hier ist schnelles und konsequentes Handeln der Verantwortlichen erforderlich!"

Exchange-Server seien in der Regel zentrale Bausteine in IT-Netzwerken, erklärt das BSI. "Ein erfolgreicher Cyberangriff hat daher oftmals gravierende Folgen und kann bei unzureichenden Sicherheitsmaßnahmen zur vollständigen Kompromittierung des jeweiligen Netzwerkes führen. Da keine Sicherheitsupdates mehr bereitgestellt werden, wäre beim Bekanntwerden einer neuen Schwachstelle in der Regel die Abschaltung der Anwendung notwendig, um das gesamte IT-Netzwerk zu schützen", ergänzt die Behörde. Sie rät dringend dazu, auf aktuelle Software-Varianten umzustellen oder auf Alternativen zu migrieren.

Als Upgrade-Pfad steht etwa seit Juli des Jahres der Umzug auf Exchange SE, also der "Subscription Edition" des Mail-Servers, zur Verfügung. Exchange SE lässt sich auch weiterhin im eigenen Netzwerk betreiben, On-Premises.

Der DNS-Server BIND weist drei Schwachstellen auf, die das Internet Systems Consortium (ISC), das die Software entwickelt, vergangene Woche gemeldet hat. Ein nun aufgetauchter Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch eines der Sicherheitslecks. Höchste Zeit für Admins, die von ihnen betreuten BIND-Server auf den neuesten Stand zu bringen.

Davor warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Dokument. Der PoC attackiert eine hochriskante Schwachstelle, sie "könnte es einem nicht-authentifizierten Angreifer ermöglichen, mittels Cache-Poisoning DNS-Einträge zu manipulieren und somit Internet-Traffic beliebig umzuleiten" (CVE-2025-40778, CVSS 8.6, Risiko "hoch"). Das ISC erörtert in der eigenen Schwachstellenmeldung, dass "unter bestimmten Umständen BIND bei der Annahme von Datensätzen aus Antworten zu nachsichtig ist, sodass ein Angreifer gefälschte Daten in den Cache einschleusen kann". Bislang sind noch keine aktiven Angriffe auf die Lücke bekannt.

Neben dieser Sicherheitslücke, für die sogar ein PoC vorliegt, hat das ISC zwei weitere mit Softwareaktualisierungen geschlossen. Eine weitere ermöglicht ebenfalls Cache-Poisoning, was auf eine Schwäche des Zufallszahlengenerators (PRNG, Pseudo Random Number Generator) zurückgeht. Angreifer könnten dadurch Quellport und Query-ID vorhersehen, die BIND nutzen wird (CVE-2025-40780, CVSS 8.6, Risiko "hoch"). Die dritte Schwachstelle ermöglicht bösartigen Akteuren, den Dienst mit sorgsam präparierten DNSKEY-Eniträgen zur Auslastung der CPU zu bringen – eine Denial-of-Service-Lücke (CVE-2025-8677, CVSS 7.5, Risiko "hoch").

Die Aktualisierung auf die Versionen BIND 9.18.41, 9.20.15 oder 9.21.14 oder neuere korrigiert die sicherheitsrelevanten Fehler im DNS-Server. IT-Verantwortliche sollen auf die der eigenen Version am nächsten verwandte Fassung updaten, schreibt das ISC. Das BSI erklärt in seiner Warnung: "Nach Angaben der Internet-Intelligence-Plattform Censys werden global über 700.000 BIND DNS-Server mit einer für die Schwachstelle verwundbare Version betrieben, davon knapp 40.000 allein in Deutschland". Es empfiehlt daher: "IT-Sicherheitsverantwortliche sollten schnellstmöglich die Patchstände auf betriebenen BIND DNS-Server prüfen und – sofern erforderlich – die verfügbaren Updates einspielen."

Bei BIND handelt es sich um eine recht ausgereifte Software. Zuletzt fiel eine Sicherheitslücke darin Anfang 2024 auf – sie bekam den Spitznamen "KeyTrap" und sorgte für einen Denial-of-Service.

