Comretix Blog

Cyberkriminelle haben die Großbrauerei Oettinger angegriffen. Offenbar haben sie Daten verschlüsselt und kopiert, um das Unternehmen zu erpressen.

Detail-Webseite im Darknet zum Oettinger-Einbruch bei der Cyberbande RansomHouse.

(Bild: Screenshot / dmk)

Auf der Darknet-Webseite der kriminellen Online-Bande RansomHouse ist ein Eintrag zur Oettinger-Brauerei aufgetaucht, in dem die Täter behaupten, am 19. April in die IT-Systeme eingedrungen zu sein. Demnach haben sie die Daten beim Unternehmen verschlüsselt. Als Beleg haben sie eine Verzeichnisstruktur und Dokumente hochgeladen. Darunter finden sich auch sensible Informationen, ein Verzeichnis deutet auf Abmahnungen für Mitarbeiter hin.

Ein Verzeichnis der kopierten Daten enthält offenbar Abmahnungen für Mitarbeiter.

Im Vergleich zu 2024 ist die Zeit, die zum Knacken von Passwörtern mit Grafikprozessoren (GPUs) für den Verbrauchersektor benötigt wird, um fast 20 Prozent gesunken. Ein achtstelliges Passwort, das nur aus Kleinbuchstaben besteht, kann jetzt in nur 3 Wochen geknackt werden. Das geht aus der von Hive Systems am World Password Day Anfang Mai veröffentlichten Passworttabelle 2025 hervor. Die IT-Sicherheitsfirma vertritt angesichts dieser Entwicklung die These einer "dramatischen Beschleunigung" der auf dem Markt leicht verfügbaren Rechenfähigkeiten, die auch zum Knacken von Kennwörtern verwendet werden kann, innerhalb eines Jahres.

Mittlerweile sei die Geschwindigkeit beim Knacken von Passwörtern durch den Einsatz von Hardware für Systeme mit Künstlicher Intelligenz (KI) im Vergleich zu Geräten für den Privatgebrauch um über 1,8 Milliarden Prozent gestiegen, meint Hive. Das liege am Boom insbesondere von großen Sprachmodellen wie ChatGPT, Gemini oder Claude, die mit vielen Daten trainiert werden müssen und daher auch sehr Hardware-hungrig sind.

"Wir erleben einen astronomischen Hochlauf der Rechenleistung", erklärt der CEO von Hive Systems, Alex Nette. Die heutige KI-Hardware verändere die Cybersicherheitsrisiken. Passwörter, die voriges Jahr noch sicher gewesen seien, könnten "heute in einem Bruchteil der Zeit geknackt werden".

Die Passworttabelle von Hive bietet einen jährlich aktualisierten Überblick darüber, wie schnell unterschiedliche Arten von Passwörtern – basierend auf Länge und Komplexität – von einem Angreifer mit moderner Hardware per Brute-Force-Methode geknackt werden können. Dabei werden systematisch alle erdenklichen Kombinationen von Zeichenkombinationen durchprobiert, bis ein korrektes Kennwort erraten ist. Je mehr Rechenkraft zur Verfügung steht, desto schneller läuft diese Abfrage.

Die Ergebnisse dieses Jahres spiegeln laut Hive die kombinierten Auswirkungen schnellerer GPUs, verteilten Cloud-Computings und KI-spezialisierter Hardware wider. Die Security-Experten sehen darin eine Erinnerung daran, "dass sich die Passworthygiene parallel zur Technologie weiterentwickeln muss". Kürzere, einfachere Passwörter, die früher jahrelang Bestand hatten, seien heute innerhalb von Monaten, Wochen oder sogar Tagen angreifbar. Dieses Zeitfenster werde mit der zunehmenden Rechenleistung immer kleiner.

In der Affäre um die von US-Regierungsmitgliedern für den Austausch vertraulicher Informationen genutzte modifizierte Signal-Variante TeleMessage meldet sich nun auch Signal selbst zu Wort. Insbesondere zum Thema Datenschutz und Sicherheit hat die Signal-Stiftung eine klare Position.

Der modifizierte Messenger stellte inzwischen nach einem zweiten Einbruch den Betrieb ein. TeleMessage erlaubt es, die sonst Ende-zu-Ende-verschlüsselten Nachrichten an die Server des Anbieters auszuleiten, womit die Nutzer offenbar der Dokumentationspflicht der Regierungskommunikation in den USA nachkommen wollten. Das reißt allerdings ein Sicherheitsleck auf.

Der TeleMessage-Quellcode ist inzwischen öffentlich, er war auf der Webseite des Anbieters herunterladbar. Erste Analysen kamen zu dem Ergebnis, dass etwa Zugangsdaten darin fest einprogrammiert sind. Mit diesen können Angreifer sich dann offensichtlich an den TeleMessage-Servern anmelden und unbefugt auf Daten zugreifen.

Die Signal-Stiftung hat dazu nun Stellung bezogen: "Wir können die Datenschutz- und Sicherheitseigenschaften von inoffiziellen Versionen von Signal nicht garantieren." Das ist nachvollziehbar, denn mit dem Quellcode von Signal, der unter Open-Source-Lizenz verfügbar ist, können andere Entwickler eigene Varianten erstellen und darin unsichere Ergänzungen einbauen. Genau so, wie es im Fall von TeleMessage geschehen ist.

Für etwas, was Fremde außerhalb der Kontrolle der Signal-Stiftung erstellen, können die Signal-Entwickler logischerweise nicht einstehen. Die Funktionen zum Ausleiten und Archivieren von Nachrichten, die TeleMessage implementiert hat, nutzte offenbar die vorgenannten, dilettantisch hartkodierten Zugangsdaten und ermöglichte dadurch aller Wahrscheinlichkeit nach die Angriffe auf den Dienst überhaupt erst.

Daniel Stenberg, Maintainer des bekannten und mächtigen Web-Tools cURL, hat eine Aversion gegen KI-unterstützte Fehlerberichte, das war bekannt. Nun hat er jedoch "die Nase voll" davon und er fängt an, die Reißleine zu ziehen.

Es geht erneut um mit Künstlicher Intelligenz erstellte Bugreports, die etwa über die Bug-Bounty-Plattform Hackerone eingereicht wurden. "Das wars. Ich habe die Nase voll. Ich spreche ein Machtwort wegen dieses Irrsinns", schreibt Stenberg aktuell auf LinkedIn.

Stenberg erklärt, dass ab sofort jede und jeder, die eine Fehlermeldung auf Hackerone einreichen, eine Frage beantworten müssen: "Hast du KI genutzt, um das Problem zu finden oder diese Einreichung zu erstellen?". Wer den Haken setze, könne mit einer Menge an Fragen zum Belegen dazu rechnen, das tatsächliche Intelligenz involviert ist.

"Ab sofort bannen wir umgehend jeden Berichterstatter, der Reports einreicht, die wir als KI-Müll erachten. Eine Grenze wurde überschritten. Wir werden effektiv geDDoSt. Wenn wir könnten, würden wir ihnen eine Rechnung für das Verschwenden unserer Zeit stellen", erklärt Stenberg weiter. "Wir haben noch keinen einzigen gültigen Sicherheitsbericht gesehen, der mittels KI-Hilfe erstellt wurde."

Auf Mastodon hat der cURL-Entwickler einen Screenshot der neuen Frage auf Hackerone gepostet. Auslöser für die jetzige Maßnahme war ein Bug-Report auf Hackerone, der angebliche Sicherheitsprobleme in einer Funktion behandelte, die jedoch in cURL gar nicht existiert – die für die Berichterstellung genutzte KI hat sie offenbar halluziniert. Das brachte das Fass zum Überlaufen.

Googles Android-Betriebssystem ist in den Versionen 13, 14 und 15 aufgrund enthaltener Schwachstellen attackierbar. Angreifer können sich dadurch unter anderem höhere Nutzerrechte verschaffen. Im schlimmsten Fall kann Schadcode auf Geräte gelangen und diese vollständig kompromittieren.

In einem Beitrag stufen die Android-Entwickler eine Systemlücke (, Risiko "hoch") in Android 13 und 14 am gefährlichsten ein. Daran sollen Angreifer ohne bestimmte Nutzerrechte auf einem nicht näher ausgeführten Weg ansetzen können, um Schadcode auszuführen. Dafür sei keine Benutzerinteraktion nötig. Diese Schwachstelle nutzen Angreifer derzeit bereits aus. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Google spricht von begrenzten und gezielten Angriffen.

Darüber hinaus ist das System noch über weitere Schwachstellen angreifbar und bösartige Akteure können sich höhere Rechte aneignen (etwa CVE-2025-26420, Risiko "hoch") oder auf eigentlich abgeschottete Informationen zugreifen (CVE-2025-35657, "hoch"). Auch an dieser Stelle ist derzeit unklar, wie solche Angriffe im Detail ablaufen könnten.

Sicherheitspatches schließen außerdem mehrere Lücken im Framework. Zusätzlich wurden Google-Play-Komponenten abgesichert. Außerdem haben verschiedene Komponenten von Arm, Imagination Technologies, MediaTek und Qalcomm Sicherheitsupdates bekommen. Darunter ist unter anderem eine Kernel-Lücke (CVE-2025-45580, "hoch").

Für im Support befindliche Geräte gibt es nun die Patch Levels 2025-05-01 und 2025-05-05, in denen die Entwickler die Sicherheitslücken geschlossen haben. Neben Google stellen auch etwa LG und Samsung für ausgewählte Geräte monatlich Sicherheitsupdates zum Download bereit (siehe Kasten).

Nachdem eine App zur Ausleitung von Nachrichten aus Krypto-Messenger wie Signal zum zweiten Mal geknackt wurde, haben die Verantwortlichen die Anwendung komplett dichtgemacht. Das berichtet NBC News unter Berufung auf eine Mitteilung der Mutterfirma hinter der App namens TeleMessage. Als der Einbruch entdeckt wurde, habe man schnell reagiert, um ihn einzudämmen und eine externe Firma mit der Analyse beauftragt, hat die Firma demnach erklärt: "Aus Vorsicht wurden alle TeleMessage-Dienste vorübergehend eingestellt." Mit der US-Grenzschutzbehörde CBP hat dem Bericht zufolge zuvor mindestens eine US-Behörde die Benutzung der App gestoppt.