Den Zugang zu Online-Diensten mit einem Hardware-Dongle als zweiten Faktor zu schützen, ist aus Sicherheitssicht eine gute Idee. Wer das mit seinem Twitter-Konto gemacht hat, muss seinen FIDO-Stick nun jedoch neu anmelden, warnt das Sicherheitsteam des sozialen Netzes X nun.

Der Dienst schreibt: "Bis zum 10. November bitten wir alle Konten, die einen Sicherheitsschlüssel als Zwei-Faktor-Authentifizierungsmethode (2FA) verwenden, ihren Schlüssel neu zu registrieren, um weiterhin auf X zugreifen zu können. Sie können Ihren bestehenden Sicherheitsschlüssel neu registrieren oder einen neuen registrieren". Der Dienst weist darauf hin, dass diejenigen, die einen neuen FIDO-Stick registrieren, den Zugriff mit allen anderen Sicherheitsschlüsseln verlieren, außer, diese werden ebenfalls neu registriert.

Die nötige Maßnahme gehe jedoch nicht auf etwaige Sicherheitsprobleme zurück, sondern hänge noch mit dem Wechsel des Angebots von "Twitter" nach "X" zusammen.

Es seien auch ausschließlich Yubikeys und Passkeys davon betroffen, führt X weiter aus. Andere Zwei-Faktor-Authentifizierungsmethoden etwa mit Authenticator-Apps funktionieren weiterhin.

X erklärt weiter: "Als 2FA-Methode registrierte Sicherheitsschlüssel sind derzeit an die Domain twitter.com gebunden. Durch die erneute Registrierung Ihres Sicherheitsschlüssels werden diese mit x.com verknüpft, sodass wir die Twitter-Domain außer Betrieb nehmen können."

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit dem Programm polizeiliche Kriminalprävention (ProPK) eine Checkliste veröffentlicht, die Privatanwendern helfen soll, wenn ihre Zugänge von Kriminellen übernommen wurden.

Die Checkliste liegt als PDF auf der Webseite des BSI vor. Darin warnt die Behörde vor den Auswirkungen: Kriminelle können dann nicht nur in gekaperten Konten hinterlegte Daten wie Anschrift oder Kreditkarteninformationen einsehen und missbrauchen, sondern etwa illegale Waren verkaufen oder Spam versenden. Besonders kritisch seien demnach geknackte E-Mail-Accounts. Das ermöglicht glaubwürdigere Kommunikation mit potenziellen weiteren Opfern, aber oftmals seien die auch hinterlegt, um Passwörter für andere genutzte Dienste zurückzusetzen.

Das BSI gibt Hinweise, wie Betroffene geknackte Konten erkennen können. Bei nicht mehr möglichem Zugriff könnte etwa das Passwort zurückgesetzt worden sein. Oder der Anbieter hat den Zugang wegen verdächtiger Aktivitäten blockiert. Weitere Punkte erklären, wie in diesem Fall am besten vorzugehen ist. Außerdem liefert die Checkliste noch Tipps zum besseren Schutz für Konten. Es findet sich etwa die Aktivierung von Zwei-Faktor-Authentifizierung – an zweiter Stelle nach der Umstellung auf Passkeys.

Dass solch eine Handreichung nötig ist, unterstreichen die Ergebnisse des "Cybersicherheitsmonitors 2025". Dabei handelt es sich um eine "Computer Assisted Web Interviewing (CAWI)"-Umfrage von BSI und ProPK unter 3061 Personen der deutschsprachigen Bevölkerung ab 16 Jahren, die vom 3. bis 7. Februar 2025 durchgeführt wurde. Demnach erlebte fast jede zehnte Person, die im vergangenen Jahr von Cyberkriminalität betroffen war, einen Fremdzugriff auf einen Online-Account (8 Prozent).

Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, sagte dazu: "Ein Ernstfall kann schnell überfordern: Viele Menschen wissen im ersten Moment nicht, wie sie reagieren sollten. Gerade im Falle des E-Mail-Kontos kann schnelles Handeln jedoch weiteren Schaden abwenden. Behalten Cyberkriminelle unbefugten Zugang zu dem Konto, können sie sensible Daten auslesen, E-Mails an hinterlegte Kontakte verschicken oder auch Passwörter und Anmeldeverfahren bei weiteren Benutzerkonten zurücksetzen. Darum ist es so wichtig, sofort aktiv zu werden. Die Checkliste soll Betroffene handlungsfähig machen."

Verschiedene Versionen von Proxmon Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als "hoch" ein.

Von einer Schwachstelle ist ausschließlich der Proxmon-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

Dies ist das Transkript der vierten Folge des neuen Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "Human Hacker".

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK: Bevor es den Begriff „Social Engineer“ überhaupt gab, sprach man einfach von „Trickbetrügern“. Denn bei einer Betrugsmasche geht es darum, das Vertrauen von jemandem zu gewinnen und ihn dann übers Ohr zu hauen. Social Engineers gewinnen das Vertrauen von Leuten, um sie auszutricksen. Ist dasselbe. Einer meiner Lieblings-Trickbetrüger war George C. Parker. Er verdiente seinen Lebensunterhalt damit, Dinge zu verkaufen, die ihm gar nicht gehörten. Er lebte Anfang des 20. Jahrhunderts in New York City. Damals zogen viele Einwanderer in die Stadt, und er wollte ihre Ahnungslosigkeit ausnutzen. 1897 wurde Grant's Tomb erbaut, die letzte Ruhestätte von Ulysses S. Grant. Es steht mitten in Manhattan und ist ein wirklich beeindruckendes Denkmal. Man kann sogar hineingehen und sich den Sarg ansehen. Eine beliebte Touristenattraktion. Als George C. Parker sah, wie viele Menschen zu Grant's Tomb strömten, wollte er damit irgendwie Geld verdienen – aber nicht mit dem Verkauf von Popcorn, Hotdogs oder Blumen.

Nein, Georges Idee war es, Grant's Tomb selbst zu verkaufen, obwohl der ihm gar nicht gehörte. Er machte sich daran, gefälschte Dokumente aufzusetzen, die ihn als Enkel von Ulysses S. Grant auswiesen. Dann mietete er ein Büro, um solchen Geschäften einen seriösen Anstrich zu geben. Und anschließend zog er durch die Stadt, um nach Opfern zu suchen. In New York City sind viele Leute unterwegs, die sich die Schuhe putzen lassen oder eine Zeitung kaufen. Da kommt man leicht mit jedem ins Gespräch. George fand jemanden, der Interesse daran hatte, Grant's Tomb zu kaufen. Er fälschte einige Dokumente, die ihn als Besitzer auswiesen, und erzählte dem Opfer, es könne mit dem Ort eine Menge Geld verdienen, wenn es einfach Eintritt von den Leuten verlangen würde, die sich den Sarg ansehen wollen.

Also schlossen sie das Geschäft ab. Er verkaufte Grant's Tomb an jemanden, obwohl der ihm nicht gehörte. In den folgenden Jahrzehnten verkaufte George C. Parker Dutzende weitere Wahrzeichen in New York City. Er verkaufte die Rechte an Theaterstücken und Opern. Einmal verkaufte er den Madison Square Garden, ein anderes Mal das Metropolitan Museum of Art und sogar die Freiheitsstatue. Aber mein Lieblingsstück, das er verkauft hat, war die Brooklyn Bridge selbst. Er erzählte den Leuten, sie könnten ein Mauthäuschen auf der Brooklyn Bridge errichten und mit den ganzen vorbeifahrenden Autos ein Vermögen verdienen. Die Masche war so gut, dass George die Brooklyn Bridge manchmal zweimal pro Woche verkaufte. Die Stadtverwaltung musste oft anrücken und die Opfer davon abhalten, Mauthäuschen auf der Brücke zu errichten. Daher kommt die englische Redewendung: „Wenn du das glaubst, hab ich hier noch eine Brücke zu verkaufen.“