Die App ist erst in den vergangenen Tagen in den Blickpunkt der Öffentlichkeit gerückt, nachdem der damalige Nationale Sicherheitsberater von US-Präsident Donald Trump im Kabinett dabei fotografiert worden war, wie er sie auf seinem Smartphone benutzt hat. Die Anwendung ermöglicht die Benutzung von Krypto-Messengern wie Signal und WhatsApp, hebelt aber zentrale Schutzfunktionen aus. So werden Inhalte ausgeleitet, damit sie archiviert werden können. Damit geht aber jene Sicherheit verloren, die die Ende-zu-Ende-Verschlüsselung bietet, denn die Nachrichten werden an TeleMessage weitergeleitet, wo sie aufbewahrt werden. Der Quellcode der Anwendung ist angeblich inzwischen öffentlich und zeigt ersten Analysen zufolge eklatante Sicherheitslücken wie fest kodierte Zugangsdaten – quasi eine Backdoor auf die TeleMessage-Dienste.

Nachdem am Wochenende das US-Magazin 404 Media berichtet hat, dass TeleMessage geknackt wurde und eine unbekannte Person Zugriff auf zahlreiche Chats auch aus US-Behörden und dem US-Kongress hat, hat NBC News nun von einem weiteren Eindringen erfahren. Wie die US-Nachrichtenseite schreibt, hat sich dort am Sonntagabend eine glaubhafte Person gemeldet, die in das zentrale Archiv von TeleMessage eingedrungen ist und viele Inhalte heruntergeladen hat. Bewiesen wurde das demnach über Screenshots. Ob dort sensible Inhalte der US-Regierung liegen, habe die Person noch nicht ermittelt. Es handle sich aber um eine andere Person als jene, die gegenüber 404 Media einen erfolgreichen Einbruch verkündet hat.

Die Enthüllung, dass in der US-Regierung, in US-Behörden und in der US-Politik eine App benutzt wird, die eines der zentralsten Sicherheitsversprechen von Krypto-Messengern wie Signal aushebelt, ist die jüngste Volte der Signal-Affäre. Die hat Ende März ihren Ausgang genommen, als ein renommierter US-Journalist publik gemacht hat, dass er versehentlich zu einem Gruppenchat auf Signal hinzugefügt worden war, in dem die US-Regierung geheime Informationen über US-Militärschläge ausgetauscht hat. Dabei ist solch eine kommerzielle Software auf privaten Mobilgeräten für solche Konversationen gänzlich ungeeignet. Wird dafür eine derart modifizierte Variante benutzt, ist das Risiko noch deutlich größer, wie nun deutlich geworden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die US-Cybersicherheitsbehörde CISA warnt vor mehreren Sicherheitslücken in ICS-Systemen (Industrial Control Systems) des deutschen Herstellers Kunbus. PiCtory, die Webapplikation zur Konfiguration der "Revolution Pi"-Serie von Mini-Industrierechnern sowie das Betriebssystem-Image hatten an mehreren Stellen keine Authentifizierung und öffneten Angreifern damit Tür und Tor. Auch bei der Prüfung von Eingabedaten schlampte PiCtory.

Die CISA-Warnung erstreckt sich auf vier Sicherheitslücken:

Hersteller Kunbus hat auf die von einem externen Sicherheitsforscher gemeldeten Lücken bereits Anfang April reagiert und einige davon per Paketupdate repariert. Beide XXS-Lücken sowie die kritische Pfad-Manipulations-Schwachstelle sind in PiCtory 2.12 behoben, wie Kunbus in einem Sicherheitshinweis schreibt.

Ein neues Betriebssystem-Image, das die fehlende Authentifizierung des Node-RED Servers korrigiert, steht Anfang Mai 2025 jedoch noch nicht zur Verfügung. Auf Anfrage von heise security erläuterte Kunbus-Sprecher Ekkehard Krebs: "Eine endgültige Lösung des Problems (u.a. eine neue Rechteverwaltung für Node-RED) wird zusammen mit dem für nächste Woche anstehendes Update unseres OS-Image bereitgestellt." Bis dahin sollen Administratoren die notwendigen Konfigurationsanpassungen selbst vornehmen – eine Anleitung stellt Kunbus im Security-Advisory zur Verfügung.

Warum die CISA sich Anfang Mai, also einen Monat nach Veröffentlichung der Sicherheitshinweise durch Kunbus, zu einer Warnung veranlasst sah, ist unklar. Dass die Schwachstellen aktiv ausgenutzt würden, um etwa Geräte zu übernehmen oder zu beschädigen, ist der Behörde nach eigenen Angaben nicht bekannt.

Nachdem die Macher der Linux-Distribution Tails zuletzt sogar ein Notfall-Update veröffentlichen mussten, kommt die Distribution nun in ruhigere Fahrwasser. Aktualisierte Kernkomponenten und kleinere Fehlerkorrekturen, etwa beim GRUB-Loader, kennzeichnen das jüngste Release 6.15. Tails ist eine Linux-Distribution für den USB-Stick in der Hosentasche zum Starten von Rechnern, auf denen User dann anonym surfen können.

In den Release-Notes zu Tails 6.15 fassen die Maintainer die Änderungen knapp zusammen. Die für den anonymen Netzzugriff zentrale Komponente Tor-Browser kommt in Version 14.5.1 mit. Auch den Linux-Kernel aktualisieren die Entwickler, der ist nun auf Stand 6.1.135 dabei.

Sollte Tails mit einer Kernel Panic oder einem Oops abstürzen, konnten Rückstände in den EFI-Variablen zurückbleiben. Damit wäre die Nutzung von Tails potenziell bei physikalischer Untersuchung eines Rechners nachweisbar. Dafür haben die Entwickler eine Korrektur umgesetzt.

Eher auf der kosmetischen Seite einzuordnen, ist die Fehlerbehebung, durch die der GRUB-Bootloader Rahmen aus Sonderzeichen anstatt der gewollten Striche und Linien darstellt. Das konnte im Zusammenhang mit aktiviertem Secure Boot auftreten.

Die aktuelle Tails-Version 6.15 gibt es zum Herunterladen als Abbild für USB-Sticks sowie als ISO-Image zum Brennen auf DVD oder zur Nutzung in einer virtuellen Maschine.

Microsofts Authenticator kann neben seiner Hauptfunktion, Anmeldungen als zweiten Faktor zu bestätigen, auch weitere Dinge – etwa Passwörter verwalten und automatisch einfügen. Diese Funktionen will Microsoft nun rauswerfen und die Authenticator-App verschlanken.

In einem Support-Artikel erörtert Microsoft die Maßnahme und den Zeitplan. "Microsoft verschlankt 'Autofill', sodass Sie gespeicherte Passwörter einfach über Geräte hinweg nutzen können", erklären die Redmonder. "Als Teil dieser Aktualisierungen läuft die 'Autofill'-Funktion in Microsoft Authenticator ab Juli 2025 aus."

Während es derzeit sogar noch die Funktion gibt, Passwörter aus Webbrowsern in den Microsoft Authenticator zu importieren, sollen Nutzerinnen und Nutzer in der App ab Juni keine neuen Passwörter mehr in Authenticator speichern können. Während des Juli 2025 soll sich die 'Autofill'-Funktion des Authenticator nicht mehr nutzen lassen und von August 2025 an die gespeicherten Passwörter im Authenticator gar nicht mehr zugreifbar sein.

Die gespeicherten Passwörter – nicht jedoch der Passwort-Verlauf generierter Passwörter – und Adressen würden sicher mit dem Microsoft-Konto synchronisiert. Sie lassen sich weiter "reibungslos" mit der 'Autofill'-Funktion von Microsofts Webbrowser Edge nutzen. Wer die Passwörter mit anderen Passwort-Managern verwenden möchte, kann sie aber auch aus dem Microsoft-Konto exportieren und in die gewünschte Software importieren.

Um weiterhin auf die generierten Passwörter zugreifen zu können, müssen sie manuell aus dem Generator-Verlauf in die gespeicherten Passwörter gespeichert werden. Die generierten und nicht gespeicherten Passwörter löscht Microsoft nach August 2025. Zahlungsinformationen, die im Authenticator hinterlegt sind, wird Microsoft nach Juli 2025 von den Geräten löschen. Microsoft legt Wert darauf, zu erwähnen, dass der Authenticator Passkeys natürlich weiterhin unterstützt und speichert.

Apple hat mehreren Bürgern der Europäischen Union Warnungen zukommen lassen, dass vermutlich staatlich finanzierte Akteure versucht haben, ihre Geräte anzugreifen. Das berichtete das IT-Blog TechCrunch in der vergangenen Woche. Den Angaben zufolge wurde eine ganze Gruppe von Nutzern durch den iPhone-Konzern alarmiert, wobei nicht nur die EU betroffen war – es soll sich um über 100 Länder handeln. Öffentlich geäußert haben sich allerdings nur zwei der Opfer, eine Aktivistin der "Neuen Rechten" in den Niederlanden sowie ein Journalist aus Italien. Wie schwerwiegend die Angriffe waren und wer hinter ihnen steckte, ist noch unbekannt.

Schon in der Vergangenheit hatte Apple erkannte Spyware-Angriffe auf seine User publik gemacht. Apple schickt dazu sowohl Nachrichten per iMessage als auch an die bei iCloud hinterlegte E-Mail-Anschrift. Zudem wird beim Einloggen in die offizielle Apple-Account-Website eine Information angezeigt. Der Konzern verweist zudem auf zivilgesellschaftliche Hilfsangebote und erläutert, wie Nutzer beispielsweise den Blockierungsmodus (Lockdown Mode) aktivieren, der bestimmte Angriffsformen erschweren kann.

Ciro Pellegrino, einer der beiden bekannten Betroffenen, der für die Online-Zeitung Fanpage.it schreibt, teilte mit, Apple habe ihm gesagt, er sei ins Visier einer Spyware geraten. Er wisse nicht, wer ihn angegriffen habe und warum. Fanpage.it war schon zuvor ins Fadenkreuz unbekannter Akteure geraten. Ein Kollege Pellegrinos erhielt im Frühjahr von WhatsApp eine entsprechende Benachrichtigung, laut der offenbar versucht wurde, mit einer Spyware von Paragon Solutions einen Angriff durchzuführen. Nach dieser Meldung gingen noch zwei weitere italienische Staatsbürger an die Öffentlichkeit, dieses Mal waren es Flüchtlingsaktivisten.

Die ebenfalls betroffene Niederländerin Eva Vlaardingerbroek postete Screenshots von Apples Botschaft. Das Unternehmen bat die Betroffenen darum, die Warnung "ernst zu nehmen", da man sich "sehr sicher" sei. "Dieser Angriff zielt wahrscheinlich speziell auf Sie ab, weil Sie sind, wer Sie sind oder was Sie tun." Vlaardingerbroek schrieb, sie wolle sich "nicht einschüchtern" lassen. Weder Pellegrino noch Vlaardingerbroek machten gegenüber TechCrunch weitere Angaben zu dem Vorfall. Es ist davon auszugehen, dass sich in den kommenden Wochen weitere Opfer melden.

Es bleibt unklar, ob es Apple gelungen ist, die Angriffe tatsächlich abzuwehren. In der Benachrichtigung wird unter anderem das Spyware-Produkt Pegasus erwähnt. Apple empfiehlt Betroffenen, schnellstmöglich auf iOS 18.4.1 zu aktualisieren, das kürzlich kritische Sicherheitslücken schloss (macOS und weitere Apple-Betriebssysteme waren ebenfalls betroffen).

Das IT-Sicherheitsunternehmen Greynoise hat im April dieses Jahres einen deutlichen Anstieg der Crawling-Aktivitäten bei Git-Konfigurationsdateien beobachtet. Am 20. und 21. April registrierte die Firma täglich rund 4800 einzigartige IP-Adressen, von denen Scans ausgingen. Damit handelt es sich bei diesem Vorfall um den größten von insgesamt vier seit September 2024 beobachteten. Bei jedem gingen die Crawling-Aktivitäten von mindestens 3000 einzigartigen IP-Adressen aus.

Zur Erfassung der verdächtigen Aktivitäten nutzt Greynoise sein Tool Git Config Crawler, das IP-Adressen identifiziert, die das Internet nach sensiblen Git-Konfigurationsdateien durchsuchen. Die im April beteiligten IP-Adressen verteilen sich zwar global, doch die meisten kamen aus Singapur: 8265 einzigartige IPs zur gleichen Zeit.

Seit Ende 2024 haben die Crawling-Aktivitäten deutlich zugenommen.

(Bild: Greynoise)

Auf Platz 2 und 3 der am häufigsten betroffenen Länder landeten die USA (5143 IPs) und Deutschland (4138 IPs). Es folgen Großbritannien mit 3417 IP-Adressen auf Platz 4 und Indien mit 3373 IP-Adressen auf Platz 5. Sämtliche betroffenen IPs gehören zu Cloud-Infrastruktur-Providern wie Amazon, Cloudflare und DigitalOcean.

Der Mobilfunkanbieter Vodafone hat ein Spam-Warnsystem eingeführt, mit dem Handynutzer vor Telefon-Abzocke geschützt werden sollen. Bekommt ein Vodafone-Kunde einen Anruf von einer dubiosen Nummer, so erscheint ab sofort die Anzeige "Vorsicht: Betrug möglich!" auf seinem Smartphone-Display, wie das Unternehmen in Düsseldorf mitteilte.

Der Kunde kann den Anruf zwar weiterhin annehmen, ist durch die Anzeige auf dem Display aber gewarnt. "Der Spam-Warner sensibilisiert Mobilfunkkunden im Vodafone-Netz und schützt sie wirksam vor belästigenden und gefährlichen Anrufen", sagt der Innovationschef von Vodafone Deutschland, Michael Reinartz. "Er ist ab sofort automatisch aktiv." Auch bei Kunden anderer Mobilfunkfirmen, die das Vodafone-Netz nutzen, etwa Freenet, soll besagte Warnung angezeigt werden.

Bei dem Warnsystem greift Vodafone auf einen ständig aktualisierten Datenpool zurück, in dem fragwürdige Telefonnummern hinterlegt sind. Es sind etwa Hotlines, die aufdringlich Produkte und Dienstleistungen bewerben, obwohl sie die für den Anruf nötige Einwilligung des Verbrauchers gar nicht haben. Auch reine Kriminelle sind unter den Anrufern, die in dem Gespräch persönliche Daten erfahren oder unter fadenscheinigen Gründen Geld haben wollen.

Einen Anspruch auf Vollständigkeit hat die Betrugsnummern-Datenbank von Vodafone allerdings nicht – da Betrüger häufig die Nummer wechseln, kann es auch künftig sein, dass ein Anruf von ihnen keinen Betrugshinweis auslöst und die Vodafone-Kunden nicht gewarnt sind.

Ganz neu ist so ein System nicht, bei Samsung-Smartphones können Nutzer entsprechende Warnungen aktivieren. Hat ein Vodafone-Kunde ein Samsung-Handy und die entsprechende Funktion aktiviert, bekommt er nur die Samsung-Hinweise und nicht die von Vodafone. Die beiden Systeme greifen auf unterschiedliche Datenpools zurück.

Weniger als eine Woche nachdem bekannt wurde, dass hochrangiger Vertreter der US-Regierung den Krypto-Messenger Signal offenbar über eine spezielle App benutzen, die zentrale Funktionen aushebelt, ist diese Anwendung nun geknackt worden. Das berichtet 404 Media und fügt der Signal-Affäre der Regierung von Donald Trump damit eine weitere Wendung hinzu. Erst vorigen Donnerstag hat das US-Magazin berichtet, dass Fotos des Nationalen Sicherheitsberaters zeigen, dass der auf seinem Smartphone nicht Signal nutzt, sondern eine modifizierte App, bei der es sich offenbar um TeleMessage handelt. Mike Waltz stand zuvor bereits im Zentrum der Signal-Affäre und hat vorige Woche seinen Posten verloren.

TeleMessage ermöglicht dem Bericht zufolge die Benutzung von Krypto-Messengern wie Signal und WhatsApp inklusive eines Abgriffs der Nachrichten für Archivierungszwecke. Das soll offiziellen Stellen in der US-Regierung die Nutzung ermöglichen, ohne dass dabei gegen Archivierungszwecke verstoßen wird. Dafür werden Kopien der Nachrichten an TeleMessage geschickt, schreibt 404 Media. Das US-Magazin hat das anhand des Quellcodes der Anwendung herausgefunden. Damit fügt der Dienst den Messengern eine Angriffsmöglichkeit hinzu, die für Signal jetzt tatsächlich ausgenutzt wurde.

Wie 404 Media erklärt, ist es dem anonymen Angreifer gelungen, Direktnachrichten und Inhalte aus Gruppenchats einzusehen, die über TeleMessage versendet beziehungsweise empfangen wurden. Zwar seien keine von US-Kabinettsmitgliedern dabei, aber das Magazin durfte solche einsehen, die darauf hindeuten, dass sie aus einer Gruppe im US-Kongress stammen, die über ein Gesetzesvorhaben debattieren. Andere stammen offenbar aus der US-Grenzschutzbehörde, von der Kryptobörse Coinbase und einer Bank. Auch bei der Polizei der US-Hauptstadt Washington D.C. wird die modifizierte Anwendung demnach benutzt. Hätte der Angreifer gewollt, hätte die Person auch noch viel mehr abgreifen können, meint 404 Media.

Die Anwendung war vorige Woche ins Licht der Öffentlichkeit gerückt, als ein Foto der Nachrichtenagentur Reuters zeigte, wie Waltz die Anwendung während eines Treffens der US-Regierung auf seinem Smartphone benutzte. Auf dem Foto war zu erkennen, dass die jüngsten Nachrichten offenbar unter anderem vom US-Vizepräsidenten JD Vance, von der Geheimdienstkoordinatorin Tulsi Gabbard und vom US-Außenminister Marco Rubio stammten. All diese Konversationen sind damit für Unbefugte potenziell einsehbar gewesen. Waltz hat kurz darauf seinen Posten verloren, er soll jetzt der neue US-Botschafter bei den Vereinten Nationen werden.

Begonnen hat die Signal-Affäre Ende März mit der Enthüllung, dass ein renommierter US-Journalist versehentlich zu einem Gruppenchat auf Signal hinzugefügt worden war, in dem Waltz und andere hochrangige Personen aus der US-Regierung geheime Informationen über US-Militärschläge ausgetauscht haben. In der Folge wurde bekannt, dass der Messenger in der US-Regierung noch viel weiter verbreitet ist. Dabei ist solch eine kommerzielle Software auf privaten Mobilgeräten für solche Konversationen aus unterschiedlichen Gründen gänzlich ungeeignet. Dass gar nicht Signal selbst, sondern die modifizierte – und um Angriffspunkte erweiterte – App von TeleMessage benutzt wurde, fügt dem Fall nun ein weiteres Kapitel hinzu.

Die Masche ist so alt wie bekannt – und trotzdem erfolgreich: Auf dem Smartphone erscheint eine Nachricht, etwa mutmaßlich von DHL zu einem Paket. Um das abzuholen, müssten erst noch Gebühren entrichtet werden. Der Klick auf den Link in der Nachricht führt zu einer täuschend echt aussehenden Webseite des genannten Unternehmens, und dort soll man seine Kreditkarten eingeben. Wer das tut, sitzt in der Falle: Es geht nämlich weder um ein Paket noch um den geforderten Kleinbetrag, sondern nur um die Daten der Kredit- oder Bankkarte. Diese Informationen nutzen Kriminelle, um auf Kosten ihrer Opfer einkaufen zu gehen.

Dahinter steckt, wie eine internationale Recherche des Bayerischen Rundfunks (BR), des norwegischen Fernsehsenders NRK und der französischen Tageszeitung Le Monde nun aufgedeckt hat, ein arbeitsteilig organisiertes Netzwerk von Cyberkriminellen. Vorausgegangen war eine Analyse des Netzes und seiner Software durch das norwegische Security-Unternehmen Mnemonic. Die Sicherheitsforscher erhielten zu Anfang selbst eine gefälschte Nachricht der norwegischen Post.

Schon der Link darin war ein wenig vor Untersuchungen geschützt: Er ließ sich nur über Mobilfunkverbindungen und vom Browser eines Smartphones aufrufen. Das ist leicht zu klonen, und über die Zielwebseite hangelten sich die Sicherheitsforscher durch das Netzwerk der Betrüger. Schließlich hatten sie NRK zufolge sieben Monate lang Zugriff auf interne Chats und eine Telegram-Gruppe der Phisher. Diese arbeiten mit einem Tool namens "Magic Cat", mit dem sich – auch mit Hilfe von KI – Webseiten fälschen lassen. Ihre Ergebnisse übergaben die Security-Forscher den genannten Medien, welche die Sache weiterverfolgten.

Am Ende der Recherchen führten die Spuren zu einem 24-jährigen Mann namens Yucheng C. alias "Darcula", der mutmaßlich aus China stammt. Diesen Namen hatten schon andere Sicherheitsforscher dem gesamten Netzwerk gegeben. Darcula soll selbst nicht mit Kreditkartendaten hantiert haben, sondern nur der Entwickler von Magic Cat sein. Dieses Tool wird den Angaben nach für einige hundert US-Dollar in der Woche als Software-as-a-Service an die tatsächlichen Betrüger vermietet. Über eigene Geräte-Farmen, von denen sich in der Telegram-Gruppe auch Fotos fanden, finden dann die Phishing-Versuche statt. Einige Mitglieder dort rühmen sich, mehrere Zehntausend Nachrichten am Tag verschicken zu können. Diese können per SMS, iMessage oder RCS übermittelt werden.

NRK zufolge ist das Netzwerk in rund 130 Ländern aktiv, 600 Personen sollen daran beteiligt sein. 13 Millionen Mal wurde in den sieben Monaten des Beobachtungszeitraums von Ende 2023 bis Mitte 2024 auf einen der Links in den Nachrichten geklickt, und 884.000 Menschen gaben ihre Kartendaten ein. Bei einer Chance von 1:14 für einen erfolgreichen Betrug lohnt sich für die Kriminellen also offenbar auch ein hoher technischer und zeitlicher Aufwand.

Das saarländische Finanzministerium warnt vor gefälschten E-Mails mit Zahlungsaufforderungen, die vermeintlich im Namen des Bundeszentralamts für Steuern (BZSt) verschickt werden. So versuchen Betrüger an persönliche Informationen und Geld von Bürgerinnen und Bürgern zu gelangen.

Die gefälschten E-Mails werden nach Angaben der Behörde von verschiedenen Absenderadressen wie "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." oder "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." versendet. In der Betreffzeile steht zum Beispiel "Hinweis zur verspäteten Abgabe der Einkommensteuer 2023". Die E-Mails enthalten häufig ein PDF-Dokument, das einen Bescheid des BZSt darstellen soll. Die Empfänger werden dazu aufgefordert, auf einen Link zu klicken oder eine Zahlung zu leisten, um angebliche Strafen für eine verspätete Abgabe der Steuererklärung zu begleichen.

Das Finanzministerium warnt: "Sollten Sie solch eine E-Mail erhalten, empfehlen wir, das beigefügte Dokument nicht zu öffnen und die E-Mail unverzüglich zu löschen. Die Steuerverwaltungen werden in einer E-Mail niemals Informationen, wie die Steuernummer, Kontoverbindungen, Kreditkartennummern, PIN oder die Antwort auf Ihre Sicherheitsabfrage, anfordern."

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Nach einem Angriff oder bei Kenntnis von kompromittierten Zugangsdaten widerrufen Admins Passwörter und lassen es neu setzen, damit bösartige Akteure sich mit erbeuteten Daten nicht anmelden können. Ist der Zugriff mit Remote-Desktop-Protokoll (RDP) aktiviert, hilft das nur nichts: Die alten Passwörter bleiben dort gültig.

Von diesem unerwarteten Verhalten berichtet Arstechnica. Demnach hat der IT-Sicherheitsforscher Daniel Wade dem Microsoft Security Response Center (MSRC) dieses Verhalten berichtet. Laut ihm funktionieren alte Zugangsdaten in RDP weiterhin, selbst auf brandneuen Maschinen. Neuere Passwörter können ignoriert werden, während ältere noch funktionieren. Weder Windows Defender noch Entra ID oder Azure liefern Warnungen. Es gibt keinen eindeutigen Weg für Nutzerinnen und Nutzer, dieses Problem aufzudecken und zu korrigieren. Microsoft dokumentiert dieses Szenario nicht direkt.

Laut Microsoft handelt es sich um eine "Design-Entscheidung, die sicherstellt, dass mindestens ein Nutzerkonto dazu in der Lage ist, sich anzumelden, ganz gleich, wie lange das System offline war". Daher treffe dieses Verhalten die Definition einer Schwachstelle nicht. Microsoft habe keine Pläne, etwas daran zu ändern.

RDP dient dazu, sich aus der Ferne an (Windows-)Maschinen anzumelden, um darauf genauso zu arbeiten wie an einem lokalen Rechner. Dazu leitet die Software die Desktop-Ausgabe auf die entfernte Maschine um. Sofern ein Rechner mit einem Microsoft- oder Azure-Konto den Fernzugriff aktiviert hat, können sich Nutzerinnen und Nutzer mit einem Passwort über RDP anmelden. Das wird gegen lokal gespeicherte Zugangsdaten abgeglichen. Alternativ können sie sich mit dem Online-Konto anmelden, mit dem lokale Nutzer sich an dem PC angemeldet haben.

Allerdings bleibt das Passwort für den Fernzugriff gültig, selbst wenn Nutzerinnen und Nutzer es geändert haben. Im Ergebnis können in einigen Fällen ältere Passwörter funktionieren und neuere hingegen nicht. Am Ende steht ein persistenter RDP-Zugang, der Cloud-Verifizierung, Mehr-Faktor-Authentifizierung und Zugangskontroll-Richtlinien umgeht. Wade formuliert es in seinem Bericht drastisch: "Das erstellt eine stille, ferne Hintertür (Backdoor) in jedem System, auf dem ein Passwort gecacht wurde. Selbst wenn Angreifer niemals Zugang zu dem System hatten, vertraut Windows dem Passwort."

IBMs Geschäftsdatenvisualisierungslösung Cognos Analytics ist verwundbar. Angreifer können an zwei Schwachstellen ansetzen, um Systeme zu attackieren. Sicherheitspatches stehen zum Download bereit.

In einem Beitrag führen die Entwickler aus, dass davon die Versionen 11.2.0 bis einschließlich 11.2.4 FP4 und 12.0.0 bis einschließlich 12.0.4 betroffen sind. Abhilfe schaffen die Sicherheitsupdates 11.2.4 FP5 und 12.0.4 Interim Fix 1.

An der "kritischen" Lücke (CVE-2024-51466) könne entfernte Angreifer mit einer präparierten Expression-Language-Anweisung ansetzen. Im Nachgang können sie auf sensible Informationen zugreifen. Es kann aber auch zu Abstürzen kommen.

Die zweite Schwachstelle (CVE-2024-40695 "hoch") betrifft die Uploadfunktion. Weil Daten vor dem Hochladen nicht ausreichend überprüft werden, können Angreifer mit Schadcode versehene ausführbare Dateien hochladen, um Systeme zu kompromittieren.

Noch gibt es keine Berichte zu Angriffen. Admins sollten aber mit der Installation einer abgesicherten Version nicht zu lange zögern.

Nachdem Ende Januar ein massives Datenleck bei den ZAR-Rehakliniken publik wurde, sind nun weitere Kunden des verantwortlichen IT-Dienstleisters MediTec Medizinische Datentechnologie GmbH betroffen. Insgesamt waren bei der von MediTech betreuten Reha Vita GmbH Daten von 17.000 Patientinnen und Patienten einsehbar. Darüber informiert jetzt der Chaos Computer Club.

Betroffen waren laut Pressemitteilung unter anderem die Patientenakten samt Diagnosen – teils über psychische Erkrankungen –, Entlassungsberichte und Audiomitschnitte von Diktiergeräten der Ärzte, aber auch Bankverbindungen und Daten zur Krankenversicherung sowie das Geburtsdatum von Patienten. Zu den Patienten gehören auch Spieler des FC Energie Cottbus. Bisher haben sich weder die Reha Vita noch MediTec zu dem Vorfall geäußert.

MediTec hat sich auf Verwaltungssoftware für Arztpraxen und Reha-Einrichtungen spezialisiert und ist nach eigenen Angaben in rund 180 Einrichtungen im deutschsprachigen Raum im Einsatz. Bis Ende 2023 gehörte das Unternehmen noch zur Curalie GmbH, die wiederum Teil von Fresenius Helios war.

Ein IT-Sicherheitsforscher "war auf eine Subdomain unterhalb der Webseite meditec-gmbh.com gestoßen" und hatte sich beim CCC gemeldet. Ein Subdomain-Scan zeigte unter anderem, dass bei einer Subdomain vergessen wurden, den Debug-Modus zu deaktivieren. Bei der Eingabe einer falschen URL war es demnach möglich, eine Liste möglicher weiterer URLs zu erhalten. Einer der gelisteten Endpunkte diente für die Server-Client-Kommunikation (Server-Sent Events) und listete ohne Zugriffsschutz unter anderem gültige Session IDs eingeloggter Nutzer. Mit dieser Session ID konnte man sich laut CCC ein gültiges Cookie konstruieren und war auf der Plattform eingeloggt.

Heraus kam dabei, dass bei einem der Kunden unter anderem die seit April 2020 ausgelaufene Django-Version 1.11 verwendet wird. Zudem war auch die auf dem Server installierte Python-Version 2.7.18 installiert, die ebenfalls bereits seit Jahren abgelaufen ist. Es zeigte sich, dass bei mindestens fünf Domains und Subdomains Zugriff auf Metadaten zu der installierten Software möglich waren, und die Server-Software häufig über Jahre keine Updates erhalten hatten